El aumento de los ataques a la cadena de suministro de software, como el pirateo de SolarWinds, provocó la orden ejecutiva del año pasado de la Administración Biden que exige a los proveedores que proporcionen una lista de materiales de software (SBOM). Los SBOM pueden ayudar a los equipos de seguridad a comprender si una vulnerabilidad recientemente revelada los afecta, en teoría. Pero los expertos de la industria advierten que no siempre son lo suficientemente completos para prevenir ataques o abordar los desafíos de asegurar las cadenas de suministro.
Una puesta en marcha, Buey Seguridad, está avanzando con una alternativa a los SBOM que llama Pipeline Bill of Materials (PBOM), que, según Ox, va más allá al cubrir no solo el código en los productos de software finales, sino también los procedimientos y procesos que afectaron al software a lo largo de su desarrollo. PBOM parece estar ganando terreno. A pesar de haberse fundado hace menos de un año, Ox ha recaudado $34 millones en fondos iniciales, un hecho que reveló hoy, y tiene 30 clientes, incluidos FICO, Kaltura y Marqeta.
Los inversores hasta la fecha incluyen Evolution Equity Partners, Team8, Rain Capital y M12, el fondo de riesgo de Microsoft.
“Cuando tuvo lugar el infame ataque de SolarWinds, recuerdo la cantidad de estrés que se sintió en toda la industria”, dijo a TechCrunch el CEO Neatsun Ziv, exejecutivo de Check Point, en una entrevista por correo electrónico. “Cuando hicimos una lluvia de ideas con mi cofundador, Lior Arzi, hablamos sobre la necesidad de una solución de cadena de suministro de extremo a extremo, algo que no solo analice el código que se incluye en el producto final, sino también todos los componentes. los procedimientos y procesos que podrían haber afectado al software a lo largo de todo el ciclo de vida del desarrollo. A fines de 2021, fundamos Ox Security para desarrollar esta solución”.
Al desarrollar PBOM, Ziv afirma que Ox llevó a cabo una investigación “extensa” sobre las causas fundamentales de más de 70 ataques del año pasado. PBOM fue diseñado para contener información que podría haber evitado los ataques si hubiera estado disponible en ese momento, dice, y para ser compartida con las partes interesadas para que puedan verificar que el software que están usando se deriva de un software confiable y seguro. construir.
Créditos de imagen: Buey Seguridad
La plataforma de Ox, que aprovecha PBOM, se integra con las herramientas y la infraestructura de desarrollo de software existentes para registrar las acciones que afectan al software a lo largo del ciclo de vida del desarrollo. Se conecta al repositorio de código de una organización y realiza un escaneo del entorno desde el “código a la nube”, produciendo un mapa de activos, aplicaciones y canalizaciones detectables.
Ox también intenta identificar qué herramientas de seguridad están en uso, verificar que estén operativas y determinar si se necesitan herramientas adicionales. Luego, la plataforma destaca los problemas de seguridad que encontró, priorizados por su impacto comercial junto con soluciones y recomendaciones automatizadas.
“La mayoría de los departamentos de TI tienen poco personal, carecen de visibilidad y luchan por priorizar los proyectos de seguridad en ingeniería y DevOps. Esto da como resultado ‘desarrollo en la sombra’ y DevOps, donde las herramientas y los procesos de desarrollo de software están fuera del control y la propiedad de los equipos de seguridad”, continuó Ziv. “También existe una grave falta de automatización que da como resultado el trabajo manual y provoca una alta tasa de deserción para las personas en estos roles. La plataforma Ox resuelve estos problemas proporcionando visibilidad continua, priorizando riesgos, automatizando flujos de trabajo manuales y asegurando la postura de [software development] elementos como GitLab, Jenkins, registro y producción de artefactos”.
PBOM es, al menos en la actualidad, una especificación voluntaria. Y Ox compite con proveedores como Legit Security, Cycode y Apiiro, el último de los cuales, según se informa, es Palo Alto Networks. cerca a adquirir por $ 550 millones. Pero Ziv afirma que OX está ganando reconocimiento, señalando la base de clientes de la startup de poco más de 30 marcas.
“Estamos completamente enfocados en construir la empresa y escalar la cantidad de clientes a los que servimos. Hasta ahora solo vemos un aumento en la demanda debido al creciente número de ataques”, dijo Ziv. “Si observas las recesiones anteriores, hubo empresas muy exitosas que comenzaron en cada una de ellas. Así que tratamos de obsesionarnos con resolver el riesgo de seguridad, en lugar de lo que podría pasar con el mercado. Vamos en este viaje con socios fuertes que quieren ver esta visión hacerse realidad”.
El socio gerente de M12, Mony Hassid, agregó en una declaración enviada por correo electrónico: “Los ataques a la cadena de suministro están en aumento y la superficie de ataque está creciendo. Cuando se trata de la seguridad e integridad del software, debe mirar más allá de qué componentes se usaron y considerar la postura de seguridad general a lo largo del proceso de desarrollo. Ox es pionero en un estándar que será transformador para la seguridad de la cadena de suministro. Estamos orgullosos de trabajar con OX para mejorar la seguridad del software”.
Con las ganancias de la ronda semilla, Ox planea duplicar su plantilla de 30 empleados para fines de 2023.
Source link