साक्षात्कार
क्रेग रिडेल, वॉलार्म में ग्लोबल फील्ड सीआईएसओ – साक्षात्कार श्रृंखला
क्रेग रिडेल, वॉलार्म में ग्लोबल फील्ड सीआईएसओ, एक अनुभवी साइबर सुरक्षा कार्यकारी हैं जो एंटरप्राइज़ को एपीआई और एआई-ड्राइवन सिस्टम से जुड़े बढ़ते जोखिमों को प्रबंधित करने में मदद करने पर केंद्रित हैं। अपनी वर्तमान भूमिका में, वह सीआईएसओ, सीआईओ और इंजीनियरिंग नेताओं के साथ मिलकर वास्तविक दुनिया के हमले के पैटर्न और दुरुपयोग परिदृश्यों को कार्रवाई योग्य सुरक्षा रणनीतियों में अनुवाद करने के लिए काम करता है, जिसमें अवलोकन पर जोर दिया जाता है – यह समझना कि एपीआई और एआई सिस्टम उत्पादन में उपयोगकर्ताओं, अनुप्रयोगों और एकीकरण के माध्यम से कैसे व्यवहार करते हैं। उनका करियर पहचान और पहुंच प्रबंधन, शून्य विश्वास वास्तुकला और एंटरप्राइज सुरक्षा में नेतृत्व भूमिकाओं को शामिल करता है, जिसमें नेटवरिक्स, क्रोन और एचपी जैसे संगठनों में बड़े पैमाने पर आईएएम परिवर्तन और सुरक्षा ढांचे को आधुनिक बनाने के लिए ड्राइव किया जाता है। रिडेल की विशेषज्ञता व्यवसाय तर्क हमलों, एपीआई दुरुपयोग, एआई सिस्टम ड्रिफ्ट और धोखाधड़ी जैसे उभरते खतरों पर केंद्रित है, जिसमें उच्च-स्तरीय सुरक्षा रणनीति और संचालन निष्पादन के बीच की खाई को पाटने पर निरंतर ध्यान केंद्रित किया जाता है।
वॉलार्म एक साइबर सुरक्षा कंपनी है जो आधुनिक क्लाउड वातावरण में एपीआई, अनुप्रयोगों और एआई-ड्राइवन सिस्टम की रक्षा में विशेषज्ञता रखती है। इसका प्लेटफ़ॉर्म एपीआई दुरुपयोग, व्यवसाय तर्क हमलों और स्वचालित शोषण जैसे खतरों के खिलाफ निरंतर खोज, परीक्षण और वास्तविक समय सुरक्षा प्रदान करता है, जबकि सिस्टम के व्यवहार में गहरी दृश्यता प्रदान करता है। मल्टी-क्लाउड और क्लाउड-मूल वास्तुकला के लिए डिज़ाइन किया गया, वॉलार्म मौजूदा डेवओप्स और सुरक्षा कार्य प्रवाह में एकीकृत करता है, जिससे संगठनों को हमलों का पता लगाने और उन्हें रोकने में सक्षम बनाता है क्योंकि वे होते हैं, इसके बाद नहीं। एपीआई इन्वेंट्री, एआई-ड्राइवन खतरा पता लगाने और स्वचालित प्रतिक्रिया क्षमताओं को जोड़कर, प्लेटफ़ॉर्म एक बढ़ती वास्तविकता को संबोधित करता है जहां एपीआई और एआई सिस्टम आधुनिक डिजिटल व्यवसायों के लिए प्राथमिक हमला सतह बन गए हैं।
आपने अपना करियर सिस्टम और बुनियादी ढांचे के साथ काम करना शुरू किया और फिर पहचान, पहुंच, एपीआई और एआई सुरक्षा पर केंद्रित नेतृत्व भूमिकाओं में चले गए। आपके इस यात्रा में कौन से प्रमुख परिवर्तन हुए जिससे आपको यह निष्कर्ष निकला कि वास्तविक जोखिम परिधि से दूर हो गया है और एपीआई और मशीन-चालित प्रणालियों में चला गया है?
मेरे करियर की शुरुआत में, ध्यान परिधि की रक्षा पर था। फ़ायरवॉल, खंड, बुनियादी ढांचे को मजबूत करना। यह मॉडल तब काम करता था जब सिस्टम अधिक स्थिर थे और विश्वास सीमाएं आसानी से परिभाषित की जा सकती थीं।
जो बदल गया वह यह है कि अनुप्रयोगों का निर्माण कैसे किया जाता है और सिस्टम कैसे बातचीत करते हैं। एपीआई सब कुछ का जोड़ बन गया। एआई ने इसे और तेज कर दिया। अब सिस्टम निर्णय ले रहे हैं, अन्य सिस्टम को कॉल कर रहे हैं और मानवों के हस्तक्षेप के बिना कार्रवाई कर रहे हैं।
उस बिंदु पर, परिधि कम प्रासंगिक हो जाती है। वास्तविक जोखिम वहां जाता है जहां निर्णय लिए जाते हैं और कार्रवाई की जाती है, एपीआई और मशीन-चालित कार्य प्रवाह के अंदर।
यदि आपके पास वहां दृश्यता और नियंत्रण नहीं है, तो आप ऐसे व्यवहार पर विश्वास कर रहे हैं जिसे आप पूरी तरह से नहीं देख सकते हैं। यह वह जगह है जहां व्यवसाय जोखिम दिखाई देता है, वित्तीय जोखिम से लेकर अनपेक्षित परिणामों और संचालन व्यवधान तक।
आपने साइबर हाथ मिलाने को तोड़ा हुआ बताया है, जिसमें सिस्टम कैसे विश्वास स्थापित करते हैं और जटिल एपीआई और स्वचालित प्रक्रियाओं की श्रृंखला के माध्यम से क्रियाओं का आदान-प्रदान करते हैं। यह वास्तविक दुनिया के उद्यम वातावरण में यह टूट-फूट कैसी दिखती है?
अधिकांश वातावरण में, सिस्टम पहचान और प्रमाणीकरण के आधार पर एक दूसरे पर विश्वास करते हैं। एक टोकन वैध है, एक अनुरोध अच्छी तरह से बनाया गया है, और इंटरैक्शन की अनुमति है।
समस्या यह है कि यह मानता है कि वैध सुरक्षित के बराबर है। यह अब सच नहीं है।
हम पहचान को प्रमाणित करते हैं, लेकिन हम इरादे को नहीं मानते हैं। हम पहुंच को सत्यापित करते हैं, लेकिन श्रृंखला भर में व्यवहार को नहीं करते हैं।
एक सेवा को दूसरी सेवा को कॉल करने के लिए अधिकृत किया जा सकता है, जो डाउनस्ट्रीम कार्रवाइयों को कई एपीआई पर ट्रिगर करता है। प्रत्येक चरण अलग से वैध दिखता है, लेकिन पूरी श्रृंखला में, आप अनपेक्षित व्यवहार या तर्क का दुरुपयोग देखना शुरू कर देते हैं।
एआई-ड्राइवन वातावरण में, यह बढ़ाया जाता है। एजेंट कार्रवाइयों को श्रृंखला में डाल सकते हैं और मानव समीक्षा के बिना कार्य प्रवाह को निष्पादित कर सकते हैं।
हाथ मिलाना अभी भी होता है, लेकिन कोई यह नहीं पूछता है कि क्या व्यवहार संदर्भ में समझ में आता है। विश्वास स्थापित किया जाता है लेकिन निरंतर रूप से सत्यापित नहीं किया जाता है।
एआई और एपीआई जोखिम इतनी बार संगठनात्मक सीमाओं के बीच क्यों पड़ता है, न कि स्पष्ट रूप से स्वामित्व में?
क्योंकि सिस्टम संगठनों की संरचना के साथ संरेखित नहीं होते हैं।
डेवओप्स वितरण का मालिक है। सुरक्षा नीति का मालिक है। व्यवसायिक टीमें परिणामों का मालिक है। डेटा टीमें मॉडल का मालिक है। प्रत्येक समूह एक टुकड़े का मालिक है, लेकिन कोई भी उत्पादन में सिस्टम के व्यवहार का मालिक नहीं है।
एपीआई व्यवसाय तर्क को सिस्टम भर में निष्पादित करते हैं। एआई अस्थिर निर्णय लेने की शुरुआत करता है। दोनों हर सीमा को काटते हैं।
वे एक टीम द्वारा निर्मित होते हैं, एक अन्य टीम द्वारा सुरक्षित होते हैं, और एक तीसरे द्वारा उपभोग किया जाता है, जिसमें उन सभी में असंगत निगरानी होती है।
जो अंतराल यह बनाता है वह टीमों की विफलता नहीं है। वे संचालन मॉडल की विफलता हैं जो वास्तव में कैसे काम करते हैं इसका प्रतिनिधित्व करने के लिए।
आपके अनुभव में, कौन सी टीमें आमतौर पर एआई जोखिम का मालिक होने का दावा करती हैं, और सुरक्षा, डेवओप्स और व्यवसायिक इकाइयों के बीच सबसे बड़े अंधे धब्बे कहां हैं?
सुरक्षा टीमें आमतौर पर एआई जोखिम का मालिक होने का दावा करती हैं शासन और अनुपालन के दृष्टिकोण से। डेवओप्स तैनाती और विश्वसनीयता का मालिक है। व्यवसायिक टीमें परिणामों पर केंद्रित हैं।
अंधे धब्बे उन क्षेत्रों में दिखाई देते हैं।
सुरक्षा परिभाषित करती है कि क्या होना चाहिए। डेवओप्स सुनिश्चित करता है कि सिस्टम चले। व्यवसाय परिणामों पर ध्यान केंद्रित करता है। लेकिन बहुत कम टीमें लगातार देख रही हैं कि सिस्टम वास्तव में वास्तविक समय में क्या कर रहा है।
यह अंतर है जहां जोखिम रहता है, खासकर जब व्यवहार तकनीकी रूप से वैध होता है लेकिन संदर्भ में गलत होता है।
आधुनिक हमले अक्सर अमान्य व्यवहार के बजाय वैध और प्रमाणित व्यवहार के रूप में दिखाई देते हैं। संगठनों को इस नए वास्तविकता में पता लगाने के बारे में कैसे सोचना चाहिए?
हमें “खराब” अनुरोधों की पहचान करने से आगे बढ़ने की आवश्यकता है।
कई मामलों में, अनुरोध वैध है। प्रमाण-पत्र वैध हैं। एपीआई कॉल अपेक्षित है। जो अपेक्षित नहीं है वह क्रियाओं का क्रम है, मात्रा या परिणाम है।
पता लगाना व्यवहारिक और संदर्भ-आधारित होने की आवश्यकता है। यह एक अनुरोध को ब्लॉक करने के बारे में कम है और सिस्टम के बीच कैसे बातचीत होती है यह समझने के बारे में अधिक है।
जो दृष्टिकोण वास्तव में पैमाने पर पकड़ते हैं वे पैटर्न मिलान से परे जाते हैं। वे अनुरोधों को संरचनात्मक रूप से विभाजित करते हैं, प्रत्येक इंटरैक्शन को ज्ञात-खराब पैटर्न के खिलाफ मिलान करने की कोशिश करने के बजाय व्यवहार टोकन के सेट के रूप में मानते हैं।
यह आपको यह समझने की अनुमति देता है कि व्यवहार कैसे विकसित होता है और जहां यह विचलित होता है, यहां तक कि जब सब कुछ सतह पर वैध दिखता है।
यदि आप स्थिर नियमों या हस्ताक्षरों पर निर्भर रहते हैं, तो आप जो मायने रखता है उसे सबसे ज्यादा याद करेंगे।
आपने वास्तविक दुनिया के व्यवहार में दृश्यता के महत्व पर जोर दिया है। एपीआई और एआई सिस्टम के लिए उत्पादन में अर्थपूर्ण दृश्यता क्या दिखती है?
अर्थपूर्ण दृश्यता केवल लॉग और मेट्रिक्स नहीं है। यह संदर्भ में व्यवहार को समझना है।
एपीआई के लिए, इसका अर्थ पूर्ण अनुरोध और प्रतिक्रिया दृश्यता है, एंडपॉइंट्स का उपयोग कैसे किया जाता है, और इंटरैक्शन कैसे समय के साथ विकसित होते हैं।
एआई सिस्टम के लिए, इसका अर्थ इनपुट, निर्णय और परिणामी क्रियाओं को समझना है।
सबसे महत्वपूर्ण बात, इसका अर्थ सिस्टम भर में पूर्ण कार्य प्रवाह में इन्हें जोड़ना है, अलग-अलग घटनाओं के बजाय।
इसके बिना, आप वास्तविकता के बजाय सिस्टम व्यवहार के बारे में धारणाओं पर काम कर रहे हैं।
मानव समीक्षा और अनुमोदन मॉडल मशीन-चालित वातावरण में इतनी कम प्रभावी क्यों हो रहे हैं?
क्योंकि गति और पैमाना बदल गए हैं।
सिस्टम प्रति मिनट हजारों या लाखों कॉल कर रहे हैं, और हमले या अनपेक्षित व्यवहार मिनटों या सेकंड में खुलासा हो सकता है। आप वास्तविक प्रदर्शन को तोड़े बिना प्रत्येक निर्णय के लिए मानव को वास्तविक समय में शामिल नहीं कर सकते हैं।
एआई सिस्टम भी हमेशा निर्धारित नहीं होते हैं, जो पूर्व-अनुमोदन मॉडल को कम प्रभावी बनाता है।
मानव पर्यवेक्षण अभी भी मायने रखता है, लेकिन यह व्यक्तिगत क्रियाओं को अनुमोदित करने से गार्डरेल और परिणामों की निगरानी की ओर स्थानांतरित करने की आवश्यकता है।
जब कंपनियां विरासत सुरक्षा ढांचे का उपयोग करके एआई सिस्टम को सुरक्षित करने की कोशिश करती हैं तो आप किन सबसे सामान्य संचालन अंतरालों को देखते हैं?
सबसे बड़ा अंतर डिज़ाइन-समय नियंत्रणों पर अत्यधिक निर्भरता है।
संगठन मॉडल को सुरक्षित करने, कोड की समीक्षा करने और तैनाती से पहले नीतियों को परिभाषित करने पर ध्यान केंद्रित करते हैं। यह मानता है कि सिस्टम तैनाती के बाद अपेक्षित रूप से व्यवहार करेंगे।
वास्तव में, सिस्टम विकसित होते हैं। एपीआई बदलते हैं। एआई मॉडल नई डेटा और कार्य प्रवाह के साथ बातचीत करते हैं। व्यवहार समय के साथ बदलता है।
उत्पादन में व्यवहार के निरंतर सत्यापन के बिना, संगठनों को प्रभावी रूप से अंधा किया जा रहा है।
एक व्यावहारिक संचालन मॉडल क्या दिखता है जब कई हितधारक एआई और एपीआई जोखिम के लिए संयुक्त जिम्मेदारी साझा करते हैं?
यह स्वीकार करने से शुरू होता है कि कोई एक टीम इसे अंत से अंत तक नहीं कर सकती है।
एक व्यावहारिक मॉडल साझा जिम्मेदारी को परिभाषित करता है, जो एक सामान्य सत्य के चारों ओर錨 है: रनटाइम व्यवहार।
सुरक्षा जोखिम और नीति को परिभाषित करती है। इंजीनियरिंग सिस्टम का निर्माण और संचालन करती है। व्यवसाय स्वीकार्य परिणामों को परिभाषित करता है।
जो टीमें इसके आगे हैं, वे एक बंद लूप में संचालित होती हैं। निरंतर खोज, प्रवर्तन और उत्पादन में क्या हो रहा है, इसके आधार पर सुधार, न कि डिज़ाइन समय पर क्या माना जाता था।
सभी हितधारकों को सिस्टम के उत्पादन में कैसे काम करते हैं यह देखने की आवश्यकता है। वहां से, टीमें यह तय कर सकती हैं कि “अच्छा” कैसा दिखता है, विचलन का पता लगा सकती हैं और प्रतिक्रिया दे सकती हैं।
परिवर्तन सिलो के स्वामित्व से समन्वित जिम्मेदारी में है।
आगे देखते हुए, क्या आप सुरक्षा जिम्मेदारी को फिर से अधिक केंद्रीकृत होते हुए देखते हैं, या यह जोखिम के रूप में सिस्टम अधिक स्वायत्त होते हैं?
जिम्मेदारी वितरित रहेगी क्योंकि यह दिखाता है कि सिस्टम कैसे बनाए जाते हैं।
जो बदलेगा वह यह है कि यह जिम्मेदारी कैसे समन्वित की जाती है।
हम एकीकृत शासन मॉडल देखेंगे जहां टीमें अपने डोमेन का मालिक होती हैं लेकिन साझा दृश्यता और संदर्भ में काम करती हैं।
सफल होने वाले संगठन वे नहीं होंगे जो सब कुछ केंद्रीकृत करने की कोशिश करते हैं। वे वे होंगे जो हितधारकों को वास्तविक दुनिया में सिस्टम के वास्तविक व्यवहार के चारों ओर संरेखित करते हैं।
क्योंकि यदि कोई रनटाइम व्यवहार को नहीं समझता है, तो कोई वास्तव में जोखिम का मालिक नहीं है।
साक्षात्कार के लिए धन्यवाद, पाठक जो और जानना चाहते हैं उन्हें वॉलार्म पर जाना चाहिए।
