Interviuri

Sean Roche, Director Senior de Marketing și Inginerie de Valoare, Obsidian Security – Seria de Interviuri

mm
Published

Sean Roche, Director Senior de Marketing și Inginerie de Valoare la Obsidian Security, conduce inițiative transfuncționale axate pe securitatea SaaS, securitatea AI și strategia de lansare. El a jucat un rol cheie în dezvoltarea primului cadru unificat de utilizare a cazurilor, aliniind vânzări, marketing și succesul clienților în jurul rezultatelor comerciale măsurabile, precum și lansarea de soluții de securitate GenAI și AI. Înainte de a se alătura Obsidian Security, Roche a ocupat funcții de conducere la companii precum Forter, Aviatrix și Okta, unde s-a specializat în consultanță de valoare comercială, strategie de prețuri, inginerie de valoare pentru clienți și analiză de rentabilitate la nivel executiv. Experiența sa combină securitatea cibernetică, strategia de software pentru întreprinderi și cercetarea financiară, oferindu-i o experiență vastă în traducerea capacităților tehnice în impact comercial măsurabil pentru clienții întreprinderilor.

Obsidian Security este o companie de securitate cibernetică axată pe securizarea aplicațiilor SaaS, agenților AI, identităților și integrărilor întreprinderilor în mediile cloud moderne. Compania oferă o platformă unificată proiectată pentru a ajuta organizațiile să detecteze amenințările, să gestioneze postura de securitate SaaS, să guverneze accesul la date și să monitorizeze activitățile riscante în aplicațiile critice pentru afaceri, cum ar fi Microsoft 365, Salesforce, Slack și alte servicii cloud. În ultimii ani, Obsidian a extins activitatea în domeniul securității agenților AI, ajutând întreprinderile să obțină vizibilitate asupra modului în care sistemele autonome AI interacționează cu platformele SaaS, datele și fluxurile de lucru în timp real. Fondată de lideri în securitate cu experiență în companii precum CrowdStrike, Okta, Cylance și Carbon Black, Obsidian se poziționează ca o platformă de securitate SaaS și AI de la capăt la capăt, construită pentru a aborda complexitatea în creștere a mediilor cloud și AI.

Ați construit cariera la intersecția valorii comerciale, strategiei de risc și securității SaaS, acum conduceți ingineria de valoare și marketingul de produs la Obsidian Security. Ce v-a atras să vă concentrați pe securizarea ecosistemelor SaaS conduse de AI și cum se diferențiază abordarea Obsidian în ceea ce privește tehnologiile emergente agențice, cum ar fi OpenClaws?

De-a lungul carierei mele, cea mai mare lacună a fost întotdeauna ceea ce securitatea nu poate vedea, deoarece acolo trăiesc, de fapt, încălcările. Am văzut acest lucru în incidente în care sistemele desconectate sau nemanageate au creat expunere pe care controalele tradiționale pur și simplu nu le-au detectat. Și am văzut aceeași dinamică, în mod direct, cu podurile moderne pe care oamenii le folosesc pentru a se conecta la platforme majore, sau conexiunile care erau în afara vizibilității normale de securitate, și, în unele cazuri, chiar și după ce echipa IT a crezut că le-a dezactivat. Aceste experiențe mi-au arătat cât de mult din risc se află în cusăturile dintre sisteme, și nu doar în interiorul sistemelor pe care le credem securizate.

Această realitate se schimbă de la IT-ul din umbră la AI-ul din umbră, unde unelte și fluxuri de lucru conduse de agenți pot apărea și se pot răspândi mai repede decât strategiile de guvernanță pot ține pasul. Multe abordări de securitate răspund prin încercarea de a centraliza și a controla totul într-un singur plan de control. Dar acest model se prăbușește în medii distribuite, mai ales atunci când datele și activitățile critice au loc în aplicații terțe pe care nu le dețineți și nu le puteți controla pe deplin.

Acesta este motivul pentru care m-am atras spre securizarea ecosistemelor SaaS conduse de AI și de ce abordarea Obsidian este atât de convingătoare. Numărul de încălcări ale SaaS a crescut cu 300%, și, totuși, majoritatea organizațiilor încă lipsesc de vizibilitate adecvată asupra modului în care aceste aplicații sunt utilizate. Aceasta este lacuna pe care ne concentrăm, astfel încât puteți înțelege ce se întâmplă, de fapt, în interiorul întreprinderii și unde există expunerea. Pe măsură ce tehnologiile agențice, cum ar fi OpenClaws, se maturizează, această abordare devine și mai importantă, deoarece riscul nu este doar dacă un agent are acces la anumite date, ci și ce poate accesa și cu ce viteză poate acționa.

Sistemele agențice AI, cum ar fi OpenClaws, atrag o atenție semnificativă după NVIDIA GTC. Din perspectiva dvs., ce diferențiază fundamental aceste sisteme de instrumentele AI anterioare în ceea ce privește riscul de securitate?

Înțelegerea a ceea ce sunt identitățile non-umane și cum să le securizați a devenit critică pentru echipele de securitate, deoarece 68% din incidentele de securitate IT implică identități de mașini și jumătate din întreprinderile chestionate au experimentat o încălcare a securității din cauza identităților non-umane nemanageate. Industria securității s-a concentrat, în primul rând, pe gestionarea posturii de securitate SaaS și guvernanța identității umane, în timp ce identitățile non-umane s-au proliferat în fundal. Acum, pe măsură ce organizațiile implementează agenți AI cu privilegii administrative la scară, deficitul de guvernanță a devenit critic.

Sistemele agențice, cum ar fi OpenClaws, arată atât promisiunea, cât și riscul AI-ului cu adevărat agențic. Este una dintre primele ori când vedem AI lansat în sălbăticie cu o adevărată autonomie, operând dincolo de un flux de lucru îngust, supravegheat.

Riscul de securitate se schimbă rapid atunci când aceste capacități devin mai accesibile, reducând barierele pentru non-experți să interacționeze și, posibil, să exploateze aceste sisteme critice. Oamenii already conectează agenți AI în mediile lor SaaS și extind peisajul amenințărilor în mai multe moduri, inclusiv prin chei API, integrări native și aplicații terțe. Cu toate acestea, fiecare flux de lucru nou, activat de agenți, multiplică numărul de căi de acces.

Încălcarea recentă a Vercel ilustrează această amenințare în creștere cu care se confruntă echipele de securitate. Atunci când autorizați o aplicație terță, îi acordați, implicit, încredere tuturor celor care ating infrastructura acelei aplicații, furnizorul lor de cloud, dezvoltatorii lor, serviciile lor conectate. Majoritatea organizațiilor nu știu, de fapt, la ce s-au angajat, iar această problemă este amplificată de utilizarea agenților AI.

Mulți agenți AI operează fără o adevărată frână pentru a-i controla. Atunci când nu aveți acces la amprente sau aveți garduri slabe în loc, este greu de știut ce a făcut agentul, ce a atins și ce s-a schimbat până după fapt. Această combinație este ceea ce face profilul de risc fundamental diferit de instrumentele AI anterioare.

Ați descris OpenClaws ca expunând noi suprafețe de atac datorită permisiunilor lor ample și autonomiei. Puteți descrie un scenariu din lumea reală în care acest risc devine tangibil pentru o întreprindere? 

Riscurile, cum ar fi cele prezentate de OpenClaws, devin tangibile în momentul în care acești agenți trec de la sarcini izolate și sunt instalați în medii de producție reale, ceea ce se întâmplă deja.

Majoritatea organizațiilor se concentrează pe a se asigura că persoana potrivită poate accesa un agent și că agentul se comportă așa cum se așteaptă. Cu toate acestea, puține organizații se gândesc la ceea ce se întâmplă atunci când un agent începe să interacționeze cu alt agent.

Acolo este locul în care suprafața de atac se extinde dramatic. Odată ce ieșirile dintr-un sistem, cum ar fi mesajele Slack sau bilețelele Jira, devin declanșatoare pentru acțiuni în alt sistem. Liderii pierd controlul asupra interacțiunilor și nu pot menține o vizibilitate și urme de audit consistente. Acești agenți se conectează, de asemenea, în același timp, la API-urile SaaS, multe dintre care încă lipsesc de porți sau protecții de securitate adecvate.

Întreprinderea medie rulează, deja, sute de agenți, un număr care a crescut cu aproximativ 100x în ultimul an. Când echipele, de fapt, verifică, 38% prezintă factori de risc mediu, ridicat sau critic, majoritatea fără un proprietar documentat, câțiva construiți de conturi care nu mai există, cu conectori live la sisteme de producție și zero istoric de execuție.

Închiderea acestei lacune necesită o vizibilitate profundă în interiorul aplicațiilor însele pentru a înțelege mai bine ce pot face, de fapt, aceste credențiale în fiecare sistem, față de fiecare set de date, pentru fiecare potențial invocator. Fără această contextualizare adecvată, operați în condiții de semi-orbire. Liderii trebuie, de asemenea, să schimbe strategiile de la detectare la aplicarea în timp real a politicii pentru a bloca acțiunile în momentul execuției, înainte de a fi finalizate, și nu după ce daunele sunt deja făcute.

Many organizations believe they already have adequate SaaS security in place. Where are these assumptions breaking down when agentic AI enters the picture?

Majoritatea organizațiilor cred că au “rezolvat” securitatea SaaS, dar această presupunere este contestată pe măsură ce adoptarea AI-ului agențic se accelerează. Securitatea SaaS este adesea tratată ca o căsuță de bifat: bugetul este aprobat, un instrument este implementat și problema este considerată rezolvată. În practică, totuși, API-urile SaaS care stau la baza acestor medii nu au fost aduse, de fapt, sub control, în mare parte pentru că există o vizibilitate limitată a întreprinderii asupra a ceea ce se întâmplă la nivelul API și care active SaaS comunică între ele.

Acest lucru creează un punct orb structural, în care întreprinderile pot securiza identități și puncte de capăt, dar adesea lipsesc o vedere clară asupra modului în care datele SaaS sunt accesate și acționate atunci când API-urile sunt în joc. Ca urmare, multe organizații operează, încă, peste internetul deschis, direct în sisteme critice, fără a înțelege pe deplin scala sau comportamentul interacțiunilor bazate pe API care au loc în fundal.

AI-ul agențic expune această lacună, creând provocări mai repede decât echipele pot să le închidă și, prin aceasta, devenind un catalizator pentru conversația despre API.

Cum ar trebui să reconsidere întreprinderile guvernanța atunci când se confruntă cu agenți AI autonomi care pot accesa, muta și acționa date în multiple sisteme? 

Niciun lider nu dorește să încetinească adoptarea AI-ului în acest moment, mai ales atunci când presiunile cresc pentru a se deplasa mai repede sau pentru a arăta rezultate măsurabile, chiar și atunci când consumul de token este utilizat în evaluări. În multe cazuri, mandatele AI vin direct de la vârf, cu CEO care raportează progresul către consilii sau chiar stakeholderi publici, ceea ce intensifică presiunea de a adopta la scară.

Problema este că sistemele agențice nu așteaptă remedierea. Ele pot descoperi sisteme, lanțuri de acțiuni și execuții de fluxuri de lucru în multiple aplicații SaaS în secunde, adesea finalizând zece sau mai multe pași înainte de a putea detecta sau interveni.

Acesta este motivul pentru care guvernanța nu mai este doar despre detectarea problemelor mai devreme în ciclul de dezvoltare, ci, din ce în ce mai mult, despre controlul în momentul în care agentul acționează, de fapt. Liderii de securitate nu pot guverna, de fapt, agenții dacă controlul se întâmplă doar după utilizare.

Într-o lume în care agenții iau decizii autonome în sisteme SaaS, singura abordare viabilă pentru a proteja împotriva amenințărilor conduse de AI agențic este prin Guvernanța în Timp Real. Această abordare necesită depășirea detectării post-execuției, pentru a detecta și a bloca escaladarea de privilegii, accesul excesiv la date și încălcarea politicilor înainte de a putea afecta organizația. Aceste controale trebuie să fie aliniate cu standardele OWASP și cele mai bune practici ale industriei, asigurându-se că agenții operează în limite explicite și impuse – astfel încât echipele să poată ține pasul cu viteza adoptării AI agențic fără a compromite inovația.

Din punct de vedere tehnic, care sunt cele mai neglijate vulnerabilități introduse de AI agențic în mediile SaaS?

Când organizațiile adoptă o nouă unealtă SaaS, ele descoperă, adesea, că funcționalitatea AI este adăugată sau activată, implicit, fără nivelul de control sau auditabilitate pe care echipele de securitate se bazează pentru funcțiile SaaS tradiționale. Ca urmare, atunci când o acțiune este efectuată, devine dificil de distins dacă a fost inițiată de un utilizator uman sau de un agent autonom. În multe cazuri, întreprinderile nu au opțiunea de a dezactiva funcționalitatea AI, deoarece aceste capacități sunt încorporate în aplicația SaaS însăși.

Ambiguitatea creează un punct orb major pentru securitate și guvernanță. Dacă o funcție încorporată AI ia decizii în numele unui utilizator, organizațiile adesea nu au o modalitate clară de a urmări intenția, de a înțelege logica deciziei sau de a confirma ce a declanșat o acțiune specifică.

Riscul devine și mai pronunțat atunci când se ia în considerare lanțul de aprovizionare AI din interiorul SaaS. Aceste capacități încorporate AI depind, adesea, de modele, servicii și integrări terțe upstream. Dacă orice parte a acestui lanț este compromisă, degradată sau manipulată, AI-ul din aplicația SaaS poate transforma aplicații de afaceri de încredere în participanți activi la un traseu de atac.

Stratul AI din interiorul SaaS a devenit, de fapt, o clasă proprie de risc care trebuie monitorizată și guvernată în mod corespunzător. Fără vizibilitate asupra modului în care aceste sisteme încorporate AI se comportă și asupra datelor pe care se bazează, organizațiile sunt oarbe la o parte în creștere a suprafeței lor de atac SaaS.

Cum ar trebui organizațiile să măsoare expunerea financiară și de reputație legată de agenții AI neasigurați? 

Dacă un agent AI este utilizat necorespunzător sau provoacă o încălcare, impactul imediat nu este doar incidentul în sine, ci și răspunsul organizațional care urmează. Acest eveniment va încetini viteza cu care compania este dispusă să adopte și să scaleze AI, pe măsură ce liderii devin mai precauți. Odată ce încrederea este ruptă, devine semnificativ mai greu de restartat motorul inovației care a condus valoarea în primul rând.

Acest dinamism se extinde dincolo de echipele interne la stakeholderi externi. Consilii, clienți și acționari așteaptă, toți, adoptarea responsabilă, iar orice eșec legat de agenți autonomi devine rapid o problemă fiduciară și de reputație. Atunci când securitatea nu este construită din proiect, organizațiile sunt forțate în conversații reactive despre control și siguranță, ceea ce încetinește, inevitabil, luarea deciziilor în întreaga afacere.

Există, de asemenea, o expunere financiară structurală, adesea neglijată. Pe măsură ce raza de acțiune a agenților AI crește, companiile tind să devină mai conservatoare în alocarea capitalului. În unele cazuri, acest lucru înseamnă reținerea fondurilor sau întârzierea investițiilor pentru a se proteja împotriva incidentelor potențiale.

În acest sens, securizarea agenților AI devine mai puțin o simplă exercițiu de reducere a riscului și mai mult o conversație despre venituri și creștere. Organizațiile care pot implementa AI cu încredere, știind că agenții sunt guvernați și conținuți, vor putea să se deplaseze mai repede, în timp ce cele fără această încredere se vor încetini, în mod natural. În 2026, capacitatea de a combina viteză cu încredere devine o putere.

Există o tensiune evidentă între adoptarea rapidă a AI-ului și implementarea responsabilă. Ce arată o strategie echilibrată pentru companiile care doresc să inoveze fără a-și crește profilul de risc? 

În acest moment, una dintre cele mai mari lacune dintre adoptarea AI-ului și implementarea responsabilă este comunicarea. Multe întreprinderi utilizează, activ, AI în medii SaaS, dar nu au, în mod consecvent, o conversație externă clară despre cum este utilizat și care sunt gardurile în loc. Această lipsă de transparență poate, de fapt, crește riscul, deoarece lasă clienții și partenerii să presupună scenariul cel mai rău, în loc de a înțelege controalele reale în loc.

O abordare mai echilibrată tratează utilizarea responsabilă a AI-ului ca parte a propunerii de valoare, nu doar ca un exercițiu intern de conformitate. Există o oportunitate pentru întreprinderi de a fi mai explicite despre cum AI-ul este guvernat în interiorul mediilor lor, inclusiv ce poate și ce nu poate face și care sunt protecțiile atunci când interacționează cu sisteme sensibile. Această claritate construiește încredere pentru a scala AI în siguranță.

Companiile care pot articula, în mod clar, cum AI-ul este utilizat în medii SaaS și pot demonstra că este controlat într-un mod structurat și observabil vor putea inova mai repede fără a crește, în mod perceput, riscul.

Pe măsură ce mai multe întreprinderi experimentează cu AI-ul agențic, care sunt pașii imediați pe care echipele de securitate ar trebui să îi ia astăzi pentru a evita a deveni următoarea încălcare a securității? 

AI-ul agențic nu introduce doar o nouă clasă de risc, ci și accelerează cele pe care organizațiile nu le pot, încă, vedea. De fapt, AI-ul din umbră adaugă $670K la costul mediu al unei încălcări a datelor. Cu toate acestea, problema de bază este vizibilitatea. Atunci când organizațiile nu știu unde este utilizat AI-ul sau cum interacționează cu sistemele, le ia mai mult timp să detecteze și să conțină incidentele, ceea ce crește, direct, atât impactul financiar, cât și cel regulator.

Primul pas imediat este stabilirea vizibilității în întreaga organizație. Echipele de securitate au nevoie de o imagine clară a utilizării atât a AI-ului sancționat, cât și a celui nesanctionat, nu doar la nivel de aplicație, ci și la nivel de fluxuri de lucru în care AI-ul ia sau influențează, de fapt, decizii.

Odată ce vizibilitatea există, focusul se mută spre traducerea acesteia în politici impuse și încorporarea lor în sistemele în care are loc, de fapt, munca. Acest lucru înseamnă alinierea cu afacerea pentru a stabili cum ar trebui să fie utilizat AI-ul, apoi trecerea de la documentație la controale tehnice care operează în punctele de capăt, platformele SaaS și sistemele agențice. Cu cât aceste controale sunt introduse mai devreme în calea de execuție, cu atât este mai mică probabilitatea apariției incidentelor costisitoare și greu de conținut, care provin din AI-ul din umbră și agenții autonomi.

Privind înainte, cum vedeți evoluând peisajul securității pe măsură ce sistemele agențice AI devin mai profund integrate în infrastructura întreprinderilor?

Organizațiile vor avea nevoie de securitate nativă AI pentru a aborda amenințările conduse de AI. Aceste sisteme trebuie să opereze la viteza mașinilor, rescriind, fundamental, operațiunile de securitate. Oamenii vor rămâne în buclă, dar se vor deplasa spre supravegherea strategică, aplicând contextul și judecata pe care AI-ul încă le lipsește.

Această schimbare modifică, de asemenea, modul în care sunt structurate echipele de securitate. Echipele nu se vor micșora, dar aria lor de acoperire se va extinde semnificativ, un singur profesionist în securitate fiind responsabil pentru o suprafață mult mai mare prin intermediul automatizării și instrumentelor conduse de AI.

În plus, în medii agențice, monitorizarea și detectarea nu sunt suficiente. Organizațiile vor trebui să implementeze mecanisme de aplicare, de fapt. Acest lucru înseamnă construirea de sisteme care pot acționa ca întrerupătoare: capacitatea de a activa sau de a dezactiva capacități, de a constrânge comportamentul în timp real și de a izola sisteme care se comportă defectuos sau care ar putea compromite întreprinderea mai largă. Riscul lanțului de aprovizionare AI este, pur și simplu, prea mare pentru a nu avea controale încorporate în arhitectură, asemenea întrerupătoarelor.

Privind înainte, AI-ul va continua să se accelereze, probabil dincolo de viteza și capacitatea umană. Dar conversația nu poate fi concentrată doar pe risc; ea trebuie să includă, de asemenea, oportunitatea. Ca și cum ai crește copii, AI-ul va crește și va face greșeli, dar are, de asemenea, capacitatea de a ne depăși. Câștigătorii vor fi cei care adoptă AI la scară, construind, în același timp, sistemele de control necesare pentru a-l implementa în siguranță și cu încredere. Vă mulțumim pentru acest interviu minunat; cititorii care doresc să afle mai multe despre acest subiect ar trebui să viziteze Obsidian Security.

mm

Antoine este un lider vizionar și partener fondator al Unite.AI, condus de o pasiune neclintita pentru a da forma și a promova viitorul inteligenței artificiale și al roboticii. Un antreprenor serial, el crede că inteligența artificială va fi la fel de disruptivă pentru societate ca și electricitatea, și este adesea prins vorbind cu entuziasm despre potențialul tehnologiilor disruptive și al inteligenței artificiale generale.

Ca futurist, el este dedicat explorării modului în care aceste inovații vor modela lumea noastră. În plus, el este fondatorul Securities.io, o platformă axată pe investiții în tehnologii de ultimă generație care redefinesc viitorul și reshapă întregi sectoare.