בשיתוף OX Security
כששומעים את שמותיהם של תאגידי ענק כ”טסלה” ו”אדידס” עולות בראש אסוציאציות שונות, אך סביר להניח ש”חברת תוכנה” לא תהיה אחת מהן. למעשה, ניתן לומר שכל אחת מאלו ותאגידים רבים נוספים היא לכל הפחות גם חברת תוכנה, שכן התשתיות המחשוביות שלה מצריכות אנשי מקצוע רבים, שמספרם יכול להגיע לאלפים ולעלות בהרבה על מספר העובדים של לא מעט חברות העוסקות במיחשוב בלבד.
עם זאת, חברות אלו אינן חברות תוכנה ב-DNA שלהן, ומכאן שהן מתקשות להתמודד עם אתגרי אבטחה ולבנות בצורה מסודרת ומושכלת דרכי הגנת סייבר. כאן נכנסת לתמונה חברת OX Security, שקמה במטרה לספק להן פתרון אבטחה נגיש, שיאפשר הבנה מה יש לעשות וטיפול בכך.
“אנחנו באים להגן על תהליך פיתוח התוכנה בחברה ולוודא שהתוכנה שהיא מייצרת - מוגנת”, אומר זיו ניצן, מנכ”ל OX Security. “רוב החברות האלו לא נולדו עם הידע לייצר תוכנה מאובטחת, הן הפכו לחברות תוכנה בעל כורחן ונמצאות במצב שבו אין להן מושג איך להתמודד עם אתגר האבטחה המשמעותי הזה. אין להן את הידע מה לעשות כי זה תחום מסובך עם המון מקרי קצה. התוקפים, מצידם, יודעים שתקיפה בתהליך הפיתוח יכולה להשתלם מאוד. הם יכולים לפגוע בקוד, ליצור פירצת “דלת אחורית” ודרכה להוציא לפועל מתקפות כופר. בחמש השנים האחרונות פותחו למעלה מ-300 סוג פריצות לתהליכי הפיתוח. חלק ניכר מבוני התוכנה כלל לא מודעים לרובם - מה שיכול להביא לפריצה שהנזק שלה יעלה לחברה עשרות מיליוני דולרים”.
“בעיה נוספת”, ממשיך ליאור ארצי, סמנכ”ל המוצר של OX Security, “היא שרשור הפגיעה. ישנם מקרים שבהם פגיעה בחברה אחת יכולה להוביל לפגיעה בחברות רבות אחרות. דוגמה לכך, היא חברת תוכנה אמריקאית לתחזוקת שרתים שבשל פגיעות בקוד שלה ההאקרים הצליחו להיכנס דרך פרצת אבטחה. חברה זו סיפקה פלטפורמה לחברות רבות, ובתוכן לכל מחלקות הממשל האמריקאית. למעשה, מטרת התקיפה כלל לא הייתה החברה שנפרצה, אלא אלפי חברות הענק וגופי הממשל שהשתמשו בתוכנה שלהם. הפירצה למעשה פגעה גם בכל הלקוחות הללו”.
כיצד אתם מגינים על חברות אלו?
זיו: “מכיוון שאנחנו חיים את התחום הזה כבר 30 שנה - פיתחנו מומחיות לעשות זאת בצורה נכונה. אנו מתחברים למערכות המחשוב של החברה - כל מערכות הפיתוח והפריסה האוטומטית - בעזרת API. בעזרתו אנו ממפים את חולשות המערכת ברמת הדיוק הגבוהה ביותר הקיימת כיום בתעשייה. אנו מצביעים על כשלים אפשריים ומראים ללקוח כיצד ניתן לתקן אותם. כך מונעים מהבעיה לקרות ולא רק מאתרים אותה בדיעבד, לאחר הפריצה והנזק. מתקבלת הגנה על כל תהליכי בניית המוצר, משלב תחילת כתיבת הקוד ועד שלב הפרודקשן”.
שוק הסייבר מוצף בפתרונות אבטחה. מה הופך אתכם לייחודיים ולטובים יותר?
זיו: “OX Security מתמקדת בסגמנט הקרוי Software Supply Chain Security. אנו חברת האבטחה היחידה בעולם שמגיעה לנושא לא כשאלה תיאורטית של מפתחים, אלא כמקצוענית שמבינה לעומק את כל מפת האיומים. אנחנו הראשונים שמיפינו את כל האיומים בתחום ויודעים להגן מולם, תוך הורדת הרעש בסביבת הפיתוח בלמעלה מ-90%. כלומר: הכלים שלנו לא שולחים התראות שווא ויודעים להתמקד רק בדברים החשובים”.
להגן בחינם על קוד פתוח
בין לקוחותיה של OX Security ניתן למצוא גופי ביטחון, בנקים, חברות פינטק, בורסות קריפטו, חברות גיימינג וחברות טכנולוגיה נוספות. רבות מהחברות שנכנסו לרשימה היוקרתית Fortune 1000 משתמשים בשירותיה - כולל לקוח מה-Fortune 10. עם זאת, זיו וארצי מפתיעים כשהם מגלים שבמקביל ללקוחות פרימיום כאלו, מספקת החברה את פלטפורמת ההגנה שלה לגמרי בחינם למאות חברות קטנות יותר.
“בנינו מפה של כל בעיות אבטחת שרשרת פיתוח התוכנה, כדי שיהיה אפשר להתחיל לדבר עליהן בצורה מתודולוגית. למפה הזו קראנו ‘אוסקר - (OSC&R) - Open Software Supply Chain Attack והיא מאורגנת בצורה מאוד מובנית, המאפשרת התמודדות עם הבעיות בצורה מסודרת ולא כאוסף הנחתות. את מאגר הידע הזה שחררנו בצורה פתוחה וכיום יש לו למעלה מאלף משתמשים”, אומר ארצי. “הוא נגיש ברשת וחינמי לכל מי שעובד עם קוד פתוח באתר pbom.dev. כשעשרות אלפי אנשים יוצרים קוד חופשי - אנחנו רוצים לתמוך בפעילות שלהם ולתת להם את המערכת כולה בחינם, בלי שום הגבלה. כן, זה חותך מההכנסות הפוטנציאליות שלנו - בוודאי חלקם היו משלמים על השימוש - אבל אנחנו מאמינים שכך נכון להתנהל. אם בנק ירצה את המערכת - שישלם, אבל מי שאין לו מטרות רווח והקוד שלו בא לשרת את הקהילה - נדאג להגן עליו ולתרום לכך שיהיה בטוח ככל האפשר”.
מהם ההזדמנויות והאתגרים הניצבים בפני הענף שלכם בימים אלו?
זיו: “במאקרו, כל השוק בטלטלה לאחר ארבע שנים של משברים: קורונה, מלחמה וכעת משבר כלכלי. כל הענף מתנדנד וזז בצורות לא הגיוניות. במיקרו שלנו ספציפית יש חברות ישנות יותר במודל שלהן, שכבר לא מצליחות לשרת את לקוחותיהן. אלו נוטשים אותן והאתגר שלנו הוא לגדול מספיק מהר כדי לשרת גם אותם”.
ארצי: “למרות שהשוק בטלטלה, אחד הדברים שאנו רואים הוא שהסגמנט שבו אנו פועלים נמצא בצמיחה יוצאת דופן, זאת מכיוון שכל תחום התקפות הסייבר נמצא באחד מהשיאים שלו בכל הזמנים. כמעט כל שבוע יש פרסום על תקיפת קוד בחברה זו או אחרת, המודעות לבעיה עולה וישנה פריחה בחיפוש אחר הגנה טובה. ככל שהתוקפים נהיים חזקים יותר - כך יש צורך בהגנה טובה יותר. הציפיה שלנו היא שבהנחה שלא יצליחו למצוא פתרון טוב לאיתור הפושעים האלו וחסימתם מהרשת - הצורך בהגנה ימשיך להתחזק ואנחנו
ב-OX Security נצטרך לעבוד קשה יותר כדי לשרת יותר לקוחות ולהגן עליהם כראוי. אנו מודעים לכך שאנו מטפלים בבעיה משמעותית מאוד ושואפים להיות הראשונים שמצליחים לפתור אותה בצורה יסודית. אם נצליח - זה יהיה דיסרפשן אמיתי בשוק”.
ניצן זיו - מנכ”ל OX Security
השכלה: תואר ראשון במדעי המחשב ו-MBA
תפקידים קודמים בולטים: סמנכ”ל חטיבת הסייבר בצ’קפוינט.
תחביבים: צלילה, גלישת רוח, טרקים.
מוטו: “תנסה, תנסה, תנסה - בסוף תצליח”.
חלום אישי: “לבנות חברה גדולה שיש בה אנרגיה שיכולה להשפיע על כל השוק”.
ליאור ארצי - סמנכ”ל מוצר OX Security
השכלה: תואר ראשון בהנדסת חשמל ובמדעי המחשב, תואר שני במדעי המחשב, MBA, ותואר שני במשפטים.
תפקידים קודמים בולטים: מהנדס טילים ברפא”ל, מנהל פיתוח במספר סטרט-אפים.
תחביבים: שייט בקיאקים, טראקים במקומות נידחים בעולם.
מוטו מוביל:
It’s not rocket science, believe me, I tried
חלום אישי שרוצה להגשים: “להקים חברה שתאבטח את עולם פיתוח התוכנה”.
כשעשרות אלפי אנשים יוצרים קוד חופשי - אנחנו רוצים לתמוך בפעילות שלהם ולתת להם את המערכת כולה בחינם, בלי שום הגבלה. כן, זה חותך מההכנסות הפוטנציאליות שלנו, אבל מי שאין לו מטרות רווח והקוד שלו בא לשרת את הקהילה - נדאג להגן עליו ולתרום לכך שיהיה בטוח ככל האפשר.”
בשיתוף OX Security