Mobb זוכה בתחרות זרקור ההפעלה של Black Hat

כובע שחור ארה"ב - לאס וגאס - יום רביעי, 9 באוגוסט הסטארט-אפ לתיקון פגיעות Mobb זכה ב תחרות ספוטלייט של סטארט-אפ ב-Black Hat USA 2023, ניצחו סטארט-אפים שהתמקדו באבטחת קושחה, אבטחת תשתית ענן ואבטחת תוכנה.

ארבעת הפיינליסטים - באופן בינארי, Endor Labs, Gomboc.ai, ו מוב - נבחרו לאחר תחרות פיץ' בווידאו ביוני. כל אחד קיבל מקום לדוכן באולם העסקים של Black Hat, התייעצות עם אנליסט של אומדיה, והזדמנות להציג מצגת בת 10 דקות במהלך הכנס בתיאטרון Startup City מול השופטים. כדי להיחשב לתחרות, החברות היו צריכות לקבל פחות משנתיים ולהיות להן פחות מ-2 עובדים.  

לאחר המצגת בת 10 דקות, חבר השופטים שאל שלוש עד ארבע שאלות כדי להבהיר כמה נקודות שלדעתם לא טופלו במגרש. השופטים היו Ketaki Borade, אנליסט בכיר בפרקטיקה של אבטחת תשתיות של אומדיה; טריי פורד, סגן CISO ב-Vista Consulting Group; הולי הנסי, אנליסטית בכירה בפרקטיקה של אבטחת סייבר של IoT של Omdia; לוקאס נלסון, שותף מייסד ב- Lytical Ventures; ו-Robert J. Stratton III, מנהל ואסטרטג ב-Polymathics ושותף למיזם ב-Nextgen Venture Partners.

"בשוק הסטארט-אפים לפעמים חברות מנסות לעשות יותר מדי, אבל Mobb היה בטוח לגבי היכולות שלה", אומר הנסי של Omdia, אחד השופטים. "אחד האתגרים האמיתיים של אבטחת סייבר הוא להפגיש חלקים שונים בעסק - במקרה הזה מפתחים ואבטחה. המוצר של Mobb מגשר על הפער הזה, משפר את האבטחה ומגביר את הפרודוקטיביות".

AI היה חוט משותף לכל המצגות. חלקם היו מאוד ברורים לגבי השימוש שלהם ב-AI ("Gomboc.ai, ה-AI הוא על שמנו", אמר עמית לשופטים) בעוד שאחרים נגעו בשימוש בבינה מלאכותית שלהם כשהסבירו את היכולות הטכנולוגיות שלהם. "במציאות, רוב חברות אבטחת הסייבר משתמשות ב-AI במידה מסוימת, [אבל] עכשיו אנחנו שומעים על המורכבויות של זה יותר בהתחשב בהייפ הנוכחי", אומר הנסי של Omdia, אחד השופטים. "אני חושב שזה מציג את הערך של AI בפתרונות אבטחת הסייבר האחרונים ואני מעוניין לראות איך אנחנו ממשיכים לראות חדשנות בתחום הזה."

הפיינליסטים מגישים את השופטים

אלכס מאטרוסוב, מנכ"ל ומייסד Binarly, הציג את טענותיו לאבטחת קושחה, וציין שאם הקושחה נשברת, "כל השאר נפגע". בעיות קושחה דורשות גישת מערכת אקולוגית מכיוון שהפגיעות לא קיימת רק במכשיר אחד - אלא בכל מכשיר שמשתמש ברכיב הפגיע הזה. Binarly יצרה כלי ניתוח בינארי שמוצא נקודות תורפה ידועות ולא ידועות בקושחה ועובד עם יצרני מכשירים כגון Dell, ספקים המייצרים את הרכיבים וארגונים המחפשים שקיפות בסביבתם. על פי Matrosov, יתכנו 171 ימים עד לתיקון פרצות הקושחה.

"התמקדות באבטחת קושחה כנקודת קריאה ראשונה היא גישה הכרחית להגנה על מכשירים, וזה מבטיח שבינארלי רואה עניין מכל המערכות האקולוגיות של מפעילים, יצרנים ומפתחי קושחה", אומר הנסי.

Varun Badhwar, מנכ"ל ומייסד שותף של Endor Labs התמקד באבטחת קוד קוד פתוח, סביב עזרה למפתחים לעשות בחירות טובות יותר עם קוד ולעזור לתקן נקודות תורפה ברכיבי קוד פתוח. Badhwar התייחס ל"מס הפריון למפתחים" - משך הזמן שמפתחים מקדישים לחקירת דוחות פגיעות כדי לזהות אילו מהם באמת צריכים לתקן. בעוד ש-80% עד 90% מפיתוח התוכנה המודרני עשוי להיות מורכב מרכיבי קוד פתוח, Badhwar טוען שרק 12% מהקוד משמש בפועל בקוד. כך שפגיעות בפונקציה בספריית הקוד הפתוח שאינה בשימוש באפליקציה עשויה להיות לא כל כך בעדיפות גבוהה לתיקון. ל-Endor Labs יש גם מנוע המלצות שיעזור למפתחים לקבל החלטות טובות יותר לגבי אילו ספריות ורכיבים להשתמש - מכיוון שיהיו פחות בעיות לתקן אם החבילה עצמה נבדקה כך שאין כבר קוד פגיע.

Endor Labs - גם פיינליסטית Innovation Sandbox בכנס RSA השנה - נבחרה לחביבת הקהל.

"מה שאהבתי זה שהם שמים לב לאבטחת קוד הקוד הפתוח", אומר בוראד של Omdia, עוד אחד מהשופטים. "אני רואה אותם נרכשים על ידי הדגים הגדולים שנאבקים לגדול באופן אורגני בתחום הזה."

איאן עמית, מנכ"ל ומייסד שותף של Gomboc.ai, התמקד בתיקון בעיות בתשתית הענן, וציין כי מהנדסי אבטחה לא יכלו ללמוד כל תצורה אפשרית או בכל סביבת ענן.

Gomboc.ai הוקמה על ידי ותיקי תשתית ענן - עמית והמייסד המשותף שלו הם מהנדסי אינטרנט לשעבר של אמזון. ל- Gomboc.ai יש אנליסטים אנושיים שמגדירים מדיניות אבטחה ומשתמשים בבינה מלאכותית כדי ליישם את המדיניות הזו. צוותי אבטחה משתמשים בשפה רגילה כדי להגדיר מדיניות, כגון "לא ניתן לכתוב נכסים הפונה לציבור". מנוע הבינה המלאכותית מזהה את הקוד הנדרש כדי להפוך את המדיניות הזו לתצורת הענן המתאימה. "בני אדם טובים בלהגיד מה שהם רוצים", אמר עמית. "AI טובה במציאת פתרונות."

Gomboc.ai מסתמך על AI דטרמיניסטי ולא AI גנרי. בינה מלאכותית גנרטיבית יכולה לתת תשובות שונות בכל פעם, בעוד שבינה מלאכותית דטרמיניסטית תמיד תיתן את אותה תשובה בכל פעם עבור אותה קבוצה של תשומות, מה שחשוב כשמנסים לטפל בנקודות תורפה וליישם מדיניות.

איתן וורצל, מנכ"ל ומייסד משותף של Mobb, התמקד כיצד לחסוך כסף לארגונים באמצעות ההמחשה הבאה: דוח פגיעות עשוי לפרט ארבע בעיות, אך ייתכן ששלוש מהן לא ניתנות לניצול. יתכן שייקח למפתח 30 דקות לחקור את הדוח כדי לזהות באילו בעיות צריך טיפול ו-15 דקות לפתוח כרטיס עם כל המידע הרלוונטי. עשויות להימשך ארבע שעות כדי לתקן את הבעיה בפועל. אם הארגון מוציא $200 (USD) לשעה עבור זמנו של המפתח, זה בערך $1,000 שהושקע - ולארגונים יש אלפי בעיות.

Mobb מקבל דוחות סריקת פגיעות ממגוון כלי בדיקות אבטחת יישומים סטטיים (SAST) ומקצה ציון ביטחון לחלקים שונים של הקוד. Mobb מספקת המלצות המבוססות על שיטות עבודה מומלצות כיצד לתקן את הבעיות הללו. כאשר המפתח מקבל את ההמלצה, Mobb מחיל את התיקון, אומר וורצל. החברה תומכת כיום ב-Java, Node.js, ותמיכה ב-.NET נמצאת בדרך.

Mobb "עשה מקרה טוב לגבי איך הם יחסכו כסף לארגונים", אומר בוראד, ומציין שאחד הממצאים מסקר מקבלי ההחלטות של Omdia 2023 היה שעלויות גבוהות היו בין שלושת אתגרי אבטחת הענן המובילים לארגונים. "ל-Mobb הייתה תשובה מאוד פשוטה לגבי איך זה יפתור חלק מבעיית תיקון הפגיעות ויחסוך זמן למפתחים."

שלושה מהמועמדים הסופיים - Endor Labs, Gomboc.ai ו-Mobb - נגעו בתעדוף נקודות תורפה, וגישותיהם לסיוע לצוותי אבטחה להבין אילו נושאים היו הדחופים ביותר. אבטחת תוכנה היא ללא ספק תחום בעל עניין רב באקוסיסטם הסטארט-אפים - הזוכה בשנה שעברה, מַעֲרָכָה, היה גם סטארטאפ לאבטחת תוכנה.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• ChartPrime. הרם את משחק המסחר שלך עם ChartPrime. גישה כאן.
• BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
• מקור: https://www.darkreading.com/dr-tech/mobb-wins-black-hat-startup-spotlight-competition