הטכנולוגיה של Myrror Security, המשווה קוד בינארי לקוד מקור בעזרת בינה מלאכותית, משמשת למניעת התקפות על תהליכי פיתוח תוכנה. המנוע (שהסטארט אפ כבר הגיש בקשה לרישום פטנט עבורו) מזהה, מתעדף ומטפל באיומים לא מוכרים, כמו חבילות זדוניות, בתוך שרשרת האספקה של התוכנה – הן ברכיבי קוד פתוח והן בקוד סגור
תל אביב – חברת הסטארט אפ Myrror Security, אחת החלוצות בתחום אבטחת התוכנה בארגונים המשתמשים בחבילות קוד פתוח, הושקה היום עם הכרזת גיוס סיד של 6 מיליון דולר מהקרנות Blumberg Capital ו-Entrée Capital. החברה מאבטחת את תהליך פיתוח התוכנה בארגונים (SDLC), בתקופה בה שרשרת האספקה של פיתוח התוכנה נמצאת תחת גל של מתקפות שמנצלות פרצות בקוד פתוח ובתהליכי CI/CD. ההשקעה תשמש להרחבת המוצר ולהוספת ערוצי הפצה לצורך הגדלת נתח שוק של החברה.
ארבע שנים לאחר המתקפה המאסיבית על SolarWinds, קצב המתקפות על שרשראות אספקה בעולם פיתוח התוכנה הולך וגובר במהירות, עם צמיחה של 740% במתקפות OSS (מתקפות על חבילות קוד פתוח) רק ב-2022. בעוד שמתקפות אלה קורות דרך מספר וקטורים, חבילות קוד פתוח הן הווקטור הנגיש והקריטי ביותר, מכיוון ש-70-90% מהקוד בתוכנה המודרנית בעצם בנוי על קוד פתוח . הפתרונות הקיימים מתרכזים בזיהוי חולשות ידועות, אבל אינם מטפלים בסיכונים הלא ידועים – אלה שמובילים למרבית ההתקפות המשמעותיות, באמצעות חבילות זדוניות והתקפות על תהליכי CI/CD. בנוסף, הם מציפים את צוותי האבטחה, שגם ככה מתמודדים עם עומס משמעותי, בהתראות שווא על איומים שאינם מגיעים לגרסה הסופית של הקוד, וכך מובילים לעבודה מיותרת. הצוותים האלה זקוקים לפתרון שמסוגל לאתר איומים אמיתיים, ושיכול לתעדף עבורם חולשות נגישות בלבד, כדי שהם יוכלו להקדיש את תשומת ליבם לסיכונים המהותיים ביותר בשרשרת אספקת הקוד.
ולכן נוצר הצורך בפתרון שבעזרתו יוכלו צוותי אבטחת מידע לאמת ולאבטח את תהליכי הפיתוח ואת הקוד הפתוח שבו הם משתמשים, כדי להגן על הארגונים שלהם מפני סיכונים – ידועים ולא ידועים כאחד.
הפלטפורמה של Myrror Security היא פתרון שמאחד את שני עמודי התווך הדרושים לניהול איומים בשרשרת האספקה הקוד המודרנית: זיהוי התקפות ממשיות על חבילות קוד פתוח ועל תהליכי CI/CD, ותעדוף של חולשות ידועות. החברה משתמשת ביכולת ניתוח קוד בינארי והשוואתו לקוד מקור (binary-to-source code analysis) לצד טכניקות התאמה מתקדמות מבוססות בינה מלאכותית כדי לזהות בזמן אמת איומים בלתי ידועים כגון חבילות זדוניות, קוד זדוני ופרצות CI/CD. הזיהוי נעשה בזמן אמת, עוד לפני שהאיומים מגיעים לסביבת הפרודקשן. בנוסף, באמצעות מודל Reachability מתקדם, פתרון –Code Aware SCA של Myrror מזהה אם והיכן בתוך הקוד נעשה שימוש בפונקציה שיש בה חולשה, ובכך מצמם את ה”רעש” שיוצרים כלי SCA מסורתיים. הפלטפורמה גם בונה תוכנית Remediation מדויקת, מה שמאפשר לצוותי הסקיוריטי ולמפתחים לטפל באיומים בצורה ברורה ובזמן קצר.
“השילוב של רכיבי קוד פתוח יוצר וקטור התקפה בעייתי מצד אחד, ומהצד השני מייצר נפח משמעותי של התראות לא רלוונטיות שקשה לצוותי אבטחה להתמודד איתם. עד כה, אף פתרון בשוק לא הצליח להתמודד ביעילות עם שתי הבעיות האלה יחד,” אומר יועד פקטה, מנכ”ל ומייסד שותף ב-Myrror Security. “הקמנו את Myrror כדי לעזור לצוותי אבטחה להגן על ארגונים מפני איומים ולעשות סדר בכאוס ההתראות לפני שהקוד מגיע לפרודקשן, באופן שלא מצריך שינויים בתהליכי הפיתוח. אנחנו מודים למשקיעים שלנו על האמון שלהם בנו וההבנה שהמוצר שלנו הוא הפתרון שיגן על ארגונים ולקוחותיהם ויאפשר להם להגיע לתקינות מחמירות כגון SLSA Build L3.
הפלטפורמה של Myrror כוללת פתרון Breach Detection, המבוסס על טכנולוגיה המאפשרת השוואת תוצר סופי לקוד מקור באמצעות Reverse Engineering ו – AI. כאשר הפלטפורמה מוצאת אי-התאמה בין שתי הגרסאות, היא מונעת מהחבילה או התהליך המותקף להגיע לתוכנה עצמה והמשתמשים מקבלים התראה על כך בזמן אמת.
“תוקפים ממשיכים להתרכז בתהליכי פיתוח – וממנפים חבילות קוד פתוח ותהליכי CI/CD כדי לחדור לארגונים שהאבטחה שלהם ביתר המקומות הדוקה,” אומר איליה שניידמן, סמנכ”ל בקרן Blumberg Capital. “יש דרישה ברורה בשוק לפתרון שיכול לזהות את ההתקפות הללו ולעזור לארגונים להתגונן מפני הסיכונים. Myrror Security משלבת את הצוות הנכון והטכנולוגיה הנכונה כדי להוביל את התעשייה אל עבר תוכנה מוגנת מקצה לקצה – וכל זה באמצעות פלטפורמה אחת שמשלבת זיהוי התקפות ותעדוף חולשות. אנחנו נרגשים לקראת המסע המשותף ושמחים על הצטרפות הצוות לחברות שמשנות את עתיד הסייבר בפורטפוליו שלנו.”
“רכיבי קוד פתוח, כלים ומערכות שמשמשים לפיתוח אפליקציות הם חלק משמעותי מסל הכלים של מפתחים, ומאפשרים להם לשתף ולקצר תהליכים הודות לעבודה של מפתחים אחרים. אבל התועלת הזו מגיעה לצד סיכונים משמעותיים – בעיקר התקפות על שרשרת האספקה הפיתוחית שההשלכות שלהן יכולות להגיע הרבה מעבר לארגון המותקף,” אומר זוהר אלון, יו”ר החברה. “Myrror Security עונה לצורך הזה על ידי טיפול בשורש האתגר האבטחתי של תהליך הפיתוח – עם פתרון חלוצי של וידוא קוד בינארי מול קוד המקור, המקדים את יתר השוק.”
צילום: הגר בדר
