Prime 通过AI系统风险分析和建议措施重新思考企业安全设计

2024-10-09 11:30:00 英文原文

作者:Carl Franzen

vector art, line art, gradients, corporate memphis, minimalist, flat illustration, serious but uplifting, navy and reddish ochre tones, a security engineer human figure sits in front of a bank of monitors in front of a large wall displaying prime numbers only

VentureBeat 使用 Midjourney 制作

订阅我们的每日和每周通讯,获取最新更新和独家行业领先人工智能报道内容。了解更多


即使软件世界正朝着简化用户界面和应用程序的方向发展,幕后安全工作的复杂性却日益增加——尤其是对于那些依赖软件运营的中大型企业而言。

尽管许多企业都试图采纳“设计时的安全性”这一理念——即在每个新更新、构建、产品或系统变更中考虑其安全影响——但事实是,即使是经验丰富且人员配备充足的网络安全团队也很难理解他们整个系统的状况以及进行任何更改(甚至是像更新防火墙和保护措施这样的必要更改)所带来的影响。

但是Prime安全防护认为自己找到了解决方案:这家由以色列创立的初创公司今天宣布,其人工智能驱动的系统已进入测试发布阶段。该系统可以监控您企业的整个网络和堆栈,并主动向您标记风险、建议的更改以及您可以实施的操作,并将这些事项分类为“分析”、“监控”或“干预”。这有助于安全团队一目了然地确定工作的优先级。

该公司还宣布已获得600万美元的种子轮融资,领投方为Foundation Capital,Flybridge Capital Partners和几位著名的天使投资人也参与了此次融资。

Prime Security的首席执行官兼联合创始人迈克尔·诺夫指出,由于后期安全干预导致的延误和减速是依赖软件行业的普遍问题。

“我非常早就发现,产品速度完全依赖于产品的安全性,”他在本周早些时候接受VentureBeat视频采访时说。“没有保护我就无法前进,而我一直遇到的挑战是开发人员会说‘我在安全问题上卡住了。’ 安全性总是被视为一种障碍。”

Prime安全的推广截图。来源:Prime

在设计阶段解决安全问题

Prime Security最新发布的产品将安全护栏整合到了软件开发生命 cycle(SDLC)的设计阶段。

通过使用人工智能——特别是通过主要云服务提供商提供的专有模型的微调版本,这些模型经过合成数据训练,该合成数据由Prime生成,以涵盖常见的企业安全需求以及不太常见但重要的安全需求——该平台帮助团队在编码开始之前检测、优先处理和缓解安全风险。

这种主动的方法使得组织能够从一开始就将安全最佳实践融入其软件产品中,从而减少在开发过程后期出现漏洞的可能性。Nov亲自经历过在保证安全的同时应对截止日期的问题。

“我们创立Prime是因为我因为安全问题错过了一个大型企业客户的重要截止日期,”Nov说道。“我意识到问题早在设计阶段就已经出现了,在那个阶段并没有主动地考虑安全性。”

该产品现已进入私人测试阶段,通过消除安全团队与工程团队之间的摩擦来帮助解决这些问题。

该人工智能驱动的平台与Jira和Confluence等工具集成,实时分析任务并为开发人员提供即时的安全建议。

“我们标记引入风险的任务,并主动提供安全审查。工程师不需要等待与安全团队会面,他们可以直接在Jira中获得建议,”诺夫补充道。

种子轮融资以促进增长

Prime Security的600万美元种子轮融资将用于扩大其研发努力并壮大其销售和工程团队。

该公司分别在纽约和特拉维夫设有办公室,并计划利用新的资金进一步增强其人工智能驱动的平台并支持业务增长。

本轮融资由Foundation Capital领投,参与方包括Flybridge Capital Partners以及一组具有影响力的天使投资人,其中包括Own Company的联合创始人兼首席执行官Sam Gutmann;Own Company的首席技术官Adrian Kunzle;Qualtrics的首席战略官Assaf Keren;Bigid的联合创始人兼首席执行官Dimitri Sirota;Datadog董事会成员Michael Callahan;以及CyberX的联合创始人兼首席执行官Omer Schneider。这一经验丰富的一组人将在指导Prime Security的战略方向上发挥关键作用。

产品关键特性

Prime Security的平台专注于几个关键的安全领域:

  • 产品架构的安全漏洞检测授权错误、敏感数据未加密、会话过期及基于角色的访问控制不当等问题。
  • 设计阶段的安全违规事项识别风险,如未经授权的外部实体、不受限制的网络访问和误分配的管理任务。
  • 审计和合规违规行为解决诸如个人身份信息(PII)未经授权转移、安全政策不完善和审计轨迹不足等问题。

该产品帮助组织采取主动措施,这一点是Nov强调的现代安全实践中至关重要的部分。“为什么你要为漏洞悬赏付钱?因为你的软件中有其他人发现的问题。我告诉你,要对此采取主动措施。在问题初期就解决它,并且高效地解决。”他说道。

通过结合传统和现代人工智能技术,该平台能够解析来自Jira票据和Confluence文档的复杂、非结构化数据,并根据特定的风险和上下文提供相应的建议。

“我们所做的就是将一个完全手动的、咨询性的过程自动化。在规划阶段,安全团队需要介入的地方都是非结构化数据——JIRA工单、Confluence文档。我们使用生成式AI来提供一致且可扩展的建议,”诺夫解释道。

界面设计直观且易于操作,如平台的工作流所示。用户可以跟踪安全任务、审查建议并实时解决合规问题。

Prime安全的推广截图。来源:Prime

差异化和竞争

Nov还介绍了Prime Security如何在市场中区别于其他竞争对手,包括Apiiro、Remy Security、Snyk和ShiftLeft等老牌公司。据Nov介绍,Prime的主要差异化优势在于其不仅能够识别风险,还能提供切实可行的建议以解决问题。“安全团队已经厌倦了接收成千上万的警报——他们想要解决方案,而不仅仅是问题。这就是我们的与众不同之处。”他解释道。

虽然像Snyk这样的公司与咨询服务业合作以在设计阶段提供安全服务,Nov指出他们的解决方案往往更侧重于代码阶段而非设计阶段,这导致了早期风险检测方面的缺口。“这只是验证问题规模很大。例如,Snyk与德勤合作为设计阶段提供了咨询服务,但他们目前没有相应的产品。他们将重点移到了代码阶段,在代码存在时,则有许多工具可供使用,”Nov说道。

Prime也打算与更广泛的行业倡议保持一致。“一旦我们结束低调运营,我们将签署‘设计时安全承诺’,”Nov提到,指的是由美国网络安全和基础设施安全局(CISA)领导的倡议。

诺瓦强调,Prime 在开发的设计阶段的专注使其能够提供比竞争对手更全面的解决方案。“我们熟悉 Apiiro 和 Remy。Apiiro 的解决方案相对较轻量级——这是他们提供的一个方案,但不是他们的全流程重点。Remy 主要专注于识别风险,但他们没有提供闭合循环的建议。”他补充道。

行业反应和市场潜力

将安全嵌入软件开发设计阶段的重要性正在被认可,尤其是在监管机构强调以安全性为设计原则的情况下。像NIST和ISO这样的组织制定的标准提倡在产品开发初期就融入安全控制措施,这一变化与Prime Security的方法一致。

然而,在大型组织中扩大安全工作的规模长期以来一直是一个挑战。“每150名开发人员只有一名安全人员。这无法扩展,这种摩擦总是存在,”Nov指出。“我们的客户不断告诉我们,最大的好处是防止事后补救,并且能够在不增加人手的情况下扩展他们的安全团队。”

通过在设计阶段自动化安全干预,Prime Security为企业提供了早期检测风险的能力,从而减少了后期因补救而产生的高昂成本和时间消耗。“安全性必须在编写代码之前就可以扩展。这是我们所坚持的前提。您必须在编写代码之前部署安全性,而不是之后。”Nov 强调道。

Qualtrics 首席安全官 Assaf Keren 强调了 Prime 解决方案的价值,特别是它能够提升安全团队的生产力。他说:“在当今快速变化的数字环境中,平衡开发效率与强大的安全性从未像现在这样重要。”

展望未来

在投资者的支持和市场上对早期安全解决方案的明确需求下,Prime Security有望在产品安全领域产生重大影响。Foundation Capital的合伙人Sid Trivedi强调了该公司通过将先进的人工智能带入产品设计前沿来颠覆传统安全方法的潜力。“Prime为安全团队提供了一个新的机会,可以利用现代人工智能基础设施,并且对产品的未来安全愿景令人印象深刻。”Trivedi说道。

Prime Security的产品现已进入私人测试阶段,并且该公司正在积极开发更多功能和能力,以帮助更多的组织在软件开发的早期阶段解决安全挑战。

VB每日摘要

掌握最新资讯!每日将最新新闻发送到您的邮箱。

通过订阅,您同意VentureBeat的条款服务条款。

感谢订阅。查看更多VB新闻通讯这里.

发生错误。

关于《Prime 通过AI系统风险分析和建议措施重新思考企业安全设计》的评论


暂无评论

发表评论

摘要

2024年10月9日 早上4:30 VentureBeat由Midjourney制作 订阅我们的每日和每周通讯,获取行业领先的人工智能报道的最新更新和独家内容。虽然像Snyk这样的公司已经与咨询服务机构合作,在设计阶段进行安全性保障,但Nov指出,他们的解决方案通常更侧重于代码阶段而非设计阶段,这在早期风险检测方面留下了缺口。“这只是验证了问题规模之大。我们的客户不断告诉我们,最大的好处在于防止事后补救,并且能够在不增加人手的情况下扩展其安全团队。”Foundation Capital的合伙人Sid Trivedi强调了该公司通过将先进的人工智能技术引入产品设计前沿来颠覆传统安全保障方法的巨大潜力。