En un equipo de seguridad típico, los ingenieros escriben scripts únicos para rastrear un problema particular en un proveedor de la nube, como un usuario no autorizado en su cuenta de GitHub, y aunque los ingenieros son capaces de escribir dichos scripts, no es exactamente una forma eficiente o escalable de lidiar con la variedad de problemas de seguridad que estos profesionales necesitan rastrear.
Vectrix, miembro de la cohorte Y Combinator Summer 2020 iniciada por tres veteranos de seguridad, quiere solucionar ese problema. Ha creado un mercado de seguridad donde otros profesionales de seguridad escriben módulos para automatizar este tipo de correcciones, y otros profesionales de seguridad pueden aprovechar sin reinventar la rueda de escritura de guiones cada vez.
Alex Dunbrack, cofundador y director de operaciones de la compañía, dice que él y sus compañeros cofundadores, el CTO Matthew Lewis y el CEO Corey Mahan vieron este problema de primera mano en sus trabajos anteriores en PlanGrid, Vimeo y Autodesk. Entonces, como muchos fundadores de la compañía YC, decidieron crear una solución.
“Es un mercado de herramientas de seguridad automatizadas que monitorean la tecnología y tienen capacidades de respuesta para cualquier problema de seguridad que una empresa pueda tener dentro de sus proveedores de la nube”, explicó Dunbrack. Él dice que esto podría estar en GitHub, AWS, G Suite, potencialmente cualquier servicio en la nube.
La idea es que los profesionales de seguridad construyan estos módulos y luego les otorguen un derecho de “realeza” y presumir por encontrar una solución viable. Dunbrack dice que no es diferente al modelo HackerOne, que proporciona un incentivo financiero y reconocimiento comunitario para encontrar vulnerabilidades en el código.
Los usuarios en realidad no descargan nada. Simplemente seleccionan un módulo, ingresan sus credenciales de servicio en la nube y proporcionan una salida como Slack o Jira para cualquier alerta que genere el módulo.
Créditos de imagen: Vectrix
La startup examina los módulos y los desarrolladores antes de permitirlos en el mercado. Si bien este es un proceso manual en este momento, dice que están trabajando para lograr una mayor automatización. Por ahora, para cada persona que quiere contribuir con módulos, hacen una entrevista, una verificación de referencias, verificación de antecedentes laborales y tipos similares de investigación.
Una vez que pasan esto, y el profesional de seguridad escribe el módulo, tiene que pasar un mayor escrutinio. “Básicamente determinamos exactamente lo que van a construir y los tipos de alertas que saldrán de él. Luego, a partir de ahí, tenemos un esquema lógico extremadamente modelado en el lado del código donde simplemente escriben la lógica para hacer el escaneo ”, dijo.
Los escritores de módulos no pueden ver ninguna información del usuario en el servicio, y Vectrix se asegura de que no haya problemas como las solicitudes de datos salientes. Actualmente tienen 10 módulos con planes para agregar varios más pronto. Mientras trabajan en el modelo de precios, hoy los clientes pagan una tarifa plana para acceder a todo el mercado, en lugar de pagar por módulo.
Actualmente, la compañía son solo los tres cofundadores, pero esperan expandirse, y cuando lo hacen, ya han pensado mucho sobre cómo construir una compañía diversa e inclusiva. Él dice, para empezar, no se dejan influir por el efecto de red de Silicon Valley.
“Mucha gente dirá ‘Simplemente queremos las mejores personas’, pero nuestra interpretación de las mejores personas es realmente un conjunto de pensamientos y experiencias diferentes que realmente hacen que la perspectiva de alguien sea única. Eso viene de la diversidad en la forma en que lo vemos, por lo que, en muchos sentidos, atraer a las mejores personas es traer la más amplia gama de procesos de pensamiento, y eso viene con la diversidad y ser inclusivos, y tener en cuenta todos esos factores cuenta “, dijo.
En cuanto a la experiencia de YC, Dunbrack dice que estaba ansioso por aprender de la red de compañías que lo precedieron, y dice que incluso prácticamente la compañía ha logrado brindarle esa experiencia.
Hasta ahora, la compañía ha utilizado y utilizado el dinero de Y Combinator, pero tiene la intención de hacer una ronda de recaudación de fondos pronto. “Somos conscientes de lo que estamos aportando a la industria y el valor allí. Así que traer socios estratégicos es realmente cómo vamos a abordar esto ”, dijo.
Source link