Connect with us

Wawancara

Kevin Paige, CISO di ConductorOne – Seri Wawancara

mm
Published
Updated

Kevin Paige, CISO di ConductorOne, adalah eksekutif keamanan siber veteran dengan lebih dari tiga dekade pengalaman yang meliputi pemerintah, teknologi perusahaan, dan startup yang tumbuh pesat. Berbasis di Wilayah Teluk San Francisco, ia memimpin strategi keamanan identitas untuk perusahaan sambil memberikan saran kepada organisasi tentang keamanan tenaga kerja modern dan tata kelola. Paige sebelumnya menjabat sebagai CISO di Uptycs, Flexport, dan MuleSoft, di mana ia membantu membangun dan menskalakan program keamanan selama periode pertumbuhan yang cepat. Sebelumnya dalam karirnya, ia memegang peran kepemimpinan keamanan dan infrastruktur di Salesforce dan xMatters, dan melayani di kedua Angkatan Darat AS dan Angkatan Udara AS. Selain peran operasionalnya, ia aktif dalam ekosistem startup keamanan siber sebagai penasihat dan investor.

ConductorOne mengembangkan platform tata kelola identitas dan manajemen akses yang dirancang untuk lingkungan awan dan hibrida modern. Teknologinya menyediakan visibilitas yang terunifikasi ke identitas dan izin di seluruh aplikasi, infrastruktur, dan sistem on-prem, memungkinkan organisasi untuk mengotomatisasi tinjauan akses, menerapkan akses dengan hak istimewa minimal, dan mengurangi risiko keamanan berbasis identitas. Dengan menggabungkan analitik identitas dengan alur kerja yang diotomatisasi, platform ini membantu tim keamanan mengelola akses dengan skala sambil meningkatkan kepatuhan dan efisiensi operasional.

Anda telah memiliki karir panjang yang meliputi operasi siber militer di Angkatan Udara AS, peran kepemimpinan keamanan perusahaan di perusahaan seperti MuleSoft, Flexport, dan Salesforce, dan sekarang menjabat sebagai CISO di ConductorOne. Bagaimana perspektif Anda tentang keamanan identitas berkembang di seluruh peran ini, dan mengapa Anda percaya identitas telah menjadi salah satu pertempuran paling kritis dalam keamanan siber modern?

Di Angkatan Udara, identitas jauh lebih sederhana — tingkat izin, kebutuhan untuk mengetahui, semuanya di belakang firewall, selesai. Di MuleSoft, itu menjadi tentang skala — penyediaan ribuan pengguna di seluruh ratusan aplikasi SaaS tanpa menciptakan celah. Di Flexport, perimeter menghilang sepenuhnya dan identitas adalah satu-satunya kontrol yang masih berfungsi terlepas dari di mana seseorang berada.

Sekarang di ConductorOne, identitas mengalami transformasi paling mendasar. Ini tidak lagi hanya tentang orang — itu tentang mesin, API, akun layanan, dan agen AI yang bertindak secara otonom. Alat yang paling organisasi gunakan dirancang untuk dunia yang tidak ada lagi.

Identitas adalah pertempuran kritis karena itu menyentuh segalanya. Anda dapat memiliki keamanan endpoint terbaik dan segmentasi jaringan di dunia — jika sesuatu memiliki akses yang salah, tidak ada yang peduli.

Laporan Masa Depan Identitas Anda menemukan bahwa 95% perusahaan mengatakan agen AI sudah melakukan tugas IT atau keamanan otonom. Jenis tugas apa yang sebenarnya dilakukan oleh agen-agen ini hari ini, dan seberapa cepat Anda mengharapkan tingkat otonomi mereka meningkat?

Apa yang mengejutkan saya bukanlah adopsi — itu adalah kecepatan. Tahun lalu 96% berencana untuk mengirimkan agen. Tahun ini 95% sudah melakukannya. Itu bukan kurva bertahap. Itu adalah ambang batas.

Agen menangani alur kerja helpdesk, triage peringatan, tinjauan akses, penyediaan, dan dalam beberapa kasus remediasi otomatis. Bagian yang paling orang lewatkan: 64% organisasi sudah memungkinkan agen untuk bertindak secara otonom dengan hanya tinjauan pasca-tindakan. Agen bertindak terlebih dahulu, manusia memeriksa kemudian — jika mereka memeriksa sama sekali.

Agen yang melakukan tugas helpdesk hari ini akan membuat keputusan keamanan dalam waktu 12 bulan. Pertanyaannya bukanlah apakah otonomi meningkat — itu apakah tata kelola tetap berpacu.

Laporan tersebut menyoroti peningkatan identitas non-manusia — termasuk antarmuka pemrograman aplikasi (API), bot, dan agen AI. Mengapa identitas mesin ini tumbuh begitu cepat, dan mengapa banyak organisasi masih berjuang untuk mengelolanya secara efektif?

Tiga kekuatan yang bersatu. Adopsi awan dan SaaS berarti setiap integrasi memerlukan identitasnya sendiri. DevOps menghasilkan identitas mesin dengan skala — setiap pipeline, wadah, dan mikro layanan. Dan agen AI menambahkan kategori baru yang tidak hanya memegang akses tetapi juga menggunakan akses untuk membuat keputusan.

Organisasi berjuang karena alat-alat tersebut tidak dibangun untuk ini. IAM tradisional menganggap seseorang yang masuk dan keluar. Identitas non-manusia beroperasi terus-menerus, tidak merespons MFA, sering memiliki kredensial persisten, dan mengumpulkan hak istimewa karena tidak ada yang meninjau akses mereka seperti mereka meninjau akses manusia.

Ada juga masalah kepemilikan. Ketika seorang pengembang membuat akun layanan dan pindah tim, siapa yang memiliki akun itu? Seringkali tidak ada. Penelitian industri menunjukkan 97% identitas non-manusia memiliki hak istimewa yang berlebihan. Itu bukan masalah alat — itu adalah celah tata kelola.

Hampir setengah dari perusahaan mengatakan identitas non-manusia sekarang melebihi jumlah pengguna manusia, namun hanya sebagian kecil perusahaan yang memiliki visibilitas penuh tentang apa yang dapat diakses oleh identitas tersebut. Risiko apa yang muncul ketika organisasi kehilangan visibilitas ke identitas yang diotomatisasi?

Tiga lapisan. Pertama, kredensial yang dikompromikan. Identitas non-manusia sering menggunakan kunci API yang berumur panjang atau token statis yang tidak berputar. Penyerang dengan salah satu dari itu memiliki akses persisten yang tidak memicu peringatan yang sama dengan akun manusia yang dikompromikan.

Kedua, akumulasi hak istimewa. Integrasi yang dimulai dengan akses baca diam-diam mendapatkan akses tulis. Tidak ada yang menghapus izin lama karena tidak ada yang meninjau identitas mesin.

Ketiga — dan ini muncul dengan cepat — agen AI memperkuat kedua risiko tersebut. Akun layanan yang dikompromikan dengan akses baca database buruk. Agen AI dengan akses yang sama yang dapat bertindak secara otonom untuk meringkas, berbagi, dan bertindak berdasarkan apa yang dibacanya jauh lebih buruk.

Laporan kami menemukan bahwa visibilitas identitas non-manusia sebenarnya menurun — dari 30% menjadi 22% tahun ke tahun. Organisasi menemukan masalah lebih cepat daripada mereka dapat menyelesaikannya.

Banyak perusahaan melihat AI sebagai akselerator produktivitas, tetapi penelitian Anda menunjukkan bahwa AI juga dapat memperluas permukaan serangan secara diam-diam. Bagaimana adopsi alat dan agen AI menciptakan risiko keamanan yang terkait dengan identitas?

Risiko paling langsung adalah pemberian izin yang berlebihan secara tidak sengaja. Tim mengirimkan agen AI untuk satu alur kerja tetapi memberinya akses yang lebih luas daripada yang diperlukan karena menyaring izin untuk mesin lebih sulit daripada untuk orang. Agen tidak hanya melihat tiket dukungan — itu melihat seluruh database pelanggan.

Kemudian ada injeksi prompt. Agen yang memproses input eksternal dapat dimanipulasi untuk melakukan tindakan yang tidak diinginkan. Jika agen memiliki akses yang luas, prompt yang dirancang dapat mengubah asisten yang berguna menjadi alat eksfiltrasi data.

Ketiga adalah AI bayangan. Gartner melaporkan bahwa lebih dari 50% penggunaan AI perusahaan adalah tidak sah. Setiap koneksi yang tidak sah menciptakan identitas dan permukaan serangan baru yang tim keamanan tidak dapat lihat.

Saya telah melihatnya secara langsung — seseorang memberi agen akses ke sistem internal, dan dalam beberapa hari, seseorang memicu agen untuk mengungkap gaji dan jadwal liburan CEO. Agen bekerja seperti yang dirancang. Kegagalan adalah model akses.

Identitas dan manajemen akses telah secara tradisional berfokus pada karyawan yang masuk ke sistem. Bagaimana tata kelola identitas harus berkembang sekarang bahwa agen perangkat lunak otonom semakin berinteraksi dengan infrastruktur dan membuat keputusan?

Perubahan mendasar adalah dari berkala ke terus-menerus. Tata kelola tradisional beroperasi pada tinjauan triwulanan dan sertifikasi tahunan. Agen AI beroperasi 24/7, membuat ribuan keputusan antara siklus tinjauan, dan dapat mengubah perilaku berdasarkan pembaruan model. Sebelum tinjauan triwulanan menangkap agen yang memiliki akses berlebihan, kerusakan sudah dilakukan.

Tiga hal perlu berubah. Tata kelola harus terus-menerus — mengevaluasi akses secara real-time, bukan pada jadwal. Ini harus didorong oleh kebijakan daripada peran — kebijakan dinamis yang diatur untuk tugas tertentu, bukan penugasan peran statis. Dan itu harus sepenuhnya dapat diaudit — setiap tindakan agen yang dicatat dan dapat dilacak kembali ke siapa yang mengizinkannya.

Tata kelola identitas harus beroperasi pada kecepatan mesin untuk mengatur aktor kecepatan mesin. Ketidakcocokan itu adalah tempat risiko hidup.

ConductorOne menjelaskan platformnya sebagai membantu organisasi mengamankan identitas manusia dan mesin bersama-sama. Dari sudut pandang teknis, perubahan apa yang diperlukan dalam infrastruktur identitas untuk mengamankan agen AI yang beroperasi di dalam lingkungan perusahaan?

Perubahan terbesar adalah penyatuan. Sebagian besar organisasi mengelola identitas manusia melalui IDP mereka dan identitas mesin melalui patchwork pengelola rahasia dan proses manual. Agen AI jatuh di antara kedua dunia tersebut.

Tiga hal perlu terjadi. Setiap agen AI memerlukan identitas kelas satu — bukan akun layanan yang dibagikan, bukan kredensial pengembang, tetapi identitas yang didedikasikan dengan siklus hidup dan jejak auditnya sendiri. Identitas tersebut memerlukan akses yang cukup dan tepat waktu — izin minimal untuk tugas tertentu, dicabut ketika tugas selesai. Dan organisasi memerlukan pemantauan terus-menerus tentang apa yang agen lakukan dengan akses mereka, bukan hanya apa yang diizinkan mereka lakukan.

Di ConductorOne, kami mengatur identitas manusia dan non-manusia melalui satu sistem kontrol. Itulah arah industri — 45% sudah menggunakan alat IAM untuk tata kelola identitas non-manusia, 45% lainnya berencana untuk melakukannya dalam waktu 12 bulan. Tata kelola identitas hanya untuk manusia sudah berakhir.

Beberapa organisasi mencoba mengelola risiko AI dengan membatasi atau melarang alat AI sepenuhnya. Berdasarkan apa yang Anda lihat di seluruh perusahaan, apakah pendekatan ini realistis, atau apakah itu hanya mendorong penggunaan AI ke lingkungan yang tidak dikelola dan kurang terlihat?

Itu mendorongnya ke bawah tanah. Setiap kali. Saya telah melihat ini dengan setiap gelombang teknologi — BYOD, awan, SaaS. Ketika keamanan mengatakan tidak, orang tidak berhenti. Mereka hanya berhenti mengatakan kepada keamanan.

Gartner melaporkan bahwa AI bayangan menyumbang lebih dari 50% penggunaan AI perusahaan. Melarang AI tidak menghilangkan risiko — itu menghilangkan visibilitas. Dan Anda tidak dapat mengamankan apa yang tidak dapat Anda lihat.

Pendekatan yang lebih baik: buat jalur yang aman menjadi jalur yang mudah. Jika adopsi AI yang dikelola cepat dan sederhana, orang akan menggunakannya. Jika membutuhkan enam minggu untuk disetujui, mereka akan memutar akun pribadi pada waktu istirahat mereka.

Melarang AI pada tahun 2026 sama seperti melarang awan pada tahun 2016. Anda tidak mencegah risiko — Anda memastikan Anda tidak akan melihatnya datang.

Ketika sistem AI mulai bertindak lebih mandiri, garis antara otomatisasi dan otoritas menjadi kabur. Bagaimana organisasi harus memikirkan tentang tata kelola, persetujuan, dan pengawasan ketika agen AI dapat mengambil tindakan operasional?

Pikirkan delegasi, bukan otomatisasi. Ketika Anda mendelegasikan kepada seseorang, Anda mendefinisikan ruang lingkup, memegang mereka bertanggung jawab, dan meninjau pekerjaan mereka. Kerangka kerja yang sama berlaku untuk agen.

Itu berarti otonomi bertingkat. Tugas risiko rendah, berulang — reset password, pengaturan tiket — berjalan secara otonom dengan logging. Tindakan risiko sedang — perubahan konfigurasi keamanan, akses yang ditingkatkan — memerlukan persetujuan manusia atau pemberitahuan waktu nyata. Tindakan risiko tinggi — data sensitif, akses istimewa, perubahan yang tidak dapat diubah — memerlukan otorisasi eksplisit sebelum agen bertindak.

Setiap agen juga memerlukan pemilik manusia yang bertanggung jawab atas apa yang mereka lakukan. Tanpa rantai itu, agen beroperasi dalam vakum tata kelola di mana tidak ada yang menjawab konsekuensinya.

Laporan kami menemukan bahwa hanya 19% memiliki penerapan kebijakan berkelanjutan untuk agen. Itu berarti 81% bergantung pada izin statis dan harapan. Itu bukan tata kelola.

Menghadap ke depan, apa langkah-langkah paling penting yang pemimpin keamanan harus ambil selama 12-24 bulan ke depan untuk mempersiapkan kerangka identitas dan akses mereka untuk dunia di mana agen AI berfungsi sebagai identitas digital penuh di dalam perusahaan?

Lima prioritas.

Pertama, dapatkan visibilitas. Sebagian besar organisasi tidak tahu berapa banyak identitas non-manusia yang mereka miliki. Anda tidak dapat mengatur apa yang tidak dapat Anda lihat.

Kedua, perlakukan setiap agen AI seperti pengguna. Identitas yang didedikasikan, izin yang diatur, rotasi kredensial, tinjauan akses. Jika Anda tidak akan memberi akses admin yang berdiri kepada manusia, jangan berikan kepada agen.

Ketiga, pindahkan dari tata kelola berkala ke tata kelola terus-menerus. Tinjauan triwulanan tidak dapat mengikuti agen yang mengubah perilaku dalam hitungan detik.

Keempat, bangun kerangka kebijakan Anda sekarang — sebelum Anda memiliki ratusan agen. Tetapkan batas otonomi, persyaratan persetujuan, dan kepemilikan sambil masih dapat dikelola.

Kelima, satukan tata kelola di seluruh identitas manusia dan non-manusia. Sistem yang terpisah menciptakan celah.

Pemenangnya tidak akan menjadi organisasi yang mengirimkan AI paling banyak. Mereka akan menjadi mereka yang membangun tata kelola identitas yang dapat beroperasi pada kecepatan mesin.

Terima kasih atas wawancara yang luar biasa, pembaca yang ingin mempelajari lebih lanjut dapat mengunjungi ConductorOne.

mm

Antoine adalah seorang pemimpin visioner dan mitra pendiri Unite.AI, didorong oleh semangat yang tak tergoyahkan untuk membentuk dan mempromosikan masa depan AI dan robotika. Seorang wirausaha serial, ia percaya bahwa AI akan sama-sama mengganggu masyarakat seperti listrik, dan sering tertangkap berbicara tentang potensi teknologi mengganggu dan AGI.

As a futurist, ia berdedikasi untuk mengeksplorasi bagaimana inovasi ini akan membentuk dunia kita. Selain itu, ia adalah pendiri Securities.io, sebuah platform yang fokus pada investasi di teknologi-teknologi canggih yang mendefinisikan kembali masa depan dan membentuk kembali seluruh sektor.