Tsahy Shapsa ผู้ร่วมก่อตั้งและซีอีโอร่วมของ Jit – บทสัมภาษณ์ด้านความปลอดภัยทางไซเบอร์

Tsahy Shapsa เป็นผู้ร่วมก่อตั้งและซีอีโอร่วมของ Jit ซึ่งเป็นแพลตฟอร์มที่ช่วยให้การรักษาความปลอดภัยอย่างต่อเนื่องง่ายขึ้น ดังนั้นนักพัฒนาจึงสามารถสร้าง รักษาความปลอดภัยแอปบนระบบคลาวด์ด้วยการออกแบบตั้งแต่ศูนย์

คุณเคยเกี่ยวข้องกับการรักษาความปลอดภัยทางไซเบอร์มาเกือบตลอดอาชีพการงาน อะไรดึงดูดคุณให้เข้าสู่อุตสาหกรรมในตอนแรก

เมื่อโตขึ้น ฉันมักจะชอบนิยายวิทยาศาสตร์เสมอ และภาพยนตร์เรื่อง “WarGames” ก็จุดประกายจินตนาการของฉันอย่างแท้จริงเกี่ยวกับบทบาทของคอมพิวเตอร์ในการปกป้องโลกของเรา ขณะที่ฉันเฝ้าดูแฮ็กเกอร์หนุ่มของภาพยนตร์เรื่องนี้บังเอิญเข้าไปพัวพันกับความขัดแย้งในโลกไซเบอร์ที่มีเดิมพันสูง ฉันก็หลงใหลในความเป็นไปได้และความท้าทายของอนาคตดิจิทัล ในชีวิตต่อมา ในฐานะผู้ใหญ่ที่รายล้อมไปด้วยจิตวิญญาณแห่งนวัตกรรมของ “ประเทศสตาร์ทอัพ” ของอิสราเอล ฉันรู้สึกถึงการเรียกร้องที่แข็งแกร่งให้มีส่วนร่วมในโดเมนที่น่าตื่นเต้นและสำคัญนี้ แรงบันดาลใจนี้บวกกับการย้ายถิ่นฐานมายังสหรัฐอเมริกา ซึ่งเป็น ‘ดินแดนแห่งโอกาส’ ทำให้ฉันเริ่มต้นบริษัทรักษาความปลอดภัยทางไซเบอร์แห่งแรก ฉันโชคดีที่ได้มีส่วนร่วมในการกำหนดอนาคตของความปลอดภัยในโลกไซเบอร์ ในขณะเดียวกันก็ยอมรับจิตวิญญาณของผู้ประกอบการในสองประเทศบ้านเกิดของฉัน นั่นคือสหรัฐอเมริกาและอิสราเอล

ช่วยแชร์เรื่องราวกำเนิดของจิตรหน่อยได้ไหม

เรื่องราวกำเนิดของจิตร io เริ่มต้นที่ฉันและผู้ร่วมก่อตั้งของฉันในการระบุช่องว่างที่สำคัญในภูมิทัศน์ความปลอดภัยทางไซเบอร์ เนื่องจากทีมวิศวกรสมัยใหม่หันมาใช้แนวทาง CI/CD อย่างรวดเร็ว การผสานรวมความปลอดภัยทางไซเบอร์มักล้าหลัง ซึ่งนำไปสู่ความเสี่ยงที่เพิ่มขึ้นของช่องโหว่ ส่วนหนึ่งของปัญหาคือเครื่องมือรักษาความปลอดภัย shift-left ที่มีอยู่มากมาย โดยทีมวิศวกรมักต้องรวมเครื่องมือ 15-20 ตัวเข้าด้วยกันใน AppSec, CI/CD, Cloud และ DAST เพื่อสร้างโซลูชันการรักษาความปลอดภัยที่ครอบคลุม เครื่องมือเหล่านี้แต่ละอย่างมาพร้อมกับการเริ่มต้นใช้งาน การจัดการ และประสบการณ์ของนักพัฒนาซอฟต์แวร์ ซึ่งทำให้ความเร็วในการพัฒนาช้าลงอย่างมาก

ขับเคลื่อนโดยภารกิจที่จะทำให้ทีมเหล่านี้รวมความปลอดภัยทางไซเบอร์เข้ากับ CI/CD ของพวกเขาได้อย่างง่ายดาย ท่อ Jit.io ถือกำเนิดขึ้น ทีมของฉันเริ่มเร่ง DevSecOps โดยคัดสรรเครื่องมือรักษาความปลอดภัยแบบโอเพ่นซอร์สที่ดีที่สุดในโลกอย่างพิถีพิถันและบรรจุไว้ในแพลตฟอร์มเดียวที่รวมเป็นหนึ่งเดียว ด้วยการนำเสนอ DevX ที่คล่องตัว Jit.io ช่วยให้ทีมวิศวกรรมสมัยใหม่สามารถผสานรวมและจัดการความปลอดภัยของผลิตภัณฑ์ได้อย่างราบรื่น ขจัดความจำเป็นในการผสานรวม toolchain ที่ซับซ้อนและกระบวนการออนบอร์ดที่ใช้เวลานาน สิ่งนี้ทำให้มั่นใจได้ว่ามาตรการรักษาความปลอดภัยของแอปพลิเคชันที่แข็งแกร่งไม่ได้เป็นเพียงความคิดในภายหลัง แต่เป็นองค์ประกอบที่สำคัญและเข้าถึงได้ง่ายของกระบวนการพัฒนา

แนวทางที่เป็นนวัตกรรมใหม่นี้ได้วางตำแหน่ง Jit.io เป็นผู้เปลี่ยนเกมในขอบเขตของการรักษาความปลอดภัยทางไซเบอร์ ปฏิวัติวิธีการที่ทีมวิศวกรจัดการกับภูมิทัศน์ภัยคุกคามทางดิจิทัลที่พัฒนาตลอดเวลาโดยลดความซับซ้อนและรวบรวมการใช้งานเครื่องมือรักษาความปลอดภัยที่จำเป็น เพิ่มความเร็วและประสิทธิภาพการพัฒนาในท้ายที่สุด

สำหรับผู้อ่านที่ไม่คุ้นเคยกับคำศัพท์ DevSecOps คุณช่วยนิยามให้เราหน่อยได้ไหม

DevSecOps คือแนวปฏิบัติในการผสานรวมการรักษาความปลอดภัยในทุกขั้นตอนของการพัฒนาซอฟต์แวร์และกระบวนการปรับใช้สำหรับทีมวิศวกรรมสมัยใหม่ การรวม AppSec, CI/CD ความปลอดภัย และการรักษาความปลอดภัยบนคลาวด์ ซึ่งช่วยให้นักพัฒนาเป็นเจ้าของความปลอดภัยของผลิตภัณฑ์ได้เช่นเดียวกับที่เป็นเจ้าของ CI และ CD ขณะเดียวกันก็สนับสนุนการทำงานร่วมกันและความรับผิดชอบร่วมกันระหว่างทีมพัฒนา การรักษาความปลอดภัย และการดำเนินงาน

Jit ช่วยให้นักพัฒนาเป็นเจ้าของความปลอดภัยสำหรับผลิตภัณฑ์ พวกเขากำลังสร้างจากศูนย์ ทำไมการจัดลำดับความสำคัญของความปลอดภัยในระยะเริ่มต้นจึงสำคัญมาก

โดยใช้การเปรียบเทียบการก่อสร้างอาคาร ลองพิจารณาดูว่า DevSecOps ครอบคลุมแง่มุมต่างๆ ของกระบวนการพัฒนาซอฟต์แวร์อย่างไร ซึ่งรวมถึง AppSec (Application Security), CI/CD (Continuous Integration/Continuous Deployment), Cloud และ DAST (Dynamic Application Security Testing)

ในกระบวนการก่อสร้างอาคาร AppSec คล้ายกับการรับรองอาคาร วัสดุและการออกแบบทางสถาปัตยกรรมมีความปลอดภัยและเป็นไปตามมาตรฐานความปลอดภัย CI/CD เปรียบเสมือนการประสานงานอย่างราบรื่นของกิจกรรมการก่อสร้าง ทำให้สามารถประกอบและรวมส่วนประกอบต่างๆ เข้าด้วยกันได้อย่างมีประสิทธิภาพ เช่น ระบบประปา ไฟฟ้า และระบบรักษาความปลอดภัย การรักษาความปลอดภัยบนคลาวด์แสดงถึงโครงสร้างพื้นฐานและระบบสาธารณูปโภคที่สนับสนุนอาคาร เช่น น้ำประปา ไฟฟ้า และการเชื่อมต่ออินเทอร์เน็ต ประการสุดท้าย DAST เปรียบได้กับการดำเนินการตรวจสอบและทดสอบความปลอดภัยตามปกติเพื่อระบุและแก้ไขช่องโหว่ที่อาจเกิดขึ้นในระบบรักษาความปลอดภัยของอาคาร

ด้วยการรวม DevSecOps ตลอดวงจรชีวิตการพัฒนาซอฟต์แวร์ทั้งหมด องค์กรจึงมั่นใจได้ว่าการรักษาความปลอดภัยเป็นส่วนสำคัญ ในแต่ละขั้นตอน ตั้งแต่การออกแบบรหัสแอปพลิเคชันที่ปลอดภัย (AppSec) และการผสานรวมมาตรการรักษาความปลอดภัยเข้ากับไปป์ไลน์ CI/CD อย่างมีประสิทธิภาพ ไปจนถึงการรักษาความปลอดภัยโครงสร้างพื้นฐานระบบคลาวด์ และดำเนินการทดสอบความปลอดภัยแบบไดนามิก (DAST) อย่างต่อเนื่อง แนวทางแบบองค์รวมนี้ช่วยสร้างแอปพลิเคชันที่ปลอดภัยและเชื่อถือได้มากขึ้น และลดช่องโหว่และความเสี่ยงด้านความปลอดภัยในทุกแง่มุมของกระบวนการพัฒนาซอฟต์แวร์

คุณช่วยอธิบายว่า Jit แตกต่างจากเครื่องมือรักษาความปลอดภัยทางไซเบอร์อื่นๆ ได้อย่างไร

Jit สร้างความแตกต่างจากเครื่องมือรักษาความปลอดภัยทางไซเบอร์อื่นๆ โดยนำเสนอแพลตฟอร์ม DevSecOps ที่ครอบคลุมและเป็นหนึ่งเดียว ซึ่งช่วยลดความยุ่งยากในการผสานรวมและการจัดการเครื่องมือรักษาความปลอดภัยแบบ’shift-left’หลายตัวทั่วทั้ง AppSec, CI/CD, Cloud และ DAST วิธีการนี้ช่วยเพิ่มความคล่องตัวในการดำเนินงานด้านความปลอดภัยและประสบการณ์ของนักพัฒนา ทำให้สามารถทำงานร่วมกันได้อย่างราบรื่น

โดยขจัดความจำเป็นในการผสานรวม toolchain ที่ซับซ้อนและการล็อคอินของผู้ขาย Jit ช่วยให้วิศวกรด้านความปลอดภัยของผลิตภัณฑ์และแอปพลิเคชันสามารถเลือกสิ่งที่ดีที่สุด สายพันธุ์โซลูชั่นการรักษาความปลอดภัยที่เหมาะกับความต้องการเฉพาะของพวกเขา ความสามารถในการปรับตัวนี้ช่วยให้ทีมสร้างมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพในขณะที่ยังคงรักษาประสบการณ์ที่เป็นหนึ่งเดียวของนักพัฒนาดั้งเดิม

การที่ Jit มุ่งเน้นที่ประสบการณ์ที่ราบรื่นและสอดคล้องกันสำหรับทั้งนักพัฒนาและทีมรักษาความปลอดภัยช่วยให้สามารถตรวจสอบ วิเคราะห์ และตอบสนองได้อย่างมีประสิทธิภาพมากขึ้น ภัยคุกคามในทุกด้านของวงจรการพัฒนาซอฟต์แวร์ ด้วยเหตุนี้ Jit จึงเร่งดำเนินการตามแนวทางปฏิบัติที่ดีที่สุดของ DevSecOps และส่งเสริมความรับผิดชอบร่วมกันด้านความปลอดภัยทั่วทั้งองค์กร

คุณมักพูดถึงการหลีกเลี่ยง’การล็อกเครื่องมือ’เพื่อให้มีอนาคต-แพลตฟอร์ม DevSecOps ที่ทนทาน คุณช่วยอธิบายว่าการล็อคอินของเครื่องมือคืออะไรและทำไมมันถึงเป็นปัญหา

ในบริบทของ DevSecOps และผู้ให้บริการด้านความปลอดภัยแบบ shift-left การล็อคอินของเครื่องมือสามารถ เป็นปัญหาโดยเฉพาะอย่างยิ่งด้วยเหตุผลหลายประการ:

พอร์ตโฟลิโอผลิตภัณฑ์ปานกลาง: ผู้ให้บริการระบบรักษาความปลอดภัยแบบ shift-left หลายรายเริ่มได้รับความสำเร็จเนื่องจากผลิตภัณฑ์ที่โดดเด่นเพียงรายการเดียว อย่างไรก็ตาม ในขณะที่พวกเขาขยายข้อเสนอของพวกเขา บ่อยครั้งผ่านการเข้าซื้อกิจการ พวกเขาอาจจบลงด้วยพอร์ตโฟลิโอของผลิตภัณฑ์ธรรมดาที่ไม่จำเป็นต้องผสานรวมได้ดีหรือจัดหาโซลูชันที่ดีที่สุดสำหรับทุกแง่มุมของการรักษาความปลอดภัย กลยุทธ์การขายและการตลาด: ผู้ขายที่มีพอร์ตโฟลิโอที่หลากหลาย มักใช้กลยุทธ์การขายและการตลาดต่างๆ เพื่อ”บังคับ”ลูกค้าให้ซื้อผลิตภัณฑ์ทั้งชุดของตน วิธีการนี้ป้องกันไม่ให้ผู้ใช้มีอิสระในการเลือกโซลูชันที่ดีที่สุด และอาจนำไปสู่ผลลัพธ์ด้านความปลอดภัยที่ต่ำกว่ามาตรฐาน ความสามารถในการปรับตัวที่ถูกขัดขวาง: การล็อคอินเครื่องมือจะจำกัดความสามารถขององค์กรในการปรับตัวให้เข้ากับภัยคุกคามด้านความปลอดภัยที่พัฒนาขึ้น หรือใช้ประโยชน์จากความก้าวหน้าทางเทคโนโลยี เมื่อถูกผูกมัดกับข้อเสนอของผู้จำหน่ายรายใดรายหนึ่ง การสำรวจและนำโซลูชันการรักษาความปลอดภัยที่ดีขึ้นมาใช้จะกลายเป็นเรื่องท้าทายเมื่อมีให้ใช้งาน นวัตกรรมที่ลดลง: การพึ่งพาพอร์ตโฟลิโอด้านความปลอดภัยของผู้ขายรายเดียวสามารถขัดขวางนวัตกรรม เนื่องจากองค์กรอาจมุ่งเน้นไปที่ความสามารถของผู้ให้บริการรายเดียวมากเกินไป เครื่องมือปัจจุบันแทนที่จะแสวงหาโซลูชันทางเลือกที่อาจเหนือกว่า

เพื่อสร้างห่วงโซ่เครื่องมือ DevSecOps ที่รองรับอนาคตและหลีกเลี่ยงหลุมพรางของการล็อกเครื่องมือ สิ่งสำคัญสำหรับองค์กรคือการรักษาความยืดหยุ่นในการเลือกสายพันธุ์ที่ดีที่สุด โซลูชันการรักษาความปลอดภัยที่ปรับให้เหมาะกับความต้องการของพวกเขา แนวทางนี้ช่วยให้องค์กรต่างๆ สามารถสร้างมาตรการรักษาความปลอดภัยที่แข็งแกร่งและมีประสิทธิภาพมากขึ้น ท้ายที่สุดแล้วส่งเสริมนวัตกรรมและความสามารถในการปรับตัวเมื่อเผชิญกับภูมิทัศน์ด้านความปลอดภัยที่เปลี่ยนแปลงตลอดเวลา

Jit สร้าง”จุดเดียวเบ็ดเสร็จ”ที่เป็นหนึ่งเดียวได้อย่างไร’มีวิธีแก้ปัญหาที่หลีกเลี่ยงปัญหานี้หรือไม่

Jit แก้ไขปัญหาการล็อกเครื่องมือโดยให้ความสำคัญกับความยืดหยุ่น การผสานรวม และความสามารถในการปรับตัว นี่คือวิธีที่ Jit บรรลุสิ่งนี้:

การรวมเครื่องมือต่างๆ เข้าด้วยกันอย่างราบรื่น: แพลตฟอร์มของ Jit ได้รับการออกแบบมาเพื่อผสานรวมโซลูชันการรักษาความปลอดภัยที่ดีที่สุดใน AppSec, CI/CD, Cloud และ DAST สิ่งนี้ช่วยให้องค์กรสามารถเลือกเครื่องมือที่เหมาะสมที่สุดสำหรับความต้องการเฉพาะของพวกเขา ในขณะที่ Jit จัดการกับความซับซ้อนในการจัดการและรวมเครื่องมือที่แตกต่างกันเหล่านี้เข้าไว้ในระบบที่เหนียวแน่น ความยืดหยุ่นและทางเลือก: Jit ช่วยให้องค์กรหลีกเลี่ยงการล็อคอินผู้ขายโดยให้อิสระในการเลือก และสลับไปมาระหว่างเครื่องมือรักษาความปลอดภัยต่างๆ ตามความต้องการที่เปลี่ยนแปลงไป ความยืดหยุ่นนี้ทำให้มั่นใจได้ว่าองค์กรต่างๆ สามารถนำโซลูชันที่มีประสิทธิภาพสูงสุดมาใช้สำหรับความต้องการด้านความปลอดภัยของตนได้เสมอ โดยไม่ถูกจำกัดโดยพอร์ตโฟลิโอของผู้ขายเพียงรายเดียว ประสบการณ์นักพัฒนาและการดำเนินงานด้านความปลอดภัยแบบรวมเป็นหนึ่งเดียว: Jit เพิ่มความคล่องตัวให้กับนักพัฒนาและประสบการณ์การดำเนินงานด้านความปลอดภัยด้วยการจัดเตรียมส่วนต่อประสานที่สอดคล้องกันและเป็นมิตรกับผู้ใช้ สำหรับจัดการและโต้ตอบกับเครื่องมือรักษาความปลอดภัยต่างๆ ประสบการณ์ที่รวมเป็นหนึ่งเดียวนี้ช่วยลดความซับซ้อนของกระบวนการรวมแนวทางปฏิบัติด้านความปลอดภัยเข้ากับวงจรการพัฒนาซอฟต์แวร์ และช่วยให้มั่นใจว่านักพัฒนาและทีมรักษาความปลอดภัยสามารถทำงานร่วมกันได้อย่างมีประสิทธิภาพ นวัตกรรมที่ต่อเนื่องและความสามารถในการปรับตัว: ด้วยการอนุญาตให้องค์กรต่างๆ ใช้ประโยชน์จากโซลูชั่นการรักษาความปลอดภัยที่ดีที่สุด Jit ส่งเสริมนวัตกรรมและความสามารถในการปรับตัวอย่างต่อเนื่อง. เมื่อเครื่องมือและเทคโนโลยีการรักษาความปลอดภัยใหม่ๆ เกิดขึ้น แพลตฟอร์มของ Jit สามารถรองรับความก้าวหน้าเหล่านี้ได้อย่างง่ายดาย ทำให้มั่นใจได้ว่าองค์กรต่างๆ สามารถเข้าถึงโซลูชันการรักษาความปลอดภัยที่ล้ำสมัยได้เสมอ

ด้วยการนำเสนอแพลตฟอร์มแบบครบวงจรที่ยืดหยุ่นซึ่งผสานรวมเครื่องมือการรักษาความปลอดภัยต่างๆ และประสบการณ์การดำเนินงานด้านความปลอดภัย Jit หลีกเลี่ยงหลุมพรางของการล็อกเครื่องมือได้อย่างมีประสิทธิภาพ และช่วยให้องค์กรต่างๆ สามารถสร้างแพลตฟอร์ม DevSecOps ที่รองรับอนาคต ซึ่งสามารถปรับและเติบโตไปพร้อมกับความต้องการด้านความปลอดภัยที่เปลี่ยนแปลงไป

Jit-DevSecOps อธิบายถึงตัวมันเอง เป็นวิธีการแบบลีนและทำซ้ำเพื่อเพิ่มความปลอดภัย’ทันเวลาพอดี’คุณช่วยอธิบายเพิ่มเติมเกี่ยวกับความสำคัญของการใช้ความปลอดภัยในลักษณะนี้ได้ไหม

Jit-DevSecOps ซึ่งเป็นแนวทางแบบลีนและทำซ้ำเพื่อเพิ่มความปลอดภัย”ทันเวลาพอดี”เน้นความสำคัญของความทันท่วงทีและ การรวมความปลอดภัยที่มีประสิทธิภาพ วิธีนี้ช่วยให้สามารถตรวจจับและแก้ไขช่องโหว่ได้ตั้งแต่เนิ่นๆ วงจรการพัฒนาที่เร็วขึ้น และการทำงานร่วมกันที่ดีขึ้น วิธีการตามการเปลี่ยนแปลง/เดลต้าของ Jit มุ่งเน้นไปที่การจัดการกับปัญหาด้านความปลอดภัยที่เกิดขึ้น เพื่อให้มั่นใจว่าช่องโหว่ที่สำคัญที่สุดได้รับการแก้ไขก่อน Jit-DevSecOps ช่วยให้องค์กรสามารถรักษาความปลอดภัยที่แข็งแกร่งได้ในขณะเดียวกันก็มั่นใจได้ถึงความคล่องตัวและประสิทธิภาพในกระบวนการพัฒนา โดยการจัดลำดับความสำคัญของความคิดแบบ Fix-First และปรับให้เข้ากับภูมิทัศน์การรักษาความปลอดภัยที่เปลี่ยนแปลงไป

วิสัยทัศน์ของคุณสำหรับอนาคตคืออะไร ของ DevSecOps และความปลอดภัยในโลกไซเบอร์โดยทั่วไปหรือไม่

วิสัยทัศน์ของฉันสำหรับอนาคตของ DevSecOps และความปลอดภัยในโลกไซเบอร์คือการควบคุมพลังของเทคโนโลยีขั้นสูง เช่น ปัญญาประดิษฐ์ การเรียนรู้ของเครื่อง และระบบอัตโนมัติเพื่อระบุและตอบสนองต่อ ภัยคุกคามแบบเรียลไทม์ ตัวอย่างเช่น โซลูชันการรักษาความปลอดภัยที่ขับเคลื่อนด้วย AI สามารถช่วยตรวจจับความผิดปกติและช่องโหว่ที่อาจเกิดขึ้น ในขณะที่การตอบสนองต่อเหตุการณ์โดยอัตโนมัติสามารถช่วยยับยั้งและบรรเทาเหตุการณ์ด้านความปลอดภัยได้

นอกจากนี้ เราจะสำรวจเทคโนโลยีที่เกิดขึ้นใหม่ เช่น บล็อกเชนและการเข้ารหัสเพื่อปรับปรุง ความปลอดภัยของข้อมูลและความเป็นส่วนตัว เทคโนโลยีเหล่านี้สามารถช่วยรับประกันความสมบูรณ์และการรักษาความลับของข้อมูล และป้องกันการเข้าถึงหรือแก้ไขโดยไม่ได้รับอนุญาต

โดยรวมแล้ว วิสัยทัศน์ของฉันเน้นย้ำถึงความสำคัญของการทำงานร่วมกัน นวัตกรรม และมาตรการเชิงรุกเพื่อก้าวนำหน้าภัยคุกคามที่เกิดขึ้นใหม่ และแน่นอนว่าเราจะจดจำกฎทองของการรักษาความปลอดภัยในโลกไซเบอร์เสมอ: คอมพิวเตอร์ที่ปลอดภัยเพียงเครื่องเดียวคือคอมพิวเตอร์ที่ไม่ได้เสียบปลั๊ก ฝังอยู่ในคอนกรีต และไม่เคยเปิดเครื่อง

ขอขอบคุณสำหรับบทสัมภาษณ์ดีๆ ผู้อ่านที่ต้องการ หากต้องการเรียนรู้เพิ่มเติมควรไปที่ Jit