Connect with us

ConductorOne의 CISO Kevin Paige – 인터뷰 시리즈

인터뷰

ConductorOne의 CISO Kevin Paige – 인터뷰 시리즈

mm
Published
Updated

Kevin Paige, ConductorOne의 CISO는 3십년 이상의 경력을 가진 사이버 보안 전문가입니다. 그는 샌프란시스코 베이 에リア에 기반을 두고 있으며, 회사에서 아이덴티티 보안 전략을 이끌면서 현대적인 워크포스 보안 및 거버넌스에 대한 조언을 제공합니다. Paige는 이전에 Uptycs, Flexport, MuleSoft의 CISO로 재직했으며, 빠르게 성장하는 기간 동안 보안 프로그램을 구축하고 확장하는 데 도움을 주었습니다. 그의 경력 초기에는 Salesforce와 xMatters에서 보안 리더십과 인프라 역할을 맡았으며, 미국 육군과 미국 공군에서 복무했습니다. 또한 그는 사이버 보안 스타트업 생태계에서 고문과 투자자로 활동합니다.

ConductorOne은 현대적인 클라우드와 하이브리드 환경을 위한 아이덴티티 거버넌스 및 액세스 관리 플랫폼을 개발합니다. 이 기술은 애플리케이션, 인프라, 온프레미스 시스템에서 아이덴티티와 권한에 대한 통일된 가시성을 제공하여 조직이 액세스 검토를 자동화하고, 최소한의 권한을 적용하고, 아이덴티티 기반의 보안 위험을 줄일 수 있습니다. 아이덴티티 분석과 자동화된 워크플로우를 결합하여 플랫폼은 보안 팀이 규모에 따라 액세스를 관리하면서 규정 준수와 운영 효율성을 개선하는 데 도움을 줍니다.

당신은 미국 공군의 사이버 작전, MuleSoft, Flexport, Salesforce와 같은 기업의 보안 리더십 역할, 그리고 현재 ConductorOne의 CISO로 오랜 경력을 가지고 있습니다. 이러한 역할을 통해 아이덴티티 보안에 대한 ваш의 관점은 어떻게 진화했으며, 왜 아이덴티티가 현대적인 사이버 보안에서 가장 중요한 전투 분야가 되었는지 설명해 주십시오.

공군에서 아이덴티티는 매우 간단했습니다. 클리어런스 레벨, 필요에 따라 알 수 있는 정보, 모든 것이 방화벽 뒤에 있었습니다. MuleSoft에서는 규모가 중요했습니다. 수천 명의 사용자를 수백 개의 SaaS 애플리케이션에 프로비저닝하는 데 있어서 격차를 만들지 않도록 했습니다. Flexport에서는 경계가 완전히 사라졌고, 아이덴티티가 유일한 제어가 되었습니다.

현재 ConductorOne에서 아이덴티티는 가장 근본적인 변화를 겪고 있습니다. 이제는 사람만이 아니라, 기계, API, 서비스 계정, 그리고 자율적으로 작동하는 에이전트를 다루는 것입니다. 대부분의 조직에서 사용하는 도구는 더 이상 존재하지 않는 세계를 위해 설계되었습니다.

아이덴티티는 모든 것을 건드리는 것이기 때문에, 가장 중요한 전투 분야입니다. 당신이 엔드포인트 보안과 네트워크 분리를 세계에서 최고로 한다 하더라도, 잘못된 액세스가 있다면, 그것은 아무런 의미가 없습니다.

당신의 即将發表의 Future of Identity Report에 따르면, 95%의 기업이 이미 에이전트가 자율적으로 IT 또는 보안 작업을 수행하고 있다고 합니다. 이러한 에이전트가 현재 어떤 작업을 수행하고 있으며, 그들의 자율성이 얼마나 빠르게 증가할 것으로 예상하시나요?

驚いた 것은採用率가 아니라 속도입니다. 작년 96%의 기업이 에이전트를 배포할 계획이었습니다. 올해 95%의 기업이 이미 에이전트를 배포했습니다. 그것은 점진적인 곡선이 아닙니다. 그것은 임계점을 넘은 것입니다.

에이전트는 헬프데스크 워크플로우, 경고 분류, 액세스 검토, 프로비저닝, 그리고 일부 경우 자동 복구를 처리하고 있습니다. 대부분의 사람들이 놓치는 부분은 64%의 조직이 이미 에이전트가 후속 검토만으로 자율적으로 작동하도록 허용하고 있다는 것입니다. 에이전트가 먼저 작동하고, 인간이 나중에 검토합니다. 만약 에이전트가 광범위한 액세스를 가지고 있다면, 그것은 매우 위험할 수 있습니다.

에이전트가 현재 헬프데스크 작업을 수행하고 있다면, 12개월 내에 보안 결정도 내릴 것입니다. 질문은 자율성이 증가하는지 여부가 아니라, 거버넌스가 따라잡는지 여부입니다. 현재로서는 그렇지 않습니다.

보고서에서는 non-human identities, 즉 애플리케이션 프로그래밍 인터페이스(API), 봇, 에이전트의 증가를 강조합니다. 이러한 머신 아이덴티티가 इतन 빠르게 증가하는 이유와, 많은 조직이 아직도 효과적으로 관리하지 못하는 이유는 무엇입니까?

세 가지 요인이 있습니다. 클라우드와 SaaS의 채택은 모든 통합에 자신의 아이덴티티가 필요합니다. DevOps는 규모에 따라 머신 아이덴티티를 생성합니다. 에이전트는 새로운 범주를 추가하며, 접근을 가지며, 결정도 내립니다.

조직은 이러한 도구가 만들어지지 않았기 때문에 어려움을 겪습니다. 전통적인 IAM은 로그인하고 로그아웃하는 사람을 가정합니다. non-human identities는 지속적으로 작동하며, MFA에 응답하지 않으며, 종종 영속적인 자격증명을 가지며, 접근을 검토하지 않기 때문에 특권을 누적합니다.

또한 소유권 문제가 있습니다. 개발자가 서비스 계정을 생성하고 팀을 옮기면, 누가 그것을 소유합니까? 종종 아무도 없습니다. 산업 연구에 따르면 97%의 non-human identities가 과도한 특권을 가지고 있습니다. 그것은 도구 문제가 아니라 거버넌스 격차입니다.

거의 반의 기업이 non-human identities가 인간 사용자보다 많다고 말합니다. 그러나, 이러한 자동화된 아이덴티티에 대한 가시성이 있는 기업은 매우 적습니다. 이러한 아이덴티티에 대한 가시성이 없을 때, 어떤 위험이 발생합니까?

세 가지 계층이 있습니다. 첫째, 자격증명이 노출됩니다. non-human identities는 종종 장기간 동안 사용되는 API 키 또는 정적 토큰을 사용합니다. 공격자가 이러한 자격증명을 얻으면, 지속적인 접근을 가질 수 있으며, 인간 계정과 같은 경고를 발동시키지 않습니다.

둘째, 특권이 누적됩니다. 통합은 읽기 접근에서 시작하지만, 나중에 쓰기 접근을 얻을 수 있습니다. 아무도 기계 아이덴티티를 검토하지 않기 때문에, 이전의 권한을 제거하지 않습니다.

셋째, 에이전트가 이러한 위험을 증폭시킵니다. 데이터베이스 읽기 접근이 있는 서비스 계정이 악의적일 수 있습니다. 그러나, 그 같은 접근을 가진 에이전트가 자율적으로 요약하고, 공유하고, 읽은 내용에 따라 행동할 수 있다면, 그것은 기하급수적으로 더 나쁩니다.

보고서에 따르면, non-human identities에 대한 가시성이 실제로 감소하고 있습니다. 30%에서 22%로 감소했습니다. 조직은 문제를 발견하는 속도보다 해결하는 속도가 더 느립니다.

많은 기업이 AI를 생산성 가속기로 본다. 그러나, 당신의 연구에 따르면, AI 도구와 에이전트의 채택이 새로운 아이덴티티 관련 보안 위험을 만들 수 있다고 합니다. 이러한 위험은 무엇입니까?

가장 즉각적인 위험은 의도하지 않은 과도한 권한 부여입니다. 팀은 에이전트를 하나의 워크플로우에 배포하지만, 필요한 것보다 더 광범위한 접근을 부여합니다. 에이전트는 지원 티켓만을 볼 수 있는 것이 아니라, 전체 고객 데이터베이스를 볼 수 있습니다.

그다음은 프롬프트 주입입니다. 외부 입력을 처리하는 에이전트는 의도하지 않은 행동을 취할 수 있습니다. 에이전트가 광범위한 접근을 가지고 있다면, 잘못된 프롬프트는 도움이 되는 도구를 데이터 유출 도구로 바꿀 수 있습니다.

셋째는 그림자 AI입니다. Gartner에 따르면, 50% 이상의 기업 AI 사용은 승인되지 않은 것입니다. 각 비승인된 연결은 새로운 아이덴티티와 공격 표면을 생성하며, 보안 팀이 볼 수 없습니다.

직접적으로 본 적이 있습니다. 누군가가 에이전트에 내부 시스템에 대한 접근을 부여했고, 며칠 내에 누군가가 그것을 CEO의 보수와 휴가 일정으로 유출하도록 프롬프트했습니다. 에이전트는 의도한 대로 작동했습니다. 실패는 접근 모델이었습니다.

아이덴티티 및 액세스 관리는 전통적으로 직원이 시스템에 로그인하는 것에 초점을 두었습니다. 에이전트가 자율적으로 작동하고, 인프라와 결정에 상호작용할 때, 아이덴티티 거버넌스는 어떻게 진화해야 합니까?

기본적인 전환은 주기적인 것에서 지속적인 것으로입니다. 전통적인 거버넌스는 주기적인 검토와 연간 재인증에 기반합니다. 에이전트는 24/7 작동하며, 검토 사이에 수천 개의 결정과 행동을 취하며, 모델 업데이트에 따라 행동을 변경할 수 있습니다. 검토 주기가 에이전트의 과도한 권한을 발견하기 전에 이미 손상이 발생할 수 있습니다.

세 가지 변경이 필요합니다. 거버넌스는 지속적이어야 하며, 에이전트의 접근을 실시간으로 평가해야 합니다. 정책 기반으로 작동해야 하며, 역할 기반으로 작동하는 것이 아니라, 특정 작업에 대한 동적 정책을 가져야 합니다. 또한 모든 에이전트 동작을 로깅하고, 누가 그것을 승인했는지 추적할 수 있어야 합니다.

아이덴티티 거버넌스는 에이전트가 작동하는 속도와 일치해야 합니다. 그 불일치는 जह에 위험이 존재합니다.

기술적인 관점에서, ConductorOne의 플랫폼은 조직이 인간과 머신의 아이덴티티를 함께 보안할 수 있도록 도와줍니다. 엔터프라이즈 환경 내에서 AI 에이전트를 적절하게 보안하기 위해 아이덴티티 인프라에 어떤 변경이 필요한가요?

가장 큰 변경은 통일입니다. 대부분의 조직은 인간 아이덴티티를 IDP를 통해 관리하고, 머신 아이덴티티를 비밀번호 관리자와 수동 프로세스를 통해 관리합니다. 에이전트는 이 두 세계 사이의 간격에 있습니다.

세 가지 변화가 필요합니다. 모든 에이전트는 1등급 아이덴티티를 가져야 합니다. 공유 서비스 계정이나 개발자의 자격증명이 아니라, 전용 아이덴티티를 가져야 하며, 자격증명은 최소한의 권한을 가지며, 작업이 끝나면 회수되어야 합니다. 또한 에이전트가 실제로 접근을 사용하는 것을 지속적으로 모니터링해야 합니다.

ConductorOne에서 우리는 인간과 non-human identities를 단일 제어 플레인으로 거버넌스합니다. 그것이 산업이 향하는 방향입니다. 45%의 기업이 이미 IAM 도구를 사용하여 non-human identities를 거버넌스하고, 또 다른 45%의 기업이 12개월 내에 그렇게 할 계획입니다. 인간 전용 아이덴티티 거버넌스는 끝나고 있습니다.

일부 조직은 AI 위험을 관리하기 위해 AI 도구를 제한하거나 금지하려고 합니다. 그러나, 당신이 기업을 통해 본 바에 따르면, 이러한 접근법은 현실적이지 않으며, 단지 AI 사용을 관리되지 않는 환경으로 몰아넣을 뿐입니다.

그것은 지하로 몰아넣습니다. 모든 때에 vậy입니다. 나는 이것을 모든 기술 물결에서 본 적이 있습니다. BYOD, 클라우드, SaaS. 보안팀이 아니라고 하면, 사람들이 멈추지 않습니다. 그들은 단지 보안팀에게 말하지 않습니다.

Gartner에 따르면, 그림자 AI는 기업의 AI 사용량의 50%를 차지합니다. AI를 금지하면 위험을 없애지 않으며, 가시성을 없애는 것입니다. 그리고, 당신이 볼 수 없는 것을 보호할 수 없습니다.

더好的 접근법은 보안 경로를 쉽게 만드는 것입니다. 관리되는 AI 채택이 빠르고 간단하다면, 사람들은 그것을 사용할 것입니다. 승인이 6주가 걸린다면, 사람들은 점심 시간에 개인 계정을 생성할 것입니다.

2026년에 AI를 금지하는 것은 2016년에 클라우드를 금지하는 것과 같습니다. 당신은 위험을 방지하지 않으며, 그것이 오고 있음을 보지 못할 뿐입니다.

AI 시스템이 더 독립적으로 작동하기 시작할 때, 자동화와 권한 사이의 선은 모호해집니다. 조직은 AI 에이전트가 작동할 수 있는 조치에 대한 거버넌스, 승인, 감독을 어떻게 생각해야 합니까?

위임을 생각하십시오. 사람에게 위임할 때, 범위를 정의하고, 책임을 지우며, 작업을 검토합니다. 에이전트에게도 동일한 프레임워크를 적용합니다.

그것은 계층화된 자율성을 의미합니다. 낮은 위험의 반복 작업은 자율적으로 작동하며, 로깅됩니다. 중간 위험의 작업은 인간의 승인이나 실시간 알림을 필요로 합니다. 높은 위험의 작업은 에이전트가 행동하기 전에 명시적인 승인을 필요로 합니다.

모든 에이전트는 또한 책임을 지는 인간 소유자가 필요합니다. 그 체인이 없으면, 에이전트는 거버넌스 공백에서 작동하며, 아무도 그 결과에 대해 책임을 지지 않습니다.

보고서에 따르면, 19%의 기업만이 에이전트에 대한 지속적인 정책 기반 시행을 가지고 있습니다. 그것은 81%의 기업이 정적 권한과 희망에 의존한다는 것을 의미합니다. 그것은 거버넌스가 아닙니다.

앞으로 12~24개월 동안, 보안 리더는 어떻게 하면 AI 에이전트가 기업 내에서 완전한 디지털 아이덴티티로 작동하는 세계에 대비하여 아이덴티티 및 액세스 프레임워크를 준비할 수 있나요?

다섯 가지 우선순위가 있습니다.

첫째, 가시성을 얻으십시오. 대부분의 기업은 non-human identities의 수를 모릅니다. 당신이 볼 수 없는 것을 거버넌스할 수 없습니다.

둘째, 모든 에이전트를 사용자처럼 다루십시오. 전용 아이덴티티, 범위 지정된 권한, 자격증명 회전, 액세스 검토. 인간에게 지속적인 관리자 접근을 주지 않는다면, 에이전트에게도 주지 마십시오.

셋째, 주기적인 거버넌스에서 지속적인 거버넌스로 전환하십시오. 에이전트가 행동을 변경하는 속도에 따라, 주기적인 검토는 따라잡을 수 없습니다.

넷째, 정책 프레임워크를 지금 구축하십시오. 에이전트가 수백 개가 되기 전에, 자율성의 경계, 승인 요구 사항, 소유권을 정의하십시오. 그것이 아직 관리할 수 있을 때입니다.

다섯째, 인간과 non-human identities를 거버넌스하는 것을 통일하십시오. 별도의 시스템은 격차를 만듭니다.

승자는 가장 많은 AI를 배포한 기업이 아닙니다. 그것은 머신 속도에서 작동하는 아이덴티티 거버넌스를 구축한 기업입니다.

그레이트 인터뷰에 감사드립니다. 더 많은 정보를 원하는 독자는 ConductorOne을 방문하십시오.

mm

앙투안은 Unite.AI의 비전있는 리더이자 공동 창립자로서, AI와 로봇공학의 미래를 형성하고 촉진하는 데 대한 불변의 열정에 의해 추동됩니다. 연쇄적인 기업가로서, 그는 AI가 사회에 대한 전기와 같은 파괴력을 가질 것이라고 믿으며, 종종 파괴적인 기술과 AGI의 잠재력에 대해 열광합니다.

作为 futurist, 그는 이러한 혁신이 우리의 세계를 어떻게 형성할지 탐구하는 데 전념하고 있습니다. 또한, 그는 Securities.io의 창립자로서, 미래를 재정의하고 전체 부문을 재형성하는 최첨단 기술에 투자하는 플랫폼입니다.