ניצן זיו וליאור ארצי, חברת OX Security. הפתרון "מסייע להתמודד בהצלחה עם אחד האיומים שלהם עד כה לא היה מענה אמיתי" | צילום: Shelly Brail
חברת הסייבר OX Security נחשפת לראשונה עם גיוס סיד של 34 מיליון דולר
החברה שהקימו ניצן זיו וליאור ארצי ב-2022, פיתחה פלטפורמה שמיועדת להגן על חברות מפני תקיפות שרשרת אספקה. את הסבב הובילו Evolution Equity Partners, Team8 ו-M12 - קרן הון הסיכון של מיקרוסופט, בהשתתפות Rain Capital
חברת הסטארט-אפ הישראלית OX Security הודיעה היום על השלמת גיוס סיד בהיקף של כ-34 מיליון דולר. את הסבב הובילו: Evolution Equity Partners, Team8 ו-M12 - קרן הון הסיכון של מיקרוסופט, בהשתתפות Rain Capital.
OX Security הוקמה בשנת 2022 על ידי ניצן זיו, מנכ"ל החברה וליאור ארצי, מנהל המוצר שלה, השניים הכירו בזמן שניהלו יחד את חטיבת הסייבר של צ'ק פוינט. החברה פיתחה פלטפורמה שמיועדת להגן על חברות מפני תקיפות שרשרת אספקה כגון אלה שפגעו בחברת סולארווינדס או קמפיין NotPetya שגרם להדבקה מסיבית של חברות רבות בנוזקה.
החברה הצליחה לגייס על פי שווי גבוה מאוד בתחילת דרכה. בשיחה עם כלכליסט הסביר ניצן זיו, שהסיבה לכך היא שהפתרון שלה עונה על צורך ממשי בעולם הארגוני כיום "הוא מסייע להתמודד בהצלחה עם אחד האיומים שלהם עד כה לא היה מענה אמיתי. מתקפות שרשרת אספקה". תקיפות אלה מכוונות לספקים או לקבלנים של ארגון שלרוב מחזיקים בהגנת סייבר פחות נרחבת ויעילה מאלה של לקוחותיהם הגדולים.
התקפות אלה מהוות אתגר לחברות הסייבר שכן אין להן גישה למערכות של ספק חיצוני, בעוד שלא פעם ספקים יכולים להתחבר מרחוק למערכות ארגוניות כדי לעדכן רישומים עסקיים או פעולות שבוצעו. זיו הודה שלחברה יש כיום, אחרי כשנה להיווסדה, הכנסות של פחות ממיליון דולר. ואולם הוא מאמין שהפתרון שלו יאפשר להגיע מהר מאוד לגידול אקספוננציאלי בהכנסות כך שהגיוס בוצע בהתאם לפוטנציאל הגידול ולא לפי הצרכים המיידיים.
הגיוס של החברה ישמש להגדלת המכירות וצוותי פיתוח לחברה. היא כיום מעסיקה כ-30 עובדים ומתכננת להכפיל את מספר העובדים בשנה הקרובה. הפלטפורמה של OX Security כבר נמצאת בשימוש על ידי למעלה מ-30 חברות מובילות לאבטחת שרשראות אספקת התוכנה שלהן כולל: Kaltura ו-Marqeta. "כל הלקוחות שלנו הם לקוחות משלמים", הוסיף זיו.
לפי הרגולציה האמריקאית הנוכחית, ספקים חייבים לרשום בכתב את חומרי התוכנה (SBOM); ורשימת המרכיבים שלה. רשימה זו אכן יכולה לסייע בזמן אמת לצוותי אבטחה להבין אם פגיעות שנחשפה משפיעה עליהם. עם זאת, מומחים בתעשייה מזהירים שהפתרון אינו מקיף מספיק כדי למנוע התקפות או להתמודד עם האתגרים של אבטחת שרשראות אספקת התוכנה.
OX Security מפתחת תקן פתוח חדש, PBOM. ה-Pipeline Bill of Materials) PBOM) כולל בתוכו גם את ה-SBOM אבל בצורה מקיפה יותר. כלומר, מכסה לא רק את הקוד במוצר הסופי אלא גם את ההליכים והתהליכים שהשפיעו על התוכנה לאורך כל פיתוחה. המוצר מתבסס על מחקר מקיף על של יותר מ-70 התקפות שבוצעו בשנה האחרונה, הם תכננו במיוחד את ה-PBOM כך שיוכל להכיל את המידע שיהיה נחוץ כדי למנוע כל אחת מהתקיפות האחרונות.
הפלטפורמה של OX Security היא המוצר הראשון המשתמש בתקן PBOM כדי לספק אבטחת שרשרת אספקת תוכנה מקצה לקצה, התקן מאפשר לה לכסות כל שלב בפיתוח, משלבי התכנון המוקדמים ביותר דרך לפריסה ועד לייצור. OX Security משתלבת בצורה חלקה עם כלים ותשתית קיימים כדי לנטר ולתעד כל פעולה המשפיעה על התוכנה לאורך כל מחזור חיי הפיתוח. בנוסף, מתחברת למאגר הקודים של הארגון ומבצעת סריקה של סביבת הענן, כדי לייצר אוטומטית מיפוי מלא של נכסים, ואפליקציות.
התקן של OX Security מזהה אילו כלי אבטחה נמצאים בשימוש, מוודא שכולם מחוברים ופועלים, וקובע אם יש צורך בכלים נוספים. לאחר הסריקה, OX Security מציגה את כל בעיות האבטחה שנמצאו, עם עדיפות לאלו עם השפעה עסקית רחבה.
"SBOM היא צעד חשוב, אך זה לא מספיק על מנת לאבטח את שרשראות אספקת התוכנה", אמר אדמירל מייק רוג'רס, לשעבר ראש ה-NSA וכיום שותף ב-Team8, "פרצות אבטחה בפרופיל גבוה, כמו אלו שהתגלו לאחרונה והשפיעו על SolarWinds, Codecov ו-Log4j - לא יכלו להתגלות עם הרשימה הסטטית של רכיבי תוכנה הכלולים ב-SBOM".
ניצן זיו, מנכ"ל ומייסד משותף של OX Security: "מפתחים ו-DevOps מבצעים שינויים מתמידים בשרשרת אספקת התוכנה ומוסיפים כלים חדשים, רכיבי קוד פתוח ושירותי SaaS. פלטפורמת OX Security מעניקה לצוותי DevSecOps נראות מקצה לקצה בזמן אמת לכל ההיבטים המשפיעים על התוכנה".