В эпоху стремительной цифровой трансформации традиционные методы обеспечения кибербезопасности перестают работать. В рамках подкаста «Gray Matter» от венчурного фонда Greylock партнер фонда Сэм Мотамеди обсуждает с основателем компании Apiiro Иданом Плотником и CISO компании Imperva Самиром Шарифом концепцию «Secure by Design» и то, как движение DevSecOps меняет подход к управлению рисками в крупных предприятиях.
🚀 Путь основателя: от элитной разведки до Microsoft 0:39
Идан Плотник начал свою карьеру в кибербезопасности более 19 лет назад в специализированном подразделении Армии обороны Израиля (IDF) . Его профессиональный путь включает несколько ключевых этапов:
- Консалтинг и аудит: После пяти лет службы Идан основал консалтинговую компанию, специализирующуюся на тестировании на проникновение (пентестах), оценке рисков и проверке безопасности архитектуры. В 2011 году этот бизнес был успешно продан .
- Aorato и UEBA: Вторым стартапом Плотника стала компания Aorato, которая стала пионером в области поведенческого анализа пользователей и сущностей (UEBA).
- Сделка с Microsoft: В 2015 году Microsoft приобрела Aorato . В технологическом гиганте Идан занял пост директора по инженерии, где руководил разработкой продуктов, безопасностью, исследованиями и Data Science для двух продуктовых линеек .
- Создание Apiiro: Опыт работы в Microsoft помог Плотнику увидеть системную проблему в том, как разработчики и специалисты по безопасности взаимодействуют друг с другом, что и привело к созданию Apiiro.
📈 Ускорение цифровой трансформации и «Код как дизайн» 2:52
Сэм Мотамеди отмечает, что пандемия COVID-19 сжала два года цифровой трансформации в пару месяцев . По мнению Идана Плотника, этот процесс фундаментально изменил культуру разработки:
- Смена ответственности: Компании-лидеры передают разработчикам полную ответственность за весь процесс поставки ПО — от архитектуры и контроля безопасности до бизнес-логики и инфраструктуры .
- Исчезновение документации: В мире Agile и CI/CD больше нет длинных спецификаций дизайна, которые архитекторы безопасности могли бы изучать неделями .
- Код как первоисточник: Идан Плотник подчеркивает: в современных реалиях код и есть актуальный дизайн системы . Если код является дизайном, то и выявлять проблемы комплаенса и безопасности нужно непосредственно в нём, а не в бумажных документах.
Самир Шариф добавляет, что потребительские ожидания также изменились. Если раньше торговая операция требовала звонка брокеру, то теперь она совершается мгновенно через приложение. Это создает новый профиль рисков: нужно понимать, кто именно стоит за устройством, и каков «аппетит к риску» при транзакциях на миллионы долларов .
🏗️ Проблема «стека» и устаревших процессов 8:07
Основная сложность трансформации, по мнению Самира Шарифа, заключается в конфликте скоростей. В то время как бизнес и технологии перешли на Agile, отделы рисков и комплаенса часто продолжают работать в модели Waterfall .
- Регуляторное давление: Регуляторы требуют соблюдения тысяч контролей, и эти требования не исчезают только потому, что компания перешла в облако .
- Дробление изменений: Вместо одного крупного релиза раз в квартал теперь происходят десятки мелких изменений. Традиционные контроли легко «обойти» в таком потоке, но при финальном релизе компания всё равно сталкивается с жесткими требованиями комплаенса .
- Инфраструктура как код: Разработчики больше не открывают тикеты на создание серверов — они запускают вычислительные ресурсы и меняют конфигурации API-шлюзов через код .
Идан Плотник вспоминает свой опыт в Microsoft: количество функций, поставляемых в продакшн, росло экспоненциально, а процессы оценки рисков оставались трудоемкими и ручными . Это приводило к низкому качеству данных и недоверию между командами.
💡 Apiiro: переосмысление жизненного цикла разработки 13:54
Apiiro была создана, чтобы устранить разрыв между CISO, разработчиками и специалистами по комплаенсу. Основная идея продукта — добавить «контекст» в процесс обеспечения безопасности.
По мнению Плотника, существующие инструменты сканирования (SAST и другие) выдают слишком много ложных срабатываний (false positives), потому что им не хватает знаний о поведении разработчиков и реальном влиянии изменений на бизнес . Apiiro решает эту проблему за счет:
- Автоматизации оценки рисков: Вместо ручных анкет система автоматически проверяет изменения кода перед деплоем .
- Фокуса на критических изменениях: Вместо того чтобы проверять всё подряд, Apiiro позволяет сузить область анализа до «материально значимых» рискованных изменений .
- Оптимизации пентестов: Идан утверждает, что клиенты Apiiro смогли сократить расходы на услуги тестировщиков, сфокусировав их работу только на тех частях системы, которые действительно подверглись рискованным изменениям .
Самир Шариф считает, что индустрии не хватало инструмента, который давал бы целостную картину технологических изменений, агрегируя данные о том, кто, что и где делает, без привлечения сотен людей для ручного аудита .
🤝 Взаимодействие стартапов и корпораций 19:37
Обсуждая сотрудничество между инноваторами и крупным бизнесом, участники выделили несколько важных принципов:
- «Слушай, а не говори»: Идан Плотник считает бесценным общение с такими лидерами, как Самир, для формирования стратегии продукта. Главный совет основателям — сидеть и слушать инсайты CISO, не пытаясь сразу продать решение .
- Быстрая обратная связь: Стартап должен иметь максимально короткий цикл обратной связи от клиента к продуктовой команде .
- Демократизация риск-менеджмента: Инструменты вроде Apiiro позволяют даже средним компаниям внедрять культуру управления рисками, которая раньше была доступна только гигантам с огромными бюджетами .
🧘 Культура и лидерство в условиях удаленной работы 22:17
В завершение беседы спикеры поделились своими методами поддержания энергии в командах в условиях пандемии (запись велась в период активных ограничений).
Идан Плотник использует тактические приемы: рассылку вина и пива сотрудникам с последующими неформальными созвонами в Zoom, где запрещено обсуждать работу . Также он инвестирует от 2 до 4 часов в месяц в обучение команды тому, как выстраивать доверие с клиентами через видеосвязь .
Самир Шариф делает упор на физическую активность. Он призывает сотрудников выходить на улицу, кататься на велосипедах и двигаться, так как креативность людей напрямую связана с социальным взаимодействием и физическим тонусом . По его мнению, гибкость удаленной работы значительно улучшила баланс между работой и личной жизнью .
