डोम रिच्टर, मोंडू में सह-संस्थापक – साक्षात्कार श्रृंखला

डोम रिच्टर, मोंडू में सह-संस्थापक एक अनुभवी उत्पाद नेता हैं जिनके पास आधुनिक सॉफ्टवेयर विकास, उत्पाद डिजाइन और टीम नेतृत्व में गहरी विशेषज्ञता है। बैकएंड, फ्रंटएंड और स्वचालन प्रौद्योगिकियों में अपने अनुभव के साथ, उन्होंने विश्वास, प्रयोग और उद्देश्य-संचालित नवाचार की संस्कृति के माध्यम से उच्च-प्रदर्शन वाली इंजीनियरिंग टीमों का नेतृत्व किया है। उनका काम एआई, साइबर सुरक्षा और डेवओप्स के क्षेत्र में है, जहां वे सहयोग, निरंतर शिक्षा और अंतिम उपयोगकर्ताओं को अर्थपूर्ण मूल्य प्रदान करने पर जोर देते हैं।

मोंडू एक सुरक्षा और अनुपालन स्वचालन मंच है जो संगठनों को बादल, ऑन-प्रिमाइसेस और हाइब्रिड वातावरण में अपने बुनियादी ढांचे का निरंतर मूल्यांकन, निगरानी और सुरक्षा करने के लिए सशक्त बनाता है। नीति-कोड और मशीन लर्निंग-ड्राइवन अंतर्दृष्टि का लाभ उठाकर, मोंडू टीमों को कमजोरियों की पहचान करने, अनुपालन मानकों को लागू करने और सुरक्षा मुद्रा को मजबूत करने में मदद करता है, बिना नवाचार को धीमा किए। यह मंच आधुनिक डेवओप्स कार्य प्रवाह में सहजता से एकीकृत होता है, जिससे निरंतर अनुपालन व्यवसायों के लिए एक वास्तविक लक्ष्य बन जाता है।

आपको मोंडू को सह-संस्थापक के रूप में प्रेरित क्या किया, और आपके हैकर और उत्पाद नेता के रूप में आपका पृष्ठभूमि—साथ ही आपके अनुभव गूगल, शेफ और पहले के स्टार्टअप्स में—कंपनी के मिशन को कैसे आकार दिया?

जब मैं अपने काम के हिस्से के रूप में सिस्टम में तोड़ने में था, तो मैंने बहुत सारी आसानी से रोकी जा सकने वाली कमजोरियों का पता लगाया। उसी समय सुरक्षा अक्सर इतनी अधिक अलर्ट के साथ उपयोगकर्ताओं को बाढ़ दे रही थी कि वे जो मायने रखता था उसे खो देते थे। तब मैंने सोचा “मुझे इन चीजों को ठीक करने के लिए एक सरल बटन दबाना चाहिए”।

मैंने तब पक्ष बदल दिया और सिस्टम की रक्षा करना शुरू किया। मैंने सीखा कि स्वचालन और कोड के साथ चीजों को ठीक से संचालित कैसे किया जाए। यह छोटे घरेलू नेटवर्क या बड़ी तकनीक कंपनी चलाने के लिए उपयोगी है। विचार एक ही हैं। अंततः यह सुरक्षा और प्लेटफ़ॉर्म इंजीनियरिंग का यह संयोजन था जिसने मुझे मोंडू को सह-संस्थापक के रूप में प्रेरित किया। मैं सुरक्षा की स्थिति में अंतर लाना चाहता था, न कि केवल एक और स्कैनर जोड़ना जो अधिक अलर्ट उत्पन्न करता है। मुझे यह देखकर बहुत प्रेरणा मिलती है कि हमारे ग्राहक मोंडू के साथ अपने मुद्रा को जल्दी से सुधार सकते हैं, कई वर्षों से फंसने के बाद। कई ग्राहकों ने हमें बताया है कि मोंडू ने उनके खुले कमजोरियों को 60% तक कम कर दिया है, जो एक अच्छा परिणाम है। हम अपने एजेंटिक कमजोरी प्रबंधन के साथ इस संख्या को 100% तक ले जाने की कोशिश कर रहे हैं।

आप उपचार को एक मिथक के रूप में वर्णित करते हैं—वास्तव में कमजोरियों को ठीक करने की प्रक्रिया जब वे खोजी जाती हैं। क्यों आप मानते हैं कि उद्योग स्कैनिंग और रिपोर्टिंग में भारी निवेश करता है, जबकि टीमों को ठीक करने के लिए संघर्ष करना जारी रखता है?

यह मुख्य रूप से सुरक्षा और प्लेटफ़ॉर्म टीमों के सेटअप का परिणाम है, विशेष रूप से बड़े संगठनों में। लंबे समय तक हमने उन्हें अलग-अलग इकाइयों के रूप में माना, प्रत्येक के अपने लक्ष्य, उपकरण और प्राथमिकताएं थीं। लेकिन कॉनवे का कानून साबित करता है कि क्या होता है: आप अपने संगठन चार्ट को समाधान के बजाय जहाज करते हैं। मैंने दोनों टीमों को एक दूसरे पर उंगली उठाते हुए देखा है – अक्सर बहुत अच्छे कारणों से।

अब हम उद्योग में एक बदलाव का अनुभव कर रहे हैं, जहां कंपनियां सुरक्षा से अधिक चाहती हैं। वे व्यवसाय ब्लॉकर नहीं चाहते हैं। वे एक ड्राइवर चाहते हैं। आगे की सोच वाले नेताओं के लिए धन्यवाद जो अब सीमाओं को आगे बढ़ाने के लिए उभर रहे हैं, हम终于 उद्योग और समाधानों में एक बदलाव देख रहे हैं।

सुरक्षा और डेवओप्स टीमों के बीच सांस्कृतिक दरार को कैसे पार किया जा सकता है जो अक्सर उपचार को धीमा करता है?

DevSecOps एक अच्छी शुरुआत है; आपको डेवलपर्स और सुरक्षा को करीब लाने की आवश्यकता है। आप सेक्योरिटी बैकग्राउंड वाले सेकोप्स इंजीनियर या प्लेटफ़ॉर्म विशेषज्ञ जैसे क्रॉस-फ़ंक्शनल भूमिकाएं नियुक्त कर सकते हैं। शारीरिक रूप से टीमों को एक साथ लाने में भी मदद मिलती है। यह महत्वपूर्ण है कि नेतृत्व इस प्रक्रिया में प्रोत्साहित और भाग लेता है। साझा लक्ष्य और मेट्रिक्स स्थापित करें और उनका ट्रैक रखें।

अपनी टीमों का समर्थन करने के लिए, आप तब टूलिंग और प्रौद्योगिकी को एक साथ लाना चाहते हैं। मैं सिर्फ सुरक्षा टिकटों को टिकटिंग सिस्टम में डंप करने की बात नहीं कर रहा हूं। आप एक साझा मॉडल स्थापित करना चाहते हैं जो दोनों टीमों को वह देता है जो उन्हें चाहिए। उदाहरण के लिए, हमने पाया है कि कमजोरी को स्वचालित करने से प्लेटफ़ॉर्म टीमों को पर्याप्त संदर्भ और सबसे महत्वपूर्ण ठीक करने के लिए आवश्यक विशिष्ट फिक्स देने में मदद मिलती है। जितना अधिक आप इसे स्वचालन और टेराफ़ॉर्म और एंसिबल जैसे स्वचालन प्रणालियों में परिवर्तन अनुरोधों के साथ जोड़ते हैं, उतना ही आसान होता है। आपको प्लेटफ़ॉर्म टीमों के लिए अपवाद लेने, सिस्टमिक मुद्दों की रिपोर्ट करने और आसानी से संवाद करने का मार्ग भी चाहिए। यह सभी सहयोग को प्रोत्साहित करता है और अंतर को पाटता है।

सुरक्षा मुद्दों को ठीक करने के लिए जिम्मेदारी और सहयोग बनाने में नेतृत्व की भूमिका क्या होनी चाहिए?

नेताओं के पास हमारी टीमों को निष्पादित करने की क्षमता में दो प्रमुख योगदानकर्ता हैं: जो हम संवाद करते हैं और जो हम मापते हैं। यदि नेता केवल खोजों को इकट्ठा करने और दूसरी टीमों को बोतल गर्दन के रूप में इंगित करने के बारे में बात करते हैं, तो उनकी टीमें इसे उसी तरह से मानेंगी। यदि वे सुरक्षा मुद्दों की संख्या को मापते हैं और उनकी गुणवत्ता और कार्रवाई नहीं लेते हैं, तो टीमें इसके लिए अनुकूलन करेंगी।

हम सीमाओं के पार अन्य नेताओं के साथ काम करके, साझा प्रकृति को स्वीकार करके और साझा परिणामों पर ध्यान केंद्रित करके सही परिस्थितियों का निर्माण करते हैं, न कि सिलो मेट्रिक्स पर। समय-समय पर हम देखते हैं कि जब नेता साझा समस्या को एक साथ संबोधित करते हैं, तो वे अपनी व्यक्तिगत टीमों और व्यवसाय के लिए अधिक प्राप्त करते हैं, क्योंकि वे मायने रखने वाले परिणामों को चलाते हैं।

जोखिम स्कोर व्यापक रूप से उपयोग किए जाते हैं लेकिन अक्सर संदर्भ की कमी होती है, और अलर्ट थकान कई टीमों को अभिभूत करती है। संगठनों को प्राथमिकता देने के लिए कैसे पुनः विचार करना चाहिए ताकि सही मुद्दों को ठीक किया जा सके?

प्रभावी प्राथमिकता के लिए आपको व्यवसाय संदर्भ और तकनीकी संदर्भ की आवश्यकता है। व्यवसाय संदर्भ में आपकी कंपनी को चालू रखने के लिए कौन से डिजिटल संपत्ति हैं और उनकी प्रतिष्ठा बनाए रखने के लिए सुरक्षित रखने की आवश्यकता है। उदाहरण के लिए, उपयोगकर्ताओं की निजी तस्वीरों वाले डेटाबेस या वेबसाइट ट्रैफिक को संसाधित करने वाले गेटवे उच्च प्राथमिकता वाले होते हैं जो इंटरनेट से जुड़े नहीं हैं। जब हम सुरक्षा खोजों को देखते हैं, तो हमें व्यवसाय संदर्भ को जानना होगा। यदि आप “महत्वपूर्ण” को कम प्राथमिकता वाली खोज पर दिखाते हैं, तो आपकी टीमें इसके प्रति संवेदनशील हो जाएंगी और इसे गंभीरता से नहीं लेंगी। यदि एक मुद्दा वास्तव में महत्वपूर्ण है, तो आपको स्पष्ट रूप से दिखाना होगा कि क्यों।

इसके बाद तकनीकी संदर्भ है। इसका अर्थ है प्रणाली, इसकी कॉन्फ़िगरेशन, स्थान, टैग, ऐप, पैकेज और उपयोगकर्ताओं को जानना। लेकिन यह सब नहीं है। आपको अपने दृष्टिकोण को ऊपर ले जाना होगा। आपको यह समझना होगा कि एक सुरक्षा मुद्दा आपके महत्वपूर्ण प्रणालियों को कैसे उजागर कर सकता है, वे कैसे जुड़े हुए हैं और एकत्रित हैं, न कि केवल एक या दो व्यक्तिगत प्रणालियों को देखकर, बल्कि उन्हें एक क्लस्टर के रूप में देखकर। हमें यह भी जानना होगा कि इन प्रणालियों को कैसे स्वचालित किया जाता है और जल्दी से लोगों को बताने के लिए कि कहां देखना है और मुद्दे को उसकी जड़ में कैसे ठीक करना है।

हमलावरों द्वारा एआई का बढ़ता उपयोग कैसे करेंगे, सुरक्षा रक्षक एआई का उपयोग जिम्मेदारी से नए जोखिम पैदा किए बिना आगे रहने के लिए?

एआई का उपयोग करने से आपकी कमजोरियों को ठीक करने की क्षमता बहुत बढ़ जाती है, और ऐसा मशीन गति से किया जा सकता है। हालांकि, यदि एआई प्रणाली सुरक्षित नहीं हैं, तो वे पर्यावरण में नए जोखिम पेश कर सकते हैं। एआई-संचालित प्रणालियों को तैनात करते समय, यह सुनिश्चित करना महत्वपूर्ण है कि वे एक सुरक्षित और पारदर्शी वास्तुकला का उपयोग करते हैं, और विस्तृत लॉगिंग और इवेंट मॉनिटरिंग को सक्षम करते हैं। एजेंट अनुमतियों को केवल आवश्यक कार्यों तक सीमित करके जोखिमों को कम रखा जा सकता है। आगे के गार्डरेल्स, जैसे कि उपयोगकर्ताओं को आवश्यकतानुसार एजेंटिक एआई प्रणालियों को बाधित करने या बंद करने की अनुमति देना, और एजेंटों और उनके कार्यों पर नियमित ऑडिट करना भी मैं बहुत अनुशंसा करूंगा।

उत्पादन वातावरण में स्वचालन को ठीक करने की क्षमता प्रदान करने के लिए आपको क्या गार्डरेल्स आवश्यक मानते हैं?

स्वचालन द्वारा की जाने वाली प्रत्येक क्रिया के लिए, आपको यह सुनिश्चित करने के लिए गार्डरेल्स की आवश्यकता है कि यह अपने अपेक्षित दायरे में कार्य करता है। यदि आप एक एआई एजेंट बनाते हैं और इसे अपने पूरे बुनियादी ढांचे में मुफ्त घूमने की अनुमति देते हैं, तो यह जल्द ही चीजों को तोड़ देगा।

सौभाग्य से, हम गार्डरेल्स को बहुत अच्छी तरह से समझते हैं धन्यवाद पिछले दो दशकों में प्लेटफ़ॉर्म स्वचालन में निरंतर काम के लिए। आधुनिक स्वचालन प्रणालियों में कार्रवाई को नियंत्रित करने वाले प्रतिबंध हैं। मोंडू में, हम एआई-संचालित उपचारों को विरोधी नीति फ्रेमवर्क के साथ जोड़ते हैं जो उनकी क्रियाओं की जांच करते हैं। कोई भी उपचार कोड में बनाया जा सकता है, परीक्षण किया जा सकता है, सत्यापित किया जा सकता है और सबसे महत्वपूर्ण बात, जब आवश्यक हो तो प्रतिबंधित किया जा सकता है।

आप अगले पांच वर्षों में मानव-संचालित और मशीन-चालित उपचार के बीच संतुलन को कैसे विकसित होते देखते हैं?

स्व-ड्राइविंग कारों की तरह, हम देखेंगे कि टीमें सुरक्षा के क्षेत्र में मशीन-चालित स्वचालन को एक-एक करके अपनाती हैं। वे पहले सुरक्षा के दायरे के एक उपसेट पर ध्यान केंद्रित करके शुरू करेंगे, जैसे कि कम प्राथमिकता वाले प्रणाली, और इसके लिए एजेंटिक स्वचालन पेश करेंगे, मेट्रिक्स और लक्ष्य बनाएंगे, और फिर इसे क्रमिक रूप से रोल आउट करेंगे। एक बार यह स्वचालित हो जाने के बाद, आप अन्य क्षेत्रों में विस्तारित करते हैं।

अंततः, स्वचालन पर ध्यान केंद्रित किया जाना चाहिए जो बड़े पैमाने पर है और कई समानताएं हैं। वे स्वचालन से लाई गई निरंतरता से सबसे अधिक लाभान्वित होते हैं। मुझे विश्वास है कि पांच वर्षों में, सभी प्रमुख उपचार क्रियाएं मशीन-चालित होंगी और सुरक्षा और प्लेटफ़ॉर्म संचालन के बीच प्रणालियां घनिष्ठ रूप से एकीकृत होंगी।

दशक के अंत तक कमजोरी प्रबंधन के लिए आपका दीर्घकालिक दृष्टिकोण क्या है

दशक के अंत तक, कमजोरी प्रबंधन में स्वचालन और उपचार पर बहुत अधिक ध्यान केंद्रित किया जाएगा। सुरक्षा विशेषज्ञों के रूप में हमारा काम स्वचालन को विकसित करने पर केंद्रित होगा, प्लेटफ़ॉर्म टीमों के साथ उनके विकसित होते आईटी वातावरण को सुरक्षित करने पर। ये प्रणालियां अधिक एकीकृत होंगी, प्लेटफ़ॉर्म स्वचालन और एजेंटिक एआई का उपयोग करके मशीन गति पर कार्रवाई करने के लिए, सुरक्षित और पredictable होने के लिए।

सीमित संसाधनों वाली छोटी सुरक्षा टीमों के लिए, उपचार और लचीलापन में सुधार करने के लिए व्यावहारिक पहले कदम क्या हो सकते हैं?

पैच स्वचालन से शुरू करें। स्वचालन को जल्दी से परिचय दें – विशेष रूप से जब आपके पास सीमित संसाधन हों – और सुरक्षा को शुरू से ही एकीकृत करें। यह सबसे सरल चरण है जो पहले से ही जोखिम को कम करता है जो हमलावरों द्वारा उपयोग किए जाने वाले स्वचालित स्कैन के लिए जोखिम को कम करता है।

साक्षात्कार के लिए धन्यवाद, पाठक जो अधिक जानना चाहते हैं उन्हें मोंडू पर जाना चाहिए।