Connect with us

Kevin Paige, CISO la ConductorOne – Seria de interviuri

Interviuri

Kevin Paige, CISO la ConductorOne – Seria de interviuri

mm
Published
Updated

Kevin Paige, CISO la ConductorOne, este un veteran al executivului de securitate cibernetică cu peste trei decenii de experiență în domenii precum guvern, tehnologie enterprise și startup-uri de creștere rapidă. Cu sediul în zona golfului San Francisco, el conduce strategia de securitate a identității pentru companie, în timp ce sfătuiește organizațiile cu privire la securitatea forței de muncă moderne și guvernanță. Paige a ocupat anterior funcția de CISO la Uptycs, Flexport și MuleSoft, unde a ajutat la construirea și scalarea programelor de securitate în perioade de creștere rapidă. Mai devreme în cariera sa, el a deținut roluri de conducere și infrastructură de securitate la Salesforce și xMatters și a servit atât în armata cât și în forțele aeriene ale Statelor Unite. Pe lângă rolurile sale operaționale, el este activ în ecosistemul de startup-uri de securitate cibernetică ca sfătuitor și investitor.

ConductorOne dezvoltă o platformă de guvernanță a identității și gestionare a accesului concepută pentru medii cloud și hibride moderne. Tehnologia sa oferă o vizibilitate unificată asupra identităților și permisiunilor de-a lungul aplicațiilor, infrastructurii și sistemelor on-prem, permițând organizațiilor să automatizeze revizuirile de acces, să impună accesul cu cel mai mic privilegiu și să reducă riscurile de securitate bazate pe identitate. Prin combinarea analiticii de identitate cu fluxurile de lucru automate, platforma ajută echipele de securitate să gestioneze accesul la scară, îmbunătățind în același timp conformitatea și eficiența operațională.

Ați avut o carieră lungă care acoperă operațiuni de securitate cibernetică în Forțele Aeriene ale Statelor Unite, roluri de conducere de securitate enterprise la companii precum MuleSoft, Flexport și Salesforce și acum serviți ca CISO la ConductorOne. Cum s-a schimbat perspectiva dvs. asupra securității identității de-a lungul acestor roluri și de ce credeți că identitatea a devenit una dintre cele mai critice câmpuri de luptă în securitatea cibernetică modernă?

În Forțele Aeriene, identitatea era mult mai simplă — nivel de securitate, nevoie de a ști, totul în spatele zonelor protejate, gata. La MuleSoft, a devenit o chestiune de scară — alocarea a mii de utilizatori de-a lungul a sute de aplicații SaaS fără a crea lacune. La Flexport, perimetrul a dispărut complet și identitatea a devenit singurul control care a funcționat indiferent de locul în care se afla cineva.

Acum, la ConductorOne, identitatea suferă cea mai fundamentală transformare. Nu mai este vorba doar despre oameni — este vorba despre mașini, API, conturi de serviciu și agenți AI care acționează autonom. Uneltele pe care le utilizează majoritatea organizațiilor au fost concepute pentru o lume care nu mai există.

Identitatea este câmpul de luptă critic pentru că atinge totul. Puteți avea cea mai bună securitate a punctului final și segmentarea rețelei din lume — dacă ceva are accesul greșit, nu contează nimic din toate acestea.

Raportul dvs. viitor despre Identitate a constatat că 95% dintre întreprinderi spun că agenții AI efectuează deja sarcini IT sau de securitate autonome. Ce fel de sarcini efectuează de fapt acești agenți astăzi și cât de repede vă așteptați ca nivelul lor de autonomie să crească?

Ce m-a surprins nu a fost adoptarea — este viteza. Anul trecut, 96% planificau să implementeze agenți. Anul acesta, 95% au deja. Acesta nu este un grafic gradual. Este o pragmatică.

Agenții gestionează fluxurile de lucru ale helpdesk-ului, triajul alertelor, revizuirile de acces, alocarea și, în unele cazuri, remedierea automată. Partea pe care majoritatea oamenilor o ratează: 64% dintre organizații permit deja agenților să acționeze autonom, cu doar o revizuire post-acțiune. Agenția acționează mai întâi, un om verifică mai târziu — dacă verifică deloc.

Agenții care efectuează sarcini de helpdesk astăzi vor lua decizii de securitate în următorii 12 luni. Întrebarea nu este dacă autonomia crește — este dacă guvernanța ține pasul. În prezent, nu o face.

Raportul subliniază creșterea identităților non-umane, incluzând interfețele de programare a aplicațiilor (API), roboți și agenți AI. De ce cresc atât de repede aceste identități de mașini și de ce multe organizații încă luptă să le gestioneze eficient?

Trei forțe convergente. Adoptarea cloud și SaaS înseamnă că fiecare integrare are nevoie de propria identitate. DevOps generează identități de mașini la scară — fiecare pipeline, container și microserviciu. Și agenții AI adaugă o categorie nouă care nu numai că deține acces, dar îl și utilizează pentru a lua decizii.

Organizațiile luptă pentru că uneltele nu au fost concepute pentru acest lucru. Sistemul tradițional de gestionare a identității presupune un om care se conectează și se deconectează. Identitățile non-umane funcționează continuu, nu răspund la autentificarea cu mai mulți factori, adesea au credențiale persistente și acumulează privilegii pentru că nimeni nu revizuiește accesul lor ca și cum ar face-o pentru un om.

Există și o problemă de proprietate. Când un dezvoltator creează un cont de serviciu și se mută într-o altă echipă, cine deține contul? Adesea, nimeni. Cercetările din industrie arată că 97% dintre identitățile non-umane au privilegii excesive. Acesta nu este un problemă de unelte — este o lacună de guvernanță.

Aproape jumătate dintre companii spun că identitățile non-umane depășesc acum numărul utilizatorilor umani, însă doar un mic procentaj din întreprinderi au o vizibilitate completă asupra a ceea ce pot accesa aceste identități automate. Ce riscuri apar atunci când organizațiile pierd vizibilitatea asupra acestor identități automate?

Trei straturi. Primul, credențiale compromise. Identitățile non-umane adesea utilizează chei API pe termen lung sau tokenuri statice care nu se rotesc. Un atacator care deține unul dintre acestea are acces persistent care nu declanșează aceleași alarme ca și un cont uman compromis.

Al doilea, acumularea de privilegii. Integrările care au început cu acces de citire câștigă în mod tacit acces de scriere. Nimeni nu elimină vechile permisiuni pentru că nimeni nu revizuiește identitățile de mașini.

Al treilea — și acesta este în curs de apariție rapidă — agenții AI amplifică ambele riscuri. Un cont de serviciu compromis cu acces de citire la baza de date este rău. Un agent AI cu același acces care poate să rezume, să partajeze și să acționeze autonom pe baza a ceea ce citește este exponențial mai rău.

Raportul nostru a constatat că vizibilitatea asupra identităților non-umane este de fapt în scădere — de la 30% la 22% de la an la an. Organizațiile descoperă problema mai repede decât pot să o rezolve.

Multe companii văd AI-ul ca un accelerator de productivitate, dar cercetările dvs. sugerează că poate extinde și suprafața de atac. Cum crearea de unelte și agenți AI generează noi riscuri de securitate legate de identitate?

Riscul imediat cel mai mare este suprapermisiunea accidentală. Echipele implementează un agent AI pentru un flux de lucru, dar îi acordă acces mai larg decât este necesar pentru că stabilirea permisiunilor pentru mașini este mai grea decât pentru oameni. Agenția nu vede doar bilețele de suport — vede întreaga bază de date a clienților.

Apoi, există injecția de prompt. Agenții care prelucrează intrări externe pot fi manipulați pentru a efectua acțiuni neintenționate. Dacă agenția are acces larg, un prompt bine conceput transformă un asistent util într-un instrument de exfiltrare a datelor.

Al treilea este AI-ul din umbră. Gartner raportează că peste 50% din utilizarea AI în întreprinderi este neautorizată. Fiecare conexiune neautorizată creează noi identități și suprafețe de atac pe care echipa de securitate nu le poate vedea.

Am văzut asta din proprie experiență — cineva a dat unui agent acces la sisteme interne, și în câteva zile, cineva l-a promovat pentru a dezvălui salariul și programul de vacanță al directorului general. Agenția a funcționat așa cum a fost concepută. Eșecul a fost modelul de acces.

Guvernanța identității și gestionarea accesului s-au concentrat tradițional pe angajații care se conectează la sisteme. Cum trebuie să evolueze guvernanța identității acum, când agenții software autonomi interacționează din ce în ce mai mult cu infrastructura și iau decizii?

Schimbarea fundamentală este de la periodic la continuu. Guvernanța tradițională funcționează pe revizuiri trimestriale și recertificări anuale. Agenții AI funcționează 24/7, iau mii de decizii între ciclurile de revizuire și pot schimba comportamentul pe baza unei actualizări a modelului. Până când o revizuire trimestrială descoperă un agent suprapermisiv, daunele sunt deja făcute.

Trebuie să se schimbe trei lucruri. Guvernanța trebuie să fie continuă — evaluând accesul în timp real, nu pe o programare. Trebuie să fie condusă de politici, nu de roluri — politici dinamice destinate unor sarcini specifice, nu atribuiri de roluri statice. Și trebuie să fie pe deplin auditabilă — fiecare acțiune a agentului înregistrată și trasabilă înapoi la cine a autorizat-o.

Guvernanța identității trebuie să funcționeze la viteza mașinilor pentru a guverna actori cu viteză de mașină. Acolo este unde trăiește riscul.

ConductorOne descrie platforma sa ca ajutând organizațiile să securizeze atât identitățile umane, cât și pe cele de mașini, împreună. Din punct de vedere tehnic, ce schimbări sunt necesare în infrastructura de identitate pentru a securiza corespunzător agenții AI care funcționează în interiorul mediilor enterprise?

Cea mai mare schimbare este unificarea. Majoritatea organizațiilor gestionează identitățile umane prin IDP și identitățile de mașini prin o combinație de gestionari de secrete și procese manuale. Agenții AI se află în spațiul dintre aceste lumi.

Trebuie să se întâmple trei lucruri. Fiecare agent AI are nevoie de o identitate de primă clasă — nu un cont de serviciu partajat, nu credențialele unui dezvoltator, ci o identitate dedicată cu propriul ciclu de viață și urmă de audit. Aceste identități au nevoie de acces just-in-time, just-enough — permisiuni minime pentru o sarcină specifică, revocate atunci când sarcina este terminată. Și organizațiile au nevoie de monitorizare continuă a ceea ce fac agenții cu accesul lor, nu doar a ceea ce li se permite să facă.

La ConductorOne, guvernanța identităților umane și non-umane se realizează printr-un singur plan de control. Acolo este unde se îndreaptă industria — 45% deja utilizează unelte de gestionare a identității pentru guvernanța identităților non-umane, iar altă parte planifică să o facă în următorii 12 luni. Guvernanța identității doar pentru oameni se încheie.

Unele organizații încearcă să gestioneze riscul AI prin restricționarea sau interzicerea completă a uneltelor AI. Pe baza a ceea ce observați în întreprinderi, este o abordare realistă, sau pur și simplu împinge utilizarea AI în medii necontrolate și mai puțin vizibile?

O duce subteran. De fiecare dată. Am văzut asta cu fiecare val de tehnologie — BYOD, cloud, SaaS. Când securitatea spune nu, oamenii nu se opresc. Ei nu spun doar securității.

Gartner raportează că AI-ul din umbră reprezintă peste 50% din utilizarea AI în întreprinderi. Interzicerea AI nu elimină riscul — elimină vizibilitatea. Și nu poți securiza ceea ce nu poți vedea.

Abordarea mai bună: faceți drumul securizat ușor. Dacă adoptarea AI guvernată este rapidă și simplă, oamenii o vor utiliza. Dacă durează șase săptămâni pentru a obține aprobarea, ei vor crea un cont personal în timpul pauzei de prânz.

Interzicerea AI în 2026 este ca și cum ai interzice cloud-ul în 2016. Nu preveniți riscul — asigurați-vă că nu veți vedea că vine.

Pe măsură ce sistemele AI încep să acționeze mai independent, linia dintre automatizare și autoritate devine estompată. Cum ar trebui organizațiile să gândească despre guvernanță, aprobări și supraveghere atunci când agenții AI sunt capabili să ia acțiuni operaționale?

Gândiți-vă la delegare, nu la automatizare. Când delegați unei persoane, definiți sfera, o țineți responsabilă și revizuiește lucrările sale. Același cadru se aplică și agenților.

Asta înseamnă autonomie în trepte. Sarcini cu risc scăzut, repetitive — resetări de parole, rutare de bilețele — rulează autonom, cu înregistrare. Acțiuni cu risc mediu — modificări de configurație de securitate, acces ridicat — necesită aprobare umană sau notificare în timp real. Acțiuni cu risc ridicat — date sensibile, acces privilegiat, modificări ireversibile — necesită autorizare explicită înainte ca agentul să acționeze.

Fiecare agent are nevoie și de un proprietar uman responsabil pentru ceea ce face. Fără această legătură, agenții operează într-un vid de guvernanță, unde nimeni nu răspunde de consecințe.

Raportul nostru a constatat că doar 19% au aplicare continuă a politicii bazate pe reguli pentru agenți. Acest lucru înseamnă că 81% se bazează pe permisiuni statice și speranță. Acesta nu este un sistem de guvernanță.

Privind înainte, care sunt cele mai importante pași pe care liderii de securitate ar trebui să îi ia în următorii 12-24 de luni pentru a-și pregăti cadrele de identitate și acces pentru o lume în care agenții AI funcționează ca identități digitale complete în cadrul întreprinderii?

Cinci priorități.

Primul, obțineți vizibilitate. Majoritatea organizațiilor nu știu câte identități non-umane au. Nu puteți guverna ceea ce nu puteți vedea.

Al doilea, tratați fiecare agent AI ca pe un utilizator. Identitate dedicată, permisiuni limitate, rotație de credențiale, revizuiri de acces. Dacă nu ați da unui om acces permanent de administrator la tot, nu dați-l nici unui agent.

Al treilea, treceți de la guvernanță periodică la guvernanță continuă. Revizuirile trimestriale nu pot ține pasul cu agenții care schimbă comportamentul în secunde.

Al patrulea, construiți cadrul de politici acum — înainte de a avea sute de agenți. Definiți granițele autonomiei, cerințele de aprobare și proprietatea în timp ce este încă gestionabil.

Al cincilea, unificați guvernanța de-a lungul identităților umane și non-umane. Sisteme separate creează lacune.

Câștigătorii nu vor fi organizațiile care au implementat cel mai mult AI. Vor fi acelea care au construit guvernanța identității capabilă să funcționeze la viteza mașinilor.

Mulțumim pentru acest interviu minunat. Citiitorii care doresc să afle mai multe pot vizita ConductorOne.

mm

Antoine este un lider vizionar și partener fondator al Unite.AI, condus de o pasiune neclintita pentru a da forma și a promova viitorul inteligenței artificiale și al roboticii. Un antreprenor serial, el crede că inteligența artificială va fi la fel de disruptivă pentru societate ca și electricitatea, și este adesea prins vorbind cu entuziasm despre potențialul tehnologiilor disruptive și al inteligenței artificiale generale.

Ca futurist, el este dedicat explorării modului în care aceste inovații vor modela lumea noastră. În plus, el este fondatorul Securities.io, o platformă axată pe investiții în tehnologii de ultimă generație care redefinesc viitorul și reshapă întregi sectoare.