כשגל אלבז עבד כחוקר חולשות בצ'ק פוינט, הוא החליט לעשות מחקר על העמידות של אפליקציית אינסטגרם של פייסבוק. זה לא לקח הרבה זמן עד שהצליח לחדור לאחת מספריות הקוד של האפליקציה, מה שנתן לו בעצם גישה לכל היכולות של האפליקציה המלאה. "חושבים - מה זה כבר יכול לעשות? חולשה אחת בקומפוננטה אחת? ופתאום אנחנו רואים שאינסטגרם היא אפליקציה מפלצתית, יש להם את כל ההרשאות לטלפון – מצלמה, אנשי קשר, מיקרופון, רמקול, מה לא. ואז נפל האסימון שחולשה כזו יכולה לעשות נזק עצום".
הקמתה של חברת אוליגו סקיוריטי (Oligo Security) היא התוצאה של האירוע ההוא. החברה, שיוצאת היום מתחת לרדאר ומודיעה על גיוס של 28 מיליון דולר, פיתחה טכנולוגיה שמותאמת לעולם פיתוח הקוד המודרני שמבוסס על עשרות ספריות קוד פתוח חיצוניות. החברה מאבטחת את האפליקציות בסביבת הענן תוך כדי הריצה שלהן, וכך מזהה את אותן חולשות בספריות הקוד הפתוח שנמצאות בשימוש באופן מעשי ומדלגת על כמויות הקוד העצומות שלא נמצא בשימוש.
נדב צ'רנינסקי: "זה משמש צוותי סקיוריטי אבל לא רק אותם. יש אנשי Devscops, Devops, מפתחים. בכל ארגון זה מנוהל בצורה אחרת. אבל בכל ארגון יש את הפרסונה שסבלה ב-log4J. אנחנו שואלים מי סבל מזה, הם מרימים את היד ואז אנחנו מדברים איתם"
המנכ"ל נדב צ'רנינסקי: "בשנים האחרונות כולם משתמשים באופן סורס ומבינים שחשוב לאבטח אותו. במיוחד מאז אירוע Log4shell וכל המתקפות שהיו בשנים האחרונות. העניין הוא ש-85% מהספריות האלה הן לא בשימוש בזמן ההרצה. הפתרון שלנו פועל בסביבת ההרצה, ומאפשר לנו לנטר את מה שבאמת רץ, ולחסוך הרבה זמן ומשאבים לארגונים".
אלבז, המשמש ב-CTO, מוסיף: "יש לנו שלושה פטנטים לאיך לעשות את זה, ואנחנו מתבססים על טכנולוגיה שנקראת eBPF, שכל העולם משתמש בה. היא נתנה את הקרקע לבנות את הטכנולוגיה שיצרנו ומאפשרת לנצל את הסביבה בזמן ריצה בצורה יעילה ובטוחה".
השנה האחרונה, שהתחילה עם ההתקפה הרחבה של Log4Shell והמשיכה עם התקפות נוספות דרך פרצות בקוד פתוח כדוגמת Text4Shell, Spring4Shell, OpenSSL, ו-Pytorch, ממחישה את הפערים שעדיין קיימים באבטחה ואת הצורך בשינוי הגישה. ספריות קוד פתוח מהוות 80%-90% מאפליקציות מודרניות, ומשמשות יעד להתקפות סייבר.
מי האנשים בארגון שהם הצרכנים של המוצר שלכם?
צ'רנינסקי: "זה משמש צוותי סקיוריטי אבל לא רק אותם. יש אנשי Devscops, Devops, מפתחים. בכל ארגון זה מנוהל בצורה אחרת. אבל בכל ארגון יש את הפרסונה שסבלה ב-log4J. אנחנו שואלים מי סבל מזה, הם מרימים את היד ואז אנחנו מדברים איתם".
אוליגו הוקמה לפני כשנה על ידי צ'רנינסקי, אלבז ה-CTO, וה-CPO אבשלום חילו, ששירתו לפני כן ביחידות הסייבר של המודיעין. שלושתם חברי ילדות ואפילו הוריהם הכירו אלה את אלה בתקופת הלימודים שלהם.
הגיוס נערך בשני סבבים בתוך תשעה חודשים בהובלת Lightspeed Venture Partners, Ballistic Ventures, TLV Partners ושלמה קרמר, יזם ומשקיע בתחום הסייבר. כמו כן השתתפו משקיעים נוספים כמו אייל ולדמן, מנכ"ל ומייסד מלאנוקס טכנולוגיות, עדי שהרבני, CTO ב-Snyk, ואייל מנור, לשעבר סמנכ"ל ב-Google Cloud וכיום מנהל מוצר והנדסה ראשי ב-Twilio. המייסדים הם בוגרי התוכנית Intel Ignite.
הפתרון של אוליגו כבר נמצא בשימוש על ידי חברות טכנולוגיה וכן חברות מתחום האנליטיקה, פיננסים, נדל"ן והשקעות. "פתרון האתגר של אבטחת קוד פתוח מתחיל ביכולת להעריך במדויק את הסיכון הממשי של החולשות בקוד", אמר אלכס ניישטוט, ראש אבטחת מידע במשרד האסטרטגיה של אינטל. "אוליגו תשפר את היעילות של צוותי אבטחה ותפחית את הסיכון בשימוש בקוד פתוח על ידי תעדוף החולשות בהתאם לסיכון בפועל לעומת סיכון תיאורטי".