即使软件世界已经转向简化的用户界面和应用程序,幕后的安全工作也变得更加复杂——特别是对于依赖软件运营的大中型企业而言。
尽管许多企业都试图采用“设计安全”的方法,即仔细考虑每个新更新、构建、产品或系统更改的安全后果,但事实是,即使是经验丰富、人员充足的信息安全团队也很难了解他们的整个系统以及任何更改的后果,即使是更新防火墙和保护措施等必要的更改。
但Prime Security认为自己有解决方案:这家以色列初创公司今天宣布发布其 AI 驱动系统的测试版,该系统可监控企业的整个网络和堆栈,并主动为您标记风险、建议您可以实施的更改和操作,以及将它们分类到您应该执行的具体类别中:“分析”、“监控”或“干预”。这有助于安全团队一目了然地确定其工作优先级。
该公司还宣布已筹集 600 万美元的种子资金,由 Foundation Capital 领投,Flybridge Capital Partners 和著名天使投资人跟投。
Prime Security 首席执行官兼联合创始人 Michael Nov 指出,后期安全干预导致的延迟和放缓是依赖软件的行业普遍存在的一个问题。
“我很早就发现,产品速度完全取决于产品安全性,”他在本周早些时候接受 VentureBeat 视频电话采访时表示。“没有保护,我寸步难行,而我不断遇到的挑战是开发人员说,‘我被安全问题困住了。’安全问题一直被视为坏人。”
在设计阶段解决安全问题
Prime Security 新推出的产品将安全护栏集成到软件开发生命周期 (SDLC) 的设计阶段。
通过使用人工智能(特别是通过主要云提供商提供的专有模型的微调版本,使用 Prime 专门生成的合成数据进行训练,以满足常见和不太常见的企业安全需求),该平台可帮助团队在编码开始之前检测、确定优先级并减轻安全风险。
这种主动方法使组织能够从一开始就将安全最佳实践纳入其软件产品中,从而降低在开发过程中后期出现漏洞的可能性。Nov 亲身体验了试图保持安全和按时完成所面临的问题。
“我们之所以创办 Prime,是因为我因安全问题错过了一个非常大的企业客户的最后期限,”Nov 说道。“我意识到问题始于设计阶段,当时没有主动解决安全问题。”
该产品目前处于私人测试阶段,可通过消除安全团队和工程团队之间的摩擦来帮助消除这些障碍。
该人工智能驱动平台与 Jira 和 Confluence 等工具集成,实时分析任务并向开发人员提供即时安全建议。
“我们会标记引入风险的任务并主动提供安全审查。工程师无需等待安全问题;他们可以直接在 Jira 中获得建议,”Nov 补充道。
种子资金推动增长
Prime Security 的 600 万美元种子轮融资将用于扩大其研发力度并发展其销售和工程团队。
该公司在纽约和特拉维夫设有办事处,并计划利用新资金进一步增强其人工智能驱动的平台并支持业务增长。
本轮融资由 Foundation Capital 领投,Flybridge Capital Partners 和一群有影响力的天使投资者参投,其中包括 Own Company 联合创始人兼首席执行官 Sam Gutmann、Own Company 首席技术官 Adrian Kunzle、Qualtrics 首席战略官 Assaf Keren、Bigid 联合创始人兼首席执行官 Dimitri Sirota、Datadog 董事会成员 Michael Callahan 以及 CyberX 联合创始人兼首席执行官 Omer Schneider。这个经验丰富的团队将在指导 Prime Security 的战略方向方面发挥关键作用。
产品的主要特点
Prime Security 的平台专注于几个关键的安全领域:
- 产品架构中的安全漏洞:检测授权错误、未加密的敏感数据、过期会话和不当的基于角色的访问控制等问题。
- 设计阶段安全违规:识别未经批准的外部实体、不受限制的网络访问和错误分配的管理任务等风险。
- 审计和合规违规:解决未经授权的个人身份信息 (PII) 传输、不完整的安全策略和审计跟踪不足等问题。
该产品可帮助组织采取主动措施,Nov 强调这对现代安全实践至关重要。“你为什么要支付漏洞赏金?因为你的软件中存在其他人发现的问题。我告诉你,要积极主动。从一开始就解决问题,并有效地解决问题,”他说。
通过结合传统和现代人工智能技术,该平台可以解释来自 Jira 票证和 Confluence 文档的复杂、非结构化数据,并根据具体风险和情况提出建议。
“我们所做的是将完全手动的咨询流程自动化。规划阶段需要安全干预,而这都是非结构化数据 — JIRA 票证、Confluence 文档。我们使用 Gen AI 提供一致、可扩展的建议,”Nov 解释道。
从平台的工作流程可以看出,界面设计直观且可操作。用户可以实时跟踪安全任务、查看建议并解决合规性问题。
差异化与竞争
Nov 还谈到了 Prime Security 如何与该领域的其他参与者(包括 Apiiro、Remy Security、Snyk 和 ShiftLeft 等知名公司)区分开来。Nov 表示,Prime 的主要差异化在于它不仅能够提供风险识别,还能提供可操作的建议以完成闭环。“安全团队厌倦了收到上百万条警报——他们想要的是解决方案,而不仅仅是问题。这就是我们与众不同的地方,”他解释道。
虽然像 Snyk 这样的公司已经与咨询服务机构合作,提供设计阶段的安全服务,但 Nov 指出,他们的解决方案往往侧重于代码阶段,而不是设计阶段,这在早期风险检测方面留下了空白。“这只是验证了问题很大。例如,Snyk 与德勤合作,为设计阶段提供咨询服务,但他们目前还没有相关产品。他们将重点转移到代码上,一旦有了代码,就有各种各样的工具可用,”Nov 说。
Prime 还打算与更广泛的行业举措保持一致。“一旦我们不再隐身,我们完全打算签署 Secure by Design 承诺,”Nov 提到,他指的是由美国网络安全和基础设施安全局 (CISA) 领导的这项举措。
Nov 强调,Prime 专注于开发的设计阶段,因此能够提供比竞争对手更全面的解决方案。“我们对 Apiiro 和 Remy 都很熟悉。Apiiro 的解决方案相对较轻量级——这是他们提供的解决方案之一,但不是他们的端到端重点。Remy 主要专注于识别风险,但他们不提供闭环建议,”他补充道。
行业反应及市场潜力
将安全性嵌入软件开发设计阶段的重要性正在逐渐得到认可,尤其是监管机构强调安全设计原则。NIST 和 ISO 等组织的标准提倡在产品开发早期就纳入安全控制,这一转变与 Prime Security 的方法一致。
然而,在大型组织中扩大安全工作规模一直是一个挑战。“每 150 名开发人员就配备一名安全人员。这是无法扩大的,而且这种摩擦总是会发生,”Nov 指出。“我们的客户一直告诉我们,最大的好处是防止后期补救,并能够在不增加人员的情况下扩大他们的安全团队。”
通过在设计阶段自动执行安全干预,Prime Security 使公司能够及早发现风险,从而最大限度地减少后期昂贵且耗时的补救措施。“在编写代码之前,安全性必须是可扩展的。这是我们的前提。您必须在编写代码之前部署安全性,而不是之后,”Nov 强调道。
Qualtrics 首席安全官 Assaf Keren 强调了 Prime 解决方案的价值,尤其是它能够成倍提高安全团队的生产力。“在当今快速发展的数字环境中,平衡开发效率与强大的安全性从未如此重要,”他说。
展望未来
凭借投资者的支持和市场对早期安全解决方案的明确需求,Prime Security 有望在产品安全领域产生重大影响。Foundation Capital 合伙人 Sid Trivedi 强调,该公司通过将先进的人工智能引入产品设计的最前沿,有可能颠覆传统的安全方法。“Prime 为安全团队提供了一个新的机会,让他们能够利用现代人工智能基础设施,并对产品安全的未来有着令人印象深刻的愿景,”Trivedi 说。
Prime Security 的产品目前处于私人测试阶段,该公司正在积极致力于扩展其功能和能力,旨在帮助更多组织解决软件开发早期阶段的安全挑战。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/prime-tong-guo-ai-xi-tong-feng-xian-fen-xi-he-jian-yi-cuo