En un equipo de seguridad típico, los ingenieros escriben secuencias de comandos únicas para rastrear un problema particular en un proveedor de la nube, como un usuario no autorizado en su cuenta de GitHub, y aunque los ingenieros son capaces de escribir tales secuencias de comandos, no es exactamente una forma eficiente o escalable de lidiar con la gama de problemas de seguridad que estos profesionales necesitan rastrear.
Vectrix, miembro de la cohorte Y Combinator Summer 2020 iniciada por tres veteranos de la seguridad, quiere solucionar ese problema. Ha creado un mercado de seguridad en el que otros profesionales de la seguridad escriben módulos para automatizar este tipo de correcciones, y otros profesionales de la seguridad pueden aprovecharse sin tener que reinventar la rueda de escritura de guiones cada vez.
Alex Dunbrack, cofundador y director de operaciones de la empresa, dice que él y sus compañeros cofundadores, el director de tecnología Matthew Lewis y el director ejecutivo Corey Mahan vieron este problema de primera mano en sus trabajos anteriores en PlanGrid, Vimeo y Autodesk. Entonces, como muchos fundadores de la compañía YC, decidieron crear una solución.
“Es un mercado de herramientas de seguridad automatizadas que monitorean la tecnología y tienen capacidades de respuesta para cualquier problema de seguridad que una empresa pueda tener dentro de sus proveedores de nube”, explicó Dunbrack. Él dice que esto podría estar en GitHub, AWS, G Suite, potencialmente en cualquier servicio en la nube.
La idea es que los profesionales de seguridad construyan estos módulos, luego darles una “regalía” y derechos de fanfarronear por encontrar una solución viable. Dunbrack dice que no es diferente a la hackeruno modelo, que proporciona un incentivo financiero y el reconocimiento de la comunidad para encontrar vulnerabilidades en el código.
Los usuarios en realidad no descargan nada. Simplemente seleccionan un módulo, ingresan sus credenciales de servicio en la nube y proporcionan una salida como Slack o Jira para cualquier alerta que genere el módulo.
Créditos de imagen: Vectrix
La startup examina los módulos y los desarrolladores antes de permitirlos en el mercado. Si bien este es un proceso manual en este momento, dice que están trabajando para lograr una mayor automatización. Por ahora, para cada persona que quiera aportar módulos, se hace una entrevista, una verificación de referencias, una verificación de antecedentes laborales y tipos similares de investigación.
Una vez que pasan esto, y el profesional de seguridad escribe el módulo, tiene que pasar un escrutinio adicional. “Básicamente analizamos exactamente lo que van a construir y los tipos de alertas que surgirán de ello. Luego, a partir de ahí, tenemos un esquema lógico extremadamente moldeado en el lado del código en el que simplemente escriben la lógica para hacer el escaneo”, dijo.
Los escritores de módulos no pueden ver ninguna información de usuario en el servicio, y Vectrix se asegura de que no haya problemas como solicitudes de datos salientes. Actualmente tienen 10 módulos con planes de agregar varios más pronto. Mientras trabajan en el modelo de precios, hoy los clientes pagan una tarifa fija para acceder a todo el mercado, en lugar de pagar por módulo.
Actualmente, la empresa son solo los tres cofundadores, pero esperan expandirse y, cuando lo hagan, ya habrán pensado mucho en cómo construir una empresa diversa e inclusiva. Dice que, para empezar, no se dejan influir por el efecto de red de Silicon Valley.
“Mucha gente dirá ‘Simplemente queremos a las mejores personas’, pero nuestra interpretación de las mejores personas es realmente un colectivo de diferentes pensamientos y experiencias que realmente hacen que la perspectiva de alguien sea única. Eso proviene de la diversidad en la forma en que lo vemos, por lo que, en muchos sentidos, traer a las mejores personas es traer la más amplia gama de procesos de pensamiento, y eso viene con la diversidad y ser inclusivo, y como tomar todos esos factores en cuenta”, dijo.
En cuanto a la experiencia de YC, Dunbrack dice que estaba ansioso por aprender de la red de empresas que lo precedieron, y dice que incluso virtualmente la empresa ha tenido éxito en brindarle esa experiencia.
Hasta ahora, la compañía ha iniciado y utilizado el dinero de Y Combinator, pero tiene la intención de realizar una ronda de recaudación de fondos pronto. “Somos conscientes de lo que estamos aportando a la industria y el valor allí. Así que traer socios estratégicos es realmente cómo vamos a abordar esto”, dijo.
Source link