אוקס סקיוריטי (OX Security), סטארט-אפ אבטחת סייבר שהקימו שני בכירים לשעבר בצ'ק פוינט, נחשף תקשורתית לראשונה היום (ה'), לאחר קצת פחות משנה של פעילות. אוקס נחשפת לאחר שהשלימה גיוס סיד ענק של 34 מיליון דולר בשני חלקים. מדובר באחד מגיוסי הסיד הראשוניים הגדולים ביותר לסטארט-אפ ישראלי אי-פעם.
אוקס פועלת בתחום החם של אבטחת שרשרת האספקה של תוכנה, בו מגנים על כל התהליכים שקורים במהלך הפיתוח וההפצה של התוכנה, לפני שהיא עולה לאוויר ומגיעה ללקוחות. תחום זה, שבו פועלים שורה של סטארט-אפים ישראלים, צבר תאוצה בעקבות מתקפת סולרווינדס, שנחשפה בסוף 2020 והוגדרה כחמורה בתולדות ארה"ב.
ההאקרים במתקפה ההיא, ככל הנראה האקרים רוסיים בגיבוי מדינתי, הצליחו להתחבר למערכת פיתוח התוכנה של סולרווינדס, חברה שמפתחת מערכת ניטור תשתיות IT. ההאקרים "זיהמו" את הפיתוח והחדירו כלי תקיפה לעדכון התקופתי שנשלח מטעם סולרווינדס ללקוחות. לאחר שהלקוחות הורידו את העדכון, קיבלו ההאקרים בבת אחת גישה למערכות של כ-30 אלף ארגונים, כולל גופים רבים בממשל האמריקאי, מה שהדגים את פוטנציאל הנזק הרב שיש למתקפת שרשרת אספקה כזו.
"נראה היה שהשמיים נופלים"
אוקס נרשמה ברשם החברות בסוף יולי שנה שעברה לאחר ששני מייסדיה, ניצן זיו וליאור ארצי, פרשו מצ'ק פוינט. השניים עבדו כעשור בצ'ק פוינט, כאשר בתפקיד האחרון כיהן זיו כסמנכ"ל מוצרי הסייבר בצ'ק פוינט וארצי כדירקטור למוצרי אבטחת נקודות קצה ומובייל. זיו הוא כיום מנכ"ל אוקס סקיוריטי וארצי מכהן כמנהל המוצר.
עבור זיו זהו הניסיון השני ביזמות, לאחר שייסד וניהל את הסטארט-אפ Vanadium מ-2003 ועד 2011. . החברה שעסקה באבטחת נקודות קצה גייסה 5 מיליון דולר והגיעה למכירות של מעל מיליון דולר בשנה, אך בסופו של דבר נסגרה. "זאת הייתה התקופה של אחרי המשבר של 2008 ובימים ההם התפיסה של משקיעים הייתה שסייבר זה פאסה. העובדה שהגענו למיליון דולר הכנסות לא הרשימה אף אחד", אומר זיו.
בפועל התחילו זיו וארצי לעבוד על אוקס באוקטובר 2021 כחלק מהחממה של קבוצת בניית החברות טים8 (Team8), שגם העניקה לה את ההשקעה הראשונית. לטים8 הם הגיעו דרך היכרות מימי השירות הצבאי של ארצי ביחידת 8200 עם אמיר זילברשטיין, שותף מנהל בטים8. בניגוד למודל הקלאסי של טים8 שבו הקבוצה מחליטה על תחום לעסוק בו ומחפשת יזמים שיקדמו פתרון בתחום, זיו וארצי הגיעו עם רעיון מבושל משלהם. מיד לאחר ההשקעה של טים8, החליטו זיו וארצי להרחיב את סיבוב הסיד ולהכניס משקיעים נוספים, בהובלת קרן Evolution וקרן 12 M של מיקרוסופט ובהשתתפות Rain Capital וטים8.
זיו נמנע מלפרט על כמה עמדה ההשקעה הראשונית של טים8 ומה היה גובה של השלמת הסיבוב שנסגרה בקיץ האחרון. "צריך לזכור שבאותה התקופה נראה היה שהשמיים נופלים על עולם הטכנולוגיה ואנחנו חוזרים לתקופת הצנע, אז החלטנו לנצל את האופציה שהייתה לנו להרחיב את הסיבוב כדי שיהיה לנו עוד כסף בקופה. באותו השלב התקדמנו נורא מהר וכבר היו לנו לקוחות שרצו לקנות את המוצר, כך שזה היה זמן טוב להגדיל פעילות", הוא אומר.
שימוש במשאבי צד שלישי
העולם של אבטחת שרשרת האספקה של תוכנה מושך תשומת לב גם כתוצאה מהשינויים שחלו בתהליכי פיתוח התוכנה. כדי לפתח תוכנה מהר יותר, גופי פיתוח כיום אינם מפתחים את כל הקוד מהתחלה אלא משתמשים יותר ויותר במשאבים כמו חלקי קוד מוכנים, שכבר פותחו על ידי גופי צד שלישי. המשמעות של כל זה היא שלארגון אין שליטה מלאה על מה שנכנס לתוך התוכנה שלו, מה שפותח פתח לחולשות.
בתחום של אבטחת שרשרת אספקה עוסקים כאמור סטארט-אפים ישראלים רבים, שכל אחד מהם מתמחה באספקט שונה. השם המוכר ביותר מבין החברות הישראליות הוא של סניק, ששוויה הוערך ב-8.5 מיליארד דולר בשנה שעברה. ההתמחות המקורית של סניק הייתה מתן נראות לגבי השימוש שנעשה ברכיבי קוד פתוח שונים במהלך פיתוח התוכנה וזיהוי החולשות בהם.
חברות ישראליות נוספות בתחום, שקרובות בפעילותן לאוקס סקיוריטי, הן אפיירו- שנמצאת בימים אלה במגעים להירכש על ידי פאלו אלטו נטוורקס ולג'יט סקיוריטי - שנחשפה השנה אחרי גיוס 30 מיליון דולר. הייחוד של אוקס, אומר זיו, הוא בכך שהיא מסתכלת על כל המסלול של הפיתוח - מכתיבת הקוד עד להעלאה לענן- ומנסה לזהות בעיות בתהליך וגם להציף את החשובות.
כחלק מהדגש על אבטחת שרשרת אספקה של תוכנה ולאור השימוש במשאבי צד שלישי בפיתוח, נדרשים גופי פיתוח לעשות שימוש בכלי שנקרא SBOM - Software Bill of Materials - שיוצר רשימת מלאי של כל מה שנכנס לתוך הקוד. באוקס סקיורוטי פיתחו במקום תקן חדש עם שותפים, בשם PBOM, שלטענתם הוא מקיף יותר ומתאר בפירוט רב יותר מה עבר על כל פיסת קוד בתהליך הפיתוח.
לאוקס יש 30 לקוחות פעילים, חלקם משלמים וחלקם נמצאים בתהליכים להפוך ללקוחות משלמים, לדברי זיו. החברה מעסיקה כ-30 עובדים.
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.