Connect with us

Kevin Paige, CISO di ConductorOne – Serie di interviste

Interviste

Kevin Paige, CISO di ConductorOne – Serie di interviste

mm
Published
Updated

Kevin Paige, CISO di ConductorOne, è un veterano esecutivo di sicurezza informatica con oltre tre decenni di esperienza che spaziano dal governo, alla tecnologia aziendale, alle startup ad alta crescita. Con sede nella Bay Area di San Francisco, guida la strategia di sicurezza dell’identità per l’azienda, consigliando anche le organizzazioni sulla sicurezza della forza lavoro moderna e sulla governance. In precedenza, Paige ha ricoperto il ruolo di CISO in Uptycs, Flexport e MuleSoft, dove ha aiutato a costruire e scalare programmi di sicurezza durante periodi di rapida crescita. All’inizio della sua carriera, ha ricoperto ruoli di leadership e infrastruttura nella sicurezza in Salesforce e xMatters, e ha prestato servizio sia nell’Esercito che nell’Aeronautica militare degli Stati Uniti. Oltre ai suoi ruoli operativi, è attivo nell’ecosistema delle startup di sicurezza informatica come consulente e investitore.

ConductorOne sviluppa una piattaforma di gestione dell’identità e dell’accesso progettata per ambienti cloud e ibridi moderni. La sua tecnologia fornisce una visibilità unificata sulle identità e le autorizzazioni attraverso le applicazioni, l’infrastruttura e i sistemi locali, consentendo alle organizzazioni di automatizzare le verifiche di accesso, applicare l’accesso con i privilegi minimi necessari e ridurre i rischi di sicurezza legati all’identità. Combinando l’analisi delle identità con i flussi di lavoro automatizzati, la piattaforma aiuta i team di sicurezza a gestire l’accesso su larga scala, migliorando al contempo la conformità e l’efficienza operativa.

Ha avuto una lunga carriera che spazia dalle operazioni di cybersicurezza nell’Aeronautica militare degli Stati Uniti, ai ruoli di leadership nella sicurezza aziendale in aziende come MuleSoft, Flexport e Salesforce, e ora ricopre il ruolo di CISO in ConductorOne. Come è cambiata la sua prospettiva sulla sicurezza dell’identità attraverso questi ruoli, e perché ritiene che l’identità sia diventata uno dei campi di battaglia più critici nella sicurezza informatica moderna?

Nell’Aeronautica militare, l’identità era molto più semplice — livello di autorizzazione, necessità di sapere, tutto dietro i firewall, fatto. In MuleSoft, si trattava di scala — provisioning di migliaia di utenti attraverso centinaia di app SaaS senza creare lacune. In Flexport, il perimetro è scomparso completamente e l’identità era l’unico controllo che funzionava ancora indipendentemente da dove si trovasse qualcuno.

Ora in ConductorOne, l’identità sta subendo la sua trasformazione più fondamentale. Non si tratta più solo di persone — si tratta di macchine, API, account di servizio e agenti di intelligenza artificiale che agiscono in modo autonomo. Gli strumenti che la maggior parte delle organizzazioni utilizza sono stati progettati per un mondo che non esiste più.

L’identità è il campo di battaglia critico perché tocca tutto. Puoi avere la migliore sicurezza degli endpoint e la segmentazione della rete nel mondo — se qualcosa ha l’accesso sbagliato, nulla di tutto ciò ha importanza.

Il suo prossimo rapporto sul futuro dell’identità ha scoperto che il 95% delle aziende afferma che gli agenti di intelligenza artificiale stanno già eseguendo compiti IT o di sicurezza autonomi. Quali sono i tipi di compiti che questi agenti stanno effettivamente eseguendo oggi, e quanto rapidamente si prevede che il loro livello di autonomia aumenterà?

Ciò che mi ha sorpreso non è stato l’adozione — è la velocità. L’anno scorso, il 96% pianificava di distribuire agenti. Quest’anno, il 95% li ha già distribuiti. Non è una curva graduale. È un limite superato.

Gli agenti stanno gestendo i flussi di lavoro dell’help desk, la triage degli allarmi, le verifiche di accesso, il provisioning e, in alcuni casi, la rimozione automatizzata. La parte che la maggior parte delle persone perde di vista: il 64% delle organizzazioni consente già agli agenti di agire in modo autonomo con solo una revisione post-azione. L’agente agisce per primo, un essere umano controlla dopo — se lo fa.

Gli agenti che eseguono compiti di help desk oggi prenderanno decisioni di sicurezza entro 12 mesi. La domanda non è se l’autonomia aumenterà — è se la governance terrà il passo. Al momento, non lo fa.

Il rapporto evidenzia l’aumento delle identità non umane, tra cui le interfacce di programmazione delle applicazioni (API), i bot e gli agenti di intelligenza artificiale. Perché queste identità di macchine stanno crescendo così rapidamente, e perché molte organizzazioni stanno ancora lottando per gestirle efficacemente?

Tre forze convergenti. L’adozione del cloud e del SaaS significa che ogni integrazione necessita della propria identità. DevOps genera identità di macchine su larga scala — ogni pipeline, contenitore e microservizio. E gli agenti di intelligenza artificiale stanno aggiungendo una categoria interamente nuova che non solo detiene l’accesso, ma lo utilizza anche per prendere decisioni.

Le organizzazioni lottano perché gli strumenti non sono stati costruiti per questo. La gestione delle identità tradizionale presume un essere umano che si connette e si disconnette. Le identità non umane operano in modo continuo, non rispondono all’autenticazione a più fattori, spesso hanno credenziali persistenti e accumulano privilegi perché nessuno esamina il loro accesso come esamina quello di un essere umano.

C’è anche un problema di proprietà. Quando uno sviluppatore crea un account di servizio e si trasferisce in un’altra squadra, chi lo possiede? Spesso nessuno. La ricerca dell’industria mostra che il 97% delle identità non umane ha privilegi eccessivi. Non è un problema di strumenti — è una lacuna di governance.

Quasi la metà delle aziende afferma che le identità non umane superano ora il numero di utenti umani, eppure solo una piccola percentuale di aziende ha una visibilità completa su ciò che queste identità possono accedere. Quali rischi sorgono quando le organizzazioni perdono la visibilità su queste identità automatizzate?

Tre livelli. In primo luogo, credenziali compromesse. Le identità non umane spesso utilizzano chiavi API a lunga durata o token statici che non ruotano. Un attaccante con uno di questi ha un accesso persistente che non attiva gli stessi allarmi di un account umano compromesso.

In secondo luogo, accumulo di privilegi. Le integrazioni che iniziano con l’accesso in lettura acquistano silenziosamente l’accesso in scrittura. Nessuno rimuove le autorizzazioni vecchie perché nessuno esamina le identità di macchina.

In terzo luogo — e questo sta emergendo rapidamente — gli agenti di intelligenza artificiale amplificano entrambi questi rischi. Un account di servizio compromesso con accesso in lettura al database è grave. Un agente di intelligenza artificiale con lo stesso accesso che può agire in modo autonomo, riassumere, condividere e agire su ciò che legge è esponenzialmente peggiore.

Il nostro rapporto ha scoperto che la visibilità delle identità non umane sta effettivamente calando — dal 30% al 22% nell’arco di un anno. Le organizzazioni stanno scoprendo il problema più rapidamente di quanto possano risolverlo.

Molte aziende vedono l’intelligenza artificiale come un acceleratore di produttività, ma la sua ricerca suggerisce che può anche ampliare silenziosamente la superficie di attacco. Come l’adozione di strumenti e agenti di intelligenza artificiale crea nuovi rischi di sicurezza legati all’identità?

Il rischio più immediato è la sovrautorizzazione accidentale. I team distribuiscono un agente di intelligenza artificiale per un flusso di lavoro, ma gli concedono un accesso più ampio del necessario perché è più difficile definire i privilegi per le macchine che per le persone. L’agente non vede solo i biglietti di supporto — vede l’intero database dei clienti.

Poi c’è l’iniezione di prompt. Gli agenti che elaborano input esterni possono essere manipolati per eseguire azioni non intenzionali. Se l’agente ha un accesso ampio, un prompt ben congegnato trasforma uno strumento di aiuto in uno strumento di esfiltrazione dei dati.

Terzo è l’intelligenza artificiale nell’ombra. Gartner riporta che oltre il 50% dell’utilizzo aziendale dell’intelligenza artificiale è non autorizzato. Ogni connessione non autorizzata crea nuove identità e superfici di attacco che il team di sicurezza non può vedere.

L’ho visto di persona — qualcuno ha concesso a un agente l’accesso ai sistemi interni e, entro pochi giorni, qualcuno ha indotto l’agente a rivelare il piano di compensazione e il programma di vacanza del CEO. L’agente ha funzionato come progettato. Il fallimento è stato il modello di accesso.

La gestione dell’identità e dell’accesso ha tradizionalmente concentrato l’attenzione sugli impiegati che si connettono ai sistemi. Come devono evolversi la governance, le approvazioni e la supervisione ora che gli agenti software autonomi interagiscono con l’infrastruttura e prendono decisioni?

La trasformazione fondamentale è da periodica a continua. La governance tradizionale opera su recensioni trimestrali e ricertificazioni annuali. Gli agenti di intelligenza artificiale operano 24 ore su 24, 7 giorni su 7, prendono migliaia di decisioni tra i cicli di revisione e possono cambiare comportamento in base a un aggiornamento del modello. Entro il momento in cui una revisione trimestrale individua un agente sovraautorizzato, il danno è già stato fatto.

Tre cose devono cambiare. La governance deve essere continua — valutando l’accesso in tempo reale, non secondo una programmazione. Deve essere basata su politiche piuttosto che su ruoli — politiche dinamiche definite per compiti specifici, non assegnazioni di ruoli statiche. E deve essere completamente tracciabile — ogni azione dell’agente registrata e rintracciabile fino a chi l’ha autorizzata.

La governance dell’identità deve operare alla velocità delle macchine per governare gli attori alla velocità delle macchine. È lì che vive il rischio.

Da un punto di vista tecnico, quali sono i cambiamenti necessari nell’infrastruttura di identità per garantire la sicurezza degli agenti di intelligenza artificiale che operano all’interno degli ambienti aziendali?

Il cambiamento più grande è l’unificazione. La maggior parte delle organizzazioni gestisce le identità umane attraverso il loro IDP e le identità di macchina attraverso un patchwork di gestori di segreti e processi manuali. Gli agenti di intelligenza artificiale cadono nella lacuna tra questi mondi.

Tre cose devono accadere. Ogni agente di intelligenza artificiale necessita di un’identità di prima classe — non un account di servizio condiviso, non le credenziali di uno sviluppatore, ma un’identità dedicata con il proprio ciclo di vita e traccia di audit. Queste identità necessitano di accesso just-in-time, just-enough — autorizzazioni minime per un compito specifico, revocate quando il compito è completato. E le organizzazioni necessitano di un monitoraggio continuo di ciò che gli agenti fanno effettivamente con il loro accesso, non solo di ciò che è loro consentito fare.

In ConductorOne, governiamo le identità umane e non umane attraverso un unico piano di controllo. È lì che si sta dirigendo l’industria — il 45% già utilizza strumenti di gestione delle identità per la governance delle identità non umane, un altro 45% pianifica di farlo entro 12 mesi. La governance dell’identità umana solo è finita.

Alcune organizzazioni tentano di gestire il rischio dell’intelligenza artificiale limitando o vietando completamente gli strumenti di intelligenza artificiale. Sulla base di ciò che sta vedendo nelle aziende, questo approccio è realistico o semplicemente spinge l’utilizzo dell’intelligenza artificiale in ambienti non gestiti e meno visibili?

Lo spinge sottoterra. Ogni volta. L’ho visto con ogni ondata tecnologica — BYOD, cloud, SaaS. Quando la sicurezza dice no, le persone non smettono. Smettono solo di dirlo alla sicurezza.

Gartner riporta che l’intelligenza artificiale nell’ombra rappresenta oltre il 50% dell’utilizzo aziendale dell’intelligenza artificiale. Vietare l’intelligenza artificiale non elimina il rischio — elimina la visibilità. E non puoi proteggere ciò che non puoi vedere.

Un approccio migliore: rendere il percorso sicuro il percorso facile. Se l’adozione governata dell’intelligenza artificiale è rapida e semplice, le persone la useranno. Se richiede sei settimane per essere approvata, la useranno comunque, magari aprendo un account personale durante la pausa pranzo.

Vietare l’intelligenza artificiale nel 2026 è come vietare il cloud nel 2016. Non stai prevenendo il rischio — stai solo assicurandoti di non vederlo arrivare.

Man mano che i sistemi di intelligenza artificiale iniziano ad agire in modo più indipendente, la linea tra automazione e autorità si confonde. Come dovrebbero pensare le organizzazioni alla governance, alle approvazioni e alla supervisione quando gli agenti di intelligenza artificiale sono in grado di eseguire azioni operative?

Pensare alla delega, non all’automazione. Quando delegi a una persona, definisci l’ambito, la tieni responsabile e verifichi il suo lavoro. Stessa struttura si applica agli agenti.

Ciò significa autonomia a più livelli. Compiti a basso rischio e ripetitivi — reset delle password, routing dei biglietti — eseguiti in modo autonomo con registrazione. Azioni a rischio medio — modifiche alla configurazione di sicurezza, accesso elevato — richiedono l’approvazione umana o la notifica in tempo reale. Azioni ad alto rischio — dati sensibili, accesso privilegiato, modifiche irreversibili — richiedono un’autorizzazione esplicita prima che l’agente agisca.

Ogni agente necessita anche di un proprietario umano responsabile di ciò che fa. Senza quella catena, gli agenti operano in un vuoto di governance dove nessuno risponde delle conseguenze.

Il nostro rapporto ha scoperto che solo il 19% ha un’applicazione continua della politica per gli agenti. Ciò significa che l’81% si affida a permessi statici e spera. Non è governance.

Guardando avanti, quali sono i passaggi più importanti che i leader della sicurezza dovrebbero intraprendere nei prossimi 12-24 mesi per preparare i loro framework di identità e accesso a un mondo in cui gli agenti di intelligenza artificiale funzionano come identità digitali complete all’interno dell’azienda?

Cinque priorità.

Primo, ottenere la visibilità. La maggior parte delle organizzazioni non sa quanti sono le identità non umane. Non puoi governare ciò che non puoi vedere.

Secondo, trattare ogni agente di intelligenza artificiale come un utente. Identità dedicata, autorizzazioni definite, rotazione delle credenziali, verifiche di accesso. Se non concederesti a un essere umano l’accesso amministrativo permanente a tutto, non concederlo a un agente.

Terzo, passare da una governance periodica a una continua. Le recensioni trimestrali non possono tenere il passo con gli agenti che cambiano comportamento in pochi secondi.

Quarto, costruire il framework di politica ora — prima di avere centinaia di agenti. Definire i confini dell’autonomia, i requisiti di approvazione e la proprietà mentre è ancora gestibile.

Quinto, unificare la governance attraverso identità umane e non umane. Sistemi separati creano lacune.

I vincitori non saranno le organizzazioni che hanno distribuito il maggior numero di intelligenza artificiale. Saranno quelle che hanno costruito una governance dell’identità in grado di operare alla velocità delle macchine.

Grazie per la grande intervista, i lettori che desiderano saperne di più possono visitare ConductorOne.

mm

Antoine è un leader visionario e socio fondatore di Unite.AI, guidato da una passione incrollabile per plasmare e promuovere il futuro dell'AI e della robotica. Un imprenditore seriale, crede che l'AI sarà altrettanto disruptiva per la società quanto l'elettricità, e spesso viene colto a parlare con entusiasmo del potenziale delle tecnologie disruptive e dell'AGI.
Come futurist, è dedicato a esplorare come queste innovazioni plasmeranno il nostro mondo. Inoltre, è il fondatore di Securities.io, una piattaforma focalizzata sugli investimenti in tecnologie all'avanguardia che stanno ridefinendo il futuro e ridisegnando interi settori.