sơ khai Nir Valtman, Giám đốc điều hành & Người sáng lập tại Arnica - Chuỗi phỏng vấn - Unite.AI
Kết nối với chúng tôi
   Phỏng vấn  
Nir Valtman, Giám đốc điều hành & Người sáng lập tại Arnica – Loạt bài phỏng vấn
 mm
Được phát hành
 11 tháng trước
 on
   
 
Nir Valtman là Giám đốc điều hành và Người sáng lập tại Kim sa, một nền tảng cho phép các doanh nghiệp chủ động bảo vệ chuỗi cung ứng phần mềm khỏi rủi ro bằng cách tự động hóa các hoạt động bảo mật hàng ngày và trao quyền cho các nhà phát triển sở hữu bảo mật mà không phát sinh rủi ro hoặc ảnh hưởng đến tốc độ.
Điều gì ban đầu thu hút bạn đến với an ninh mạng?
Tôi lớn lên với tư duy hack. Tôi bắt đầu bằng việc phá hủy phòng máy tính trong khóa học mã hóa đầu tiên của mình và đột nhập vào các máy tính khác với rất ít kỹ năng mã hóa, tất cả khi tôi 13 tuổi. Khi tôi tham gia nghĩa vụ quân sự ở Israel, tôi đã được giáo dục thực tế về khía cạnh phòng thủ của an ninh, điều này cuối cùng đã dẫn đến sự nghiệp chuyên nghiệp của tôi trong lĩnh vực an ninh mạng. 
Bạn có thể chia sẻ câu chuyện nguồn gốc đằng sau Arnica?
Trước Arnica, tôi đã làm việc tại Finastra, công ty FinTech lớn thứ ba toàn cầu, với tư cách là Phó Giám đốc An ninh. Bụi từ Solarwinds khét tiếng vừa lắng xuống và Giám đốc điều hành của chúng tôi đã hỏi tôi làm thế nào chúng tôi có thể giảm thiểu rủi ro bị ảnh hưởng bởi một cuộc tấn công chuỗi cung ứng phần mềm. Chúng tôi đã đánh giá toàn diện các giải pháp xây dựng của các công ty trong không gian này, một vài trong số đó chúng tôi đã làm bằng chứng về các khái niệm. Không có nhà cung cấp nào phù hợp với những gì chúng tôi đang tìm kiếm: phạm vi bảo hiểm toàn diện, giảm thiểu rủi ro tích cực và trải nghiệm tuyệt vời dành cho nhà phát triển. Đặc biệt, khía cạnh trải nghiệm của nhà phát triển là rất quan trọng vì bất kỳ giải pháp nào tôi áp dụng cho các nhà phát triển làm gián đoạn quy trình làm việc của họ sẽ bị từ chối và chúng tôi sẽ quay lại ban đầu. 
Không tìm ra giải pháp, tôi quyết định nghiên cứu mọi cuộc tấn công chuỗi cung ứng phần mềm đã diễn ra trong 5 năm qua để hiểu rõ các triệu chứng chính và cách ngăn chặn chúng. Đồng thời, tôi đã nói chuyện với hai người bạn, Eran Medan (CTO) và Diko Dahan (COO), những người có nhiều kinh nghiệm lãnh đạo hoạt động và phát triển. Eran và Diko, bày tỏ những thách thức tương tự trong việc tìm kiếm giải pháp – Diko từ góc độ hoạt động công nghệ và Eran từ góc độ phát triển. Cho rằng tất cả chúng ta đều không có giải pháp nào, chúng tôi đã phát triển một giả thuyết về giải pháp sẽ như thế nào. Chúng tôi đã thực hiện hàng chục cuộc gọi xác thực với các nhà lãnh đạo bảo mật, vận hành và kỹ thuật, điều này đã xác thực cả vấn đề và giả thuyết của chúng tôi về giải pháp cần thiết. Tua nhanh vài tháng tới tháng 2021 năm XNUMX và chúng tôi đã đồng sáng lập Arnica. 
Arnica cung cấp bảo mật dựa trên hành vi từ đầu đến cuối, bạn có thể định nghĩa bảo mật dựa trên hành vi là gì không?
Nếu ai đó đưa cho bạn một mảnh giấy viết tay và nói với bạn rằng bạn đã viết nó, bạn có thể biết liệu trên thực tế nó có phải do bạn viết hay không. Ví dụ: nếu chữ viết tay không phải của bạn, ghi chú được ghi ngày trước khi bạn sinh ra và nó được viết bằng tiếng Pháp (mà bạn không biết nói hoặc viết), thì rõ ràng bạn không phải là tác giả. Chúng tôi áp dụng cách tiếp cận tương tự với mã, ngoại trừ việc chúng tôi xây dựng hồ sơ của từng nhà phát triển bao gồm hàng nghìn yếu tố (còn được gọi là các tính năng trong học máy). Bằng cách quan sát xu hướng và hành vi của các nhà phát triển, chúng tôi có thể ngăn chặn những rủi ro đi chệch khỏi mô hình phát triển thông thường của họ. Điều này giúp chúng tôi ngăn chặn việc tiếp quản tài khoản, các mối đe dọa nội bộ và các rủi ro khác liên quan đến việc phát triển phần mềm. 
Bạn có thể thảo luận về cách nền tảng có thể xác định các sắc thái trong cách mỗi nhà phát triển làm việc không?
Arnica tận dụng hoạt động đóng góp mã và kiểm tra lịch sử để tạo dấu vân tay hành vi cho mỗi nhà phát triển. Dấu vân tay này thể hiện hành vi đã biết và dự kiến ​​về việc sử dụng quyền của nhà phát triển, kiểu viết mã, ngôn ngữ cam kết và thực tiễn phát triển. Sau đó, chúng tôi có thể so sánh tất cả hoạt động trong tương lai với dấu vân tay này để xác định khả năng mã trong tương lai đến từ tác giả này.
Điều gì xảy ra khi hệ thống đánh dấu hành vi bất thường?
Chúng tôi luôn cố gắng tối đa hóa giá trị bảo mật, đồng thời loại bỏ xung đột phát triển. Khi Arnica phát hiện hành vi bất thường từ tài khoản nhà phát triển, chúng tôi gắn cờ hành vi đó trong Arnica và tự động gửi xác thực bổ sung thông qua cuộc trò chuyện trực tiếp tới nhà phát triển được đề cập và nhóm bảo mật dựa trên cấu hình chính sách của bạn.
Arnica hỗ trợ kiểm tra mã như thế nào?
Arnica cung cấp thông báo theo thời gian thực cho các nhà phát triển khi họ đẩy các thay đổi mã, giảm số lượng rủi ro khi tiếp cận các yêu cầu kéo. Đối với những rủi ro tiếp cận yêu cầu kéo, Arnica giới thiệu kiểm tra mã tự động trên PR. Khi rủi ro được xác định, Arnica nhận xét về chi tiết rủi ro và bối cảnh giảm thiểu cho từng rủi ro. Arnica cũng có thể tự động chặn việc hợp nhất khi có rủi ro, ngăn không cho chúng tiếp cận mã sản xuất.
Arnica cũng cho phép xác định các phần phụ thuộc của bên thứ 3 dễ bị tổn thương, bạn có thể thảo luận về cách thức hoạt động của tính năng này đối với các nhà phát triển không?
Arnica quét tất cả các gói và rủi ro của bên thứ ba trong mỗi lần đẩy mã và thông báo trực tiếp cho nhà phát triển qua ChatOps khi họ sử dụng các phiên bản có lỗ hổng hoặc giới thiệu gói có uy tín thấp cho cơ sở mã. 
Một số chức năng khác được cung cấp bởi nền tảng Arnica là gì?
Arnica tập trung vào việc cung cấp một nền tảng cho các nhóm bảo mật ứng dụng để có được khả năng hiển thị trên tất cả các rủi ro trong chuỗi cung ứng phần mềm, để có thể ưu tiên các rủi ro đó và có thể dễ dàng ngăn chặn các rủi ro mới cũng như khắc phục các rủi ro hiện có. Chúng tôi cung cấp khả năng này trên nhiều loại rủi ro bao gồm quyền của nhà phát triển quá mức, rủi ro mã phát sinh từ quá trình quét SAST (Thử nghiệm bảo mật ứng dụng tĩnh) và IaC (Cơ sở hạ tầng dưới dạng mã), bí mật được mã hóa cứng, phụ thuộc của bên thứ ba, v.v. 
Có điều gì khác mà bạn muốn chia sẻ về Arnica không?
Tại Arnica, khi chúng tôi phát triển các giải pháp bảo mật chuỗi cung ứng và ứng dụng, chúng tôi coi mình là một công ty trải nghiệm dành cho nhà phát triển. Chúng tôi muốn làm cho việc giải quyết các vấn đề bảo mật trở thành một trải nghiệm liền mạch và thú vị. Lấy giải pháp giảm thiểu bí mật của chúng tôi làm ví dụ. Chúng tôi xác định bí mật khi đẩy mã, chúng tôi xác thực bí mật đó và gửi thông báo cho nhà phát triển trong công cụ trò chuyện mà họ chọn. Thông báo cung cấp cho nhà phát triển một nút – “Sửa lỗi cho tôi” – giúp loại bỏ bí mật khỏi toàn bộ lịch sử git mà nhà phát triển không cần phải viết bất kỳ lệnh git nào. Chỉ cần một cú nhấp chuột. 
Chúng tôi tin rằng nếu chúng tôi có thể làm cho bảo mật trở thành một phần dễ dàng và thú vị trong trải nghiệm phát triển, thì mọi tổ chức sử dụng Arnica sẽ trở nên tốt hơn.  
Cảm ơn bạn về cuộc phỏng vấn tuyệt vời, độc giả muốn tìm hiểu thêm hãy truy cập Giống cây cúc.
       
 Chủ đề liên quan:
 mm
Một đối tác sáng lập của unity.AI & một thành viên của Hội đồng Công nghệ Forbes, Antoine là một nhà tương lai học người đam mê tương lai của AI và robot.
Ông cũng là người sáng lập của Chứng khoán.io, một trang web tập trung vào đầu tư vào công nghệ đột phá.