Mobb wygrywa konkurs Black Hat Startup Spotlight

BLACK HAT USA — Las Vegas – środa, 9 sierpnia Nagrodę zdobył start-up Mobb zajmujący się naprawą luk w zabezpieczeniach Konkurs Startup Spotlight na Black Hat USA 2023, pokonując start-upy skupione na bezpieczeństwie oprogramowania sprzętowego, bezpieczeństwie infrastruktury chmury i bezpieczeństwie oprogramowania.

Czwórka finalistów – Binarnie, Laboratoria Endora, Gomboc.ai, Mobb – zostali wybrani po czerwcowym konkursie na prezentację wideo. Każdy z nich otrzymał miejsce na stoisku w Black Hat Business Hall, konsultację z analitykiem Omdia oraz możliwość wygłoszenia 10-minutowej prezentacji podczas konferencji w teatrze Startup City przed jurorami. Aby wziąć udział w konkursie, firmy musiały działać krócej niż 2 lata i zatrudniać mniej niż 50 pracowników.  

Po 10-minutowej prezentacji panel sędziowski zadał trzy do czterech pytań, aby wyjaśnić pewne kwestie, które ich zdaniem nie zostały poruszone na boisku. Sędziami byli Ketaki Borade, starszy analityk w dziale badań nad bezpieczeństwem infrastruktury firmy Omdia; Trey Ford, zastępca CISO w Vista Consulting Group; Hollie Hennessy, starszy analityk w dziale cyberbezpieczeństwa IoT firmy Omdia; Lucas Nelson, wspólnik-założyciel Lytical Ventures; oraz Robert J. Stratton III, dyrektor i strateg w Polymathics oraz partner venture w Nextgen Venture Partners.

„Na rynku start-upów czasami firmy próbują zrobić zbyt wiele, ale Mobb był pewien swoich możliwości” – mówi Hennessy z Omdii, jeden z jurorów. „Jednym z prawdziwych wyzwań cyberbezpieczeństwa jest połączenie różnych części biznesu – w tym przypadku programistów i bezpieczeństwa. Produkt Mobb wypełnia tę lukę, poprawia bezpieczeństwo i zwiększa produktywność.”

Tematem przewodnim wszystkich prezentacji była sztuczna inteligencja. Niektórzy bardzo otwarcie mówili o wykorzystaniu sztucznej inteligencji („Gomboc.ai, sztuczna inteligencja jest w naszym imieniu” – powiedział Amit sędziom), podczas gdy inni poruszyli temat wykorzystania sztucznej inteligencji, wyjaśniając swoje możliwości technologiczne. „W rzeczywistości większość firm zajmujących się cyberbezpieczeństwem do pewnego stopnia korzysta ze sztucznej inteligencji, [ale] teraz, biorąc pod uwagę obecny szum, coraz częściej słyszymy o jej zawiłościach” – mówi Hennessy z Omdii, jeden z jurorów. „Myślę, że pokazuje to wartość sztucznej inteligencji w najnowszych rozwiązaniach w zakresie cyberbezpieczeństwa i ciekawi mnie, jak nadal postrzegamy innowacje w tej przestrzeni”.

Finaliści przedstawiają sędziów

Alex Matrosov, dyrektor generalny i założyciel Binarly, przedstawił swoje argumenty dotyczące bezpieczeństwa oprogramowania sprzętowego, zauważając, że jeśli oprogramowanie sprzętowe zostanie uszkodzone, „wszystko inne będzie zagrożone”. Problemy z oprogramowaniem sprzętowym wymagają podejścia ekosystemowego, ponieważ luka występuje nie tylko w jednym urządzeniu, ale w każdym urządzeniu korzystającym z danego podatnego komponentu. Binarly stworzyło narzędzie do analizy binarnej, które znajduje znane i nieznane luki w oprogramowaniu sprzętowym i współpracuje z producentami urządzeń, takimi jak Dell, dostawcami wytwarzającymi komponenty oraz przedsiębiorstwami poszukującymi przejrzystości w swoim środowisku. Według Matrosowa usunięcie luk w oprogramowaniu może zająć 171 dni.

„Skoncentrowanie się na bezpieczeństwie oprogramowania sprzętowego jako pierwszym punkcie kontaktowym jest niezbędnym podejściem do ochrony urządzeń i obiecujące jest to, że Binarly cieszy się zainteresowaniem ze strony operatorów, producentów i twórców oprogramowania sprzętowego” – mówi Hennessy.

Varun Badhwar, dyrektor generalny i współzałożyciel Endor Labs, skupił się na bezpieczeństwie kodu open source, pomagając programistom w dokonywaniu lepszych wyborów dotyczących kodu i naprawianiu luk w zabezpieczeniach komponentów open source. Badhwar odniósł się do „podatku od produktywności programistów” – ilości czasu, jaki programiści spędzają na sprawdzaniu raportów o lukach w zabezpieczeniach, aby określić, które z nich faktycznie wymagają naprawienia. Chociaż od 80% do 90% nowoczesnego oprogramowania może składać się z komponentów typu open source, Badhwar twierdzi, że zaledwie 12% kodu jest faktycznie wykorzystywane w kodzie. Zatem luka w funkcji biblioteki open source, która nie jest używana w aplikacji, może nie mieć tak wysokiego priorytetu do naprawienia. Endor Labs posiada również silnik rekomendacji, który pomaga programistom w podejmowaniu lepszych decyzji dotyczących bibliotek i komponentów, których należy użyć – ponieważ będzie mniej problemów do naprawienia, jeśli sam pakiet został sprawdzony pod kątem tego, że nie zawiera już podatnego na ataki kodu.

Endor Labs – także finalista Innovation Sandbox na tegorocznej konferencji RSA – został wybrany ulubieńcem publiczności.

„Podobało mi się, że zwracali uwagę na bezpieczeństwo kodu open source” – mówi Borade z Omdii, kolejny z jurorów. „Widzę, jak nabywają je duże ryby, które mają trudności z organicznym wzrostem w tej domenie”.

Ian Amit, dyrektor generalny i współzałożyciel Gomboc.ai, skupił się na rozwiązywaniu problemów z infrastrukturą chmurową, zauważając, że inżynierowie bezpieczeństwa nie byli w stanie nauczyć się każdej możliwej konfiguracji ani w każdym środowisku chmurowym.

Gomboc.ai zostało założone przez weteranów infrastruktury chmurowej – Amit i jego współzałożyciel są byłymi inżynierami Amazon Web. Gomboc.ai zatrudnia analityków do definiowania zasad bezpieczeństwa i wykorzystuje sztuczną inteligencję do stosowania tych zasad. Zespoły ds. bezpieczeństwa używają zwykłego języka do definiowania zasad, np. „Nie można zapisywać w zasobach dostępnych publicznie”. Silnik AI identyfikuje kod wymagany do przekształcenia tej polityki w odpowiednią konfigurację chmury. „Ludzie są dobrzy w mówieniu, czego chcą” – powiedział Amit. „Sztuczna inteligencja jest dobra w znajdowaniu rozwiązań”.

Gomboc.ai opiera się na deterministycznej sztucznej inteligencji, a nie generatywnej sztucznej inteligencji. Generatywna sztuczna inteligencja może za każdym razem dawać różne odpowiedzi, podczas gdy deterministyczna sztuczna inteligencja zawsze będzie dawać tę samą odpowiedź za każdym razem dla tego samego zestawu danych wejściowych, co jest ważne przy próbie eliminowania luk w zabezpieczeniach i stosowania zasad.

Eitan Worcel, dyrektor generalny i współzałożyciel Mobb, skupił się na tym, jak zaoszczędzić pieniądze organizacji, korzystając z poniższej ilustracji: Raport na temat luk w zabezpieczeniach może zawierać cztery problemy, ale trzy z nich mogą nie nadawać się do wykorzystania. Zbadanie raportu w celu zidentyfikowania problemów wymagających uwagi może zająć programiście 30 minut, a otwarcie zgłoszenia zawierającego wszystkie istotne informacje może zająć programiście 15 minut. Rozwiązanie problemu może zająć cztery godziny. Jeśli organizacja wydaje 200 dolarów (USD) na godzinę na czas programisty, oznacza to, że wydaje około 1,000 dolarów – a organizacje mają tysiące problemów.

Mobb przyjmuje raporty skanowania podatności z szeregu narzędzi do statycznego testowania bezpieczeństwa aplikacji (SAST) i przypisuje poziom zaufania do różnych części kodu. Mobb udostępnia zalecenia oparte na najlepszych praktykach dotyczące rozwiązywania tych problemów. Gdy programista zaakceptuje zalecenie, Mobb zastosuje poprawkę– mówi Worcel. Firma obsługuje obecnie Java, Node.js, a obsługa .NET jest w drodze.

Mobb „dobrze pokazał, w jaki sposób zaoszczędzą pieniądze organizacjom” – mówi Borade, zauważając, że jednym z wniosków z badania Omdia Decision Maker Survey 2023 było to, że wysokie koszty znalazły się wśród trzech największych wyzwań związanych z bezpieczeństwem chmury dla przedsiębiorstw. „Mobb miał bardzo prostą odpowiedź na temat tego, jak rozwiąże część problemu usunięcia luk w zabezpieczeniach i zaoszczędzi czas programistom”.

Trzej finaliści – Endor Labs, Gomboc.ai i Mobb – poruszyli kwestię ustalania priorytetów podatności na zagrożenia i ich podejścia do pomagania zespołom ds. bezpieczeństwa w zrozumieniu, które problemy są najpilniejsze. Bezpieczeństwo oprogramowania to oczywiście obszar cieszący się dużym zainteresowaniem ekosystemu startupowego – ubiegłoroczny zwycięzca, Gromada, był także start-upem zajmującym się bezpieczeństwem oprogramowania.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• ChartPrime. Podnieś poziom swojej gry handlowej dzięki ChartPrime. Dostęp tutaj.
• Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
• Źródło: https://www.darkreading.com/dr-tech/mobb-wins-black-hat-startup-spotlight-competition