Argon taucht aus dem Verborgenen auf, während die Sorge um die Integrität der Software-Lieferkette zunimmt

Cyber Security News

Als Argon im Oktober 2020 gegründet wurde, taten der Mitbegründer und Chief Technology Officer Eylam Milner und andere Mitglieder des Teams das, was die meisten Startups tun: Sie befragten Unternehmen nach ihren Schmerzpunkten, in der Hoffnung, Erkenntnisse zu gewinnen, die in die weitere Entwicklung ihres Produkts einfließen konnten.

In diesem Fall handelte es sich bei dem Produkt um eine Sicherheitsplattform, die die Integrität der Softwareentwicklungspipeline abbilden und validieren sollte. Da es sich um ein derartiges Nischen- und technisch komplexes Sicherheitsproblem handelt, verbrachten sie oft einen großen Teil ihrer Zeit damit, den Führungskräften die grundlegende Natur der Bedrohung zu erklären, die ihre Technologie auslöschen sollte.

“Oft mussten wir die Gefahren der Art und Weise erklären, wie Software heute veröffentlicht wird und wie sie potenziell manipuliert werden kann”, sagt Milner.

Zwei Monate später entdeckte das Sicherheitsunternehmen FireEye, dass eine Hackergruppe bösartigen Code in ein Update für die Managementsoftware Orion von SolarWinds einschleuste, wodurch mindestens neun Bundesbehörden, mehrere Landesregierungen und Dutzende von Unternehmen in Mitleidenschaft gezogen wurden.

“Danach brauchten wir nichts mehr zu erklären”, sagte Milner.

Argon taucht am Dienstag aus der Tarnkappe auf und gibt bekannt, dass es sich eine Finanzierung in Höhe von 4 Millionen Dollar von Hyperwise Ventures sowie von Shlomo Kramer, dem ehemaligen Gründer von Check Point und Imperva, Zohar Alon, dem Gründer von Dome9, Giora Yaron, dem Vorsitzenden des Amdocs Technology Committee, Avery More, dem geschäftsführenden Partner von ORR Partners, und Harel Kodesh, einem ehemaligen Partner bei Silver Lake, gesichert hat.

Die Begründung des Unternehmens für seine Sicherheitsplattform lautet in etwa so: Da immer mehr Unternehmen zu einem DevOps-Modell der Softwareentwicklung übergegangen sind, das die schnelle Bereitstellung über alles andere stellt, stützt sich der Prozess zunehmend auf eine komplexe Mischung aus Cloud- oder gehosteten Umgebungen und Open-Source-Tools zum Kopieren, Verschieben und Freigeben von Code zwischen verschiedenen Systemen.

Diese Unübersichtlichkeit führt zu einem Mangel an Transparenz in der Anwendungsumgebung, der besagte Unternehmen zu einem Ziel für Hacker machen kann, die versuchen, bösartigen Code in die Software-Lieferkette einzuschleusen, insbesondere da Unternehmen dazu übergegangen sind, Software in weniger vertrauten Cloud-Umgebungen zu entwickeln.

Milner sagte, Argon konzentriere sich auf die Lücke zwischen dem Schreiben von Softwarecode und der Übergabe an die Produktion, wo das Potenzial für das Einschleusen von beschädigtem oder bösartigem Code in den Build-Prozess am größten ist. Die automatisierte Plattform ist darauf ausgelegt, die Entwicklungsumgebung eines Unternehmens abzubilden, verschiedene Assets und Benutzeraktivitäten zu verfolgen und Sicherheitswarnungen automatisch nach voreingestellten Regeln zu beheben.

Sie nutzt auch das, was Milner als ihr “Kronjuwel” bezeichnet: eine zum Patent angemeldete Technologie zur Erkennung von Code-Manipulationen, die diese Zuordnung nutzt, um zu bestätigen, dass alle Änderungen am Code durch legitime Systeme und Prozesse vorgenommen wurden, was als eine Art Verwahrkette für die Softwareintegrität eines Unternehmens fungiert, “nachdem sie den Laptop des Entwicklers verlassen hat und bevor sie den Endbenutzer trifft.”

“Im Moment gibt es keine Sichtbarkeit, es gibt kein Feedback [in the CD/CI process], es ist fast wie eine Blackbox, diese Auslieferungszeit”, sagte Milner. “Wir lassen Sie also sofort sehen, was dort vor sich geht. Sie sehen alle Assets … im Grunde alles, vom Quellcode bis zu den Codezeilen und der gesamten Technologie, alle Prozesse, die es braucht, um es zu kompilieren und zu seinem endgültigen Artefakt zu bündeln.”

Argon verwendet die anfänglichen 4 Millionen Dollar, um sein 15-köpfiges Team aufzustocken und seine Plattform weiter zu entwickeln. Milner sagte, dass eine der ersten Verbesserungen, die das Team in Angriff nehmen will, darin besteht, mehr Funktionen und Benutzerkontrollen in den Code-Integritätsprozess der Plattform einzubauen, so dass die Benutzer ihre eigenen, benutzerdefinierten Regeln und Konfigurationen erstellen können. Die Führungskräfte sind auch auf der Suche nach Büroräumen in Tel Aviv, Israel, für einen eventuellen Hauptsitz.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com