Connect with us

Elizabeth Nammour, Teleskope’un CEO ve Kurucusu – Röportaj Serisi

Röportajlar

Elizabeth Nammour, Teleskope’un CEO ve Kurucusu – Röportaj Serisi

mm
Published
Updated

Elizabeth Nammour, Teleskope’un CEO ve kurucusu, veri güvenliği mühendisliğinden founderlığa uzanan bir kariyerin sahibi olup, dünyanın en büyük teknoloji organizasyonlarında veri güvenliği, yazılım mühendisliği ve inovasyon rollerinde bulunmuştur. Airbnb’de veri güvenliğine odaklanan bir senior yazılım mühendisi olarak çalışırken, düzinelerce sistem boyunca hızla büyüyen devasa veri varlıklarını anlamak ve kontrol etmek konusundaki operasyonel zorluğuyla karşılaştı. Bu deneyim, Amazon ve Booz Allen Hamilton’daki önceki teknik ve stratejik rollerle birleşerek, modern organizasyonların büyük ölçekli hassas verileri yönetme konusundaki mücadelesine ilişkin bakış açısını şekillendirdi ve sonunda bu açığı gidermek için bir şirket kurmasına yol açtı.

Teleskope, organizasyonların sürekli olarak verilerin nerede yaşadığını, nasıl kullanıldığını ve komplex ortamlarda büyüdükçe hangi riskleri oluşturduğunu anlamalarına yardımcı olmak için tasarlanmış modern bir veri güvenliği platformudur. Geliştiriciler ve güvenlik ekipleri göz önünde bulundurularak oluşturulan platform, bulut, SaaS ve hibrit ortamlarda přes veri görünürlüğü, otomatik düzeltme ve politika odaklı kontrolleri vurgulamaktadır. Statik denetimleri ve manuel işlemleri aşarak, Teleskope organizasyonlara veri dağınıklığını yönetmek için pratik bir temel sağlamak ve sorumlu AI benimsemesini ermögilmek amacıyla çalışmaktadır.

Siz Teleskope’u, Airbnb’de büyük ölçekte veri kataloğu ve sınıflandırma için iç geliştirme veri güvenliği araçları oluşturduktan sonra kurmuşsunuz. Bu iç proje yerine bir şirket olması gerektiğine sizi inandıran an neydi ve bu erken dersler ürün tezinizi nasıl şekillendirdi?

AirBnB’de bu ürünü tamamladığım zaman, “Automating Data Protection at Scale” adlı bir blog yazısı yazma fırsatım oldu. Aslında bundan bir şey çıkmayacağını düşünmüştüm, ancak güvenlik topluluğu gerçekten olumlu tepki gösterdi ve dünya çapındaki uygulayıcılar tarafından ulaşılmaya başladım. Kesinlikle birçok kişinin aynı zorluklarla karşılaştığını ve bu ürünün gerçekten piyasada talep edilen bir şey olduğunu fark ettiğim bir an yaşadım. Erken günlerde çok fazla geri bildirim aldım ve hatta Teleskope v1.0, AirBnB’de ilk olarak inşa ettiğim şeyden çok daha iyiydi. Bugün ürünümüz, o zamanlardan çok daha büyük ve etkili.

Çok modelli sınıflandırma pipeline’niz geleneksel ML, format özgü modeller ve GenAI doğrulamasını birleştiriyor. Karar mantığını ve büyük ölçekte yanlış pozitif/y.negatifleri nasıl azalttığınızı açıklar mısınız?

Veri sınıflandırması hakkında, Data Science başkanı Ivan ile birlikte yazdığım blog yazıma kesinlikle bakmanızı öneririm. Bu, bir sanat kadar bilim olduğunu söyleyebilirim. Her bir hassas veri varlığı bulunduğunda, bağlam her zaman benzersiz olacaktır. Ayrıca, veri miktarının bu problemi sonsuza kadar daha zor hale getirdiğini çünkü üretim verilerini taramanın çok fazla işlem gücü ve zaman aldığını belirtmek isterim. Temelde, bu problem büyük ölçüde çözülmemiş olarak kabul edilmesinin bir nedeni vardır.

Sanat, tüm bu trade-off’leri – hız, gecikme, doğruluk, maliyet ve genişlik (veri depoları, dosya formatları, diller vb.) – nasıl dengeleyeceğinizi bulmaktır. Her zaman yaratıcı bir çözüm olduğuna inandık ve bu nedenle birçok mevcut sınıflandırma yöntemini birleştiren bir yaklaşım benimsemeye karar verdik. Bu, özetle, anlamayı feda etmeden mümkün olan en hafif yöntemi kullanmak için tasarlanmış dinamik ve nüanslı bir yaklaşımdır. Bu dinamik yaklaşım, bize, REGEX veya geleneksel bağlamsal yaklaşımlardan çok daha doğru sonuçlar sunarken, tek boyutlu LLM’lere bağımlı olan araçlardan 10-20 kat daha hızlı veri taraması yapma imkanı sağlar.

Son olarak Prism’i tanıttınız, bu, iş düzeyinde veri anlama ve GenAI destekli düzeltme odaklı. Bu, element düzeyinde PII algılama ile karşılaştırıldığında yeni kullanım örnekleri nelerdir ve düzeltme eylemlerinde hayal gücünden nasıl kaçınırsınız?

Veri sınıflandırması ve koruması zorluğunu ele almaya başladığımda, odaklandığım ilk şey, gerçek yanlış pozitif sonuçlarını azaltmaktı. Örneğin, bir Social Security Number olarak işaretlediğimiz şeyin gerçekten bir SSN olması için en az %95 oranında doğru olmaktı. Birkaç yıl önce, farklı veri öğesi türleri boyunca %80’lik bir doğruluk oranı bile bir iyileşme olurdu.

Ancak, müşterilerimizle yakın çalışarak, son bir yıl içinde, ekiplerin boğulduğu “gürültü”nün sadece yanlış veri varlık sınıflandırmalarından (geleneksel “yanlış pozitifler”) değil, aynı zamanda alakasız uyarılardan kaynaklandığını fark ettim. Prism, bizim çok daha fazla bağlamı dikkate almamızı sağlar – sadece “bu verinin ne olduğu” veya “kimin bu dosyaya eriştiği” değil, aynı zamanda “bu dosyanın pratik olarak ne olduğu”. İşletmenin gerçekten neler yaptığını ve önem verdiği şeyleri dikkate alarak, her şirketin farklı “hassas” veri tanımlarına uygun bir ürün sunabiliriz.

Bu düzeyde nüanslı bağlamı yakalamak gerçekten oyun değiştirici. Örneğin, kişisel sürücünüzde yüzlerce SSN içeren bir Google Doc’u depolamak büyük bir risk ve Veri Yönetimi politikasının ihlali olabilir. Ancak, güvenli bir HR sürücüsünde çalışanlarınızın W2’lerini içeren bir klasörünüz varsa, bu beklenen bir davranıştır. Güvenlik ekipleri, ilkini uyarı olarak almak ister ancak her çalışanın W2’si için, doğru bir şekilde depolandığında, sadece gürültüdür. Hassas verilerin nerede ve hangi bağlamda bulunduğunu anlamak, sadece bir varlık sınıflandırma modeli gerektirir.

Çok uluslu bir kimya şirketi olan Chevron Philips Chemicals ile çalışıyoruz. Bu işletme, tüketici veri riskini öncelik olarak görmediği için bir gizlilik aracı veya standard DSPM satın almayacaktır. Ancak, özgün kimyasal eşitliklerin formunda entelektüel mülkiyeti önemser. Belgeyi etiketlenmiş bir liste halinde özetleyerek, sadece benzersiz hassas öğeleri tespit etmekle kalmaz, aynı zamanda bu veri varlıklarının “yanlış” yerlerde bulunduğunu da bulabiliriz. Bu bağlamı otomatik düzeltme ile birleştirebilir ve ardından bu dosyaları arşivlemek, silmek, karalamak veya doğru konuma taşımak için eylemde bulunabiliriz. Veri güvenliği pazarında kimse bu tür bir çalışma yapmıyor.

Teleskope, çok bulut, yerel ve üçüncü taraf sistemleri içeren – gölge verilerini de içererek – sürekli keşfi vurgulamaktadır. “Tam harita” kapsamı nedir ve bir yeşil alan dağıtımı sırasında bilinmeyen depolama alanlarını ne kadar hızlı bir şekilde ortaya çıkarabilirsiniz?

“Tam” kelimesi burada biraz zor – gerçekte, bu bir sürekli hareket halindeki bir çubuktur. Veri dağınıklığını yönetmek bu kadar zor. Amacımız, müşterilerimizin verilerinin bulunduğu her yerde Teleskope’un bulunması. Aslında, birçok yönden entegrasyon tabanlı bir ürünüz – geniş bir yelpazede SaaS araçları, bulut veri depoları ve yerel sistemler boyunca veri taramak, incelemek ve sınıflandırmak için özel veri konektörleri geliştirdik. Çoğu müşteri, en yüksek riskli veya en az görünürlüğe sahip olarak gördükleri birkaç konektörle başlar, bu nedenle gerçekteeldomuz nadiren bir şirketin verilerinin bulunduğu her yerde bulunmuyoruz. Ancak, her bir veri kaynağında, sürekli olarak yeni hesaplar, tablolar, yeni blob’lar, dosyalar, mesajlar vb. ortaya çıkarmak için ortamı tarıyoruz. Bulunduğumuz her yerde, yeni ve eski verileri neredeyse gerçek zamanlı olarak buluyoruz.

AI güvenliği ve yönetişimi için, eğitim veri kümeleri, modeller, promt’lar ve çıktılar arasındaki kökeni nasıl izlersiniz ve denetim için?

AI güvenliği ve yönetişimi için üç temel şekilde destek sunuyoruz. İlk olarak, veri hareket halindeyken API’lerimiz aracılığıyla sınıflandırma ve düzeltme teknolojisini uygulayarak çalışıyoruz. Şirketler kendi modellerini eğitmek veya hazırlamak için veri kümeleri oluştururken, bu verilerin PII veya diğer hassas verilerden arınmış olduğundan emin olmak için bir yol cầnlarından. Bu nedenle, veri işlem hatlarına doğrudan bağlanıyoruz ve eğitim setlerine veri taşındığında veya kopyalandığında, bu modellerin hiçbir zaman hassas verileri çıkarmayacak şekilde veri kümelerini temizliyoruz.

İkincisi, temel ürünümüzü AI benimsemesini sağlayan bir araç olarak görüyoruz. Her şirket, daha verimli çalışmak ve pazarı takip etmek için AI araçlarını kullanma baskısı altındadır. M365’in Copilot’u gibi bir örnek, akıllı bir arama yeteneği sunar ve dosyaları veya verileri bulmayı kolaylaştırır. Ancak bu araçlar, doğaları gereği, hassas verileri de bulmayı kolaylaştırır, bu nedenle birçok şirket bize gelip “bu AI aracını uygulamamız gerekiyor, ancak ne ortaya çıkaracağından korkuyoruz” diyor. Onlara, AI’yi güvenle benimsemeleri için Teleskope’un必要 olduğunu söylüyoruz, böylece ortamını tarayarak ve veri yönetim ve güvenlik politikalarını otomatik olarak uygulayarak AI’yi güvenle benimsemelerini sağlayabiliriz.

Son olarak, AI araçları için entegrasyonlar geliştiriyoruz, bu da hassas verileri içeren promt’ları, sızdırılmadan önce kamu AI araçlarına girmeden önce redakte edecek veya karantinaya alacaktır. Birçok şirket bu araçların kullanımını yasaklıyor, ancak bunları güvenli bir şekilde benimsemenin bir yolu var, böylece hiçbir hassas veri (her şirket tarafından tanımlanan şekilde) sızdırılmaz.

Kendiliğinden düzeltme ve “kaynağında düzeltme” yaklaşımınızın temelidir. Otomatik düzeltme ile insan müdahalesi arasındaki felsefeniz nedir ve güvenlik sınırlarını nerede çiziyorsunuz?

Birkaç yıl önce, veri keşfi ve sınıflandırmasının ne kadar gerekli olduğuna rağmen, sadece yarım hikayeyi anlattıklarını fark ettik. Veri riskini bulmak ilk adımdır, ancak bu riski çözmek ve düzeltmek asıl hedeftir. Müşterilerimiz genellikle Teleskope’un bulgularını veri kataloğumuzda değerlendirerek başlıyor, ardından insan müdahalesi ile düzeltme yapıyor ve sonra tam otomatik düzeltmeye geçiyorlar. Bazı eylemlerin tamamen otomatikleştirilmeden önce ekiplerin asla %100 rahat olmayacağını farkındayız. Örneğin, bir üretim veritabanından verileri silmek çok problemli olabilir. Ancak birçok durumda, müşterilerimizin, izinleri iptal etmek, verileri taşımak, arşivleme veya saklama politikalarını uygulamak gibi şeyleri tam otomatikleştirdiklerini görüyoruz.

Çok DSPM/DLP aracı gerçek zamanlı koruma konusunda mücadele veriyor. “Gerçek zamanlı”ın temel haline gelmesi için mimari olarak ne gibi değişiklikler yapılması gerekti ve işletmelerin üretim ortamında hangi gecikme ve veri işleme hızlarından beklentili olabilir?

Gerçek zamanlı problemi ele almak için, görevi temel bileşenlerine ayırmak önemliydi. Farklı durumlar farklı gecikme türleri gerektirir, ancak hedef her zaman mümkün olan en kısa sürede en doğru bilgiyi sağlamaktır. Bu, farklı veri işleme gereksinimlerini karşılayabilmek için düşük gecikme sistemimizi paralelleştirebilen esnek bir mimari gerektirir. Bir işletme, ortamında Teleskope’u çalıştırırken, veri sınıflandırma ve koruma anında gerçekleşir, bu da gecikme ve dışarıya veri akışını azaltır. Bu, yüksek riskli senaryolarda düzeltme eylemlerini saniyenin altında bir sürede gerçekleştirmemizi sağlar.

Gizlilik ve uyum: sürekli izleme ve otomatik çerçeve/hukuki düzenlemelere eşleme iddiasındasınız. Değişen yasaları takip etmek için eşlemeleri nasıl güncellersiniz ve farklı bölgeler veya iş birimleri için kontroller ne kadar özelleştirilebilir?

Samimi olarak, odak noktamız, müşterilerimizin neye önem verdiğini gerçekten anlamaya kaymıştır. Bazı durumlarda, yeni düzenlemelere %100 uyumlu olmak isteyebilirler ve biz de sürekli olarak bu değişiklikleri izleyip ürüne entegre ediyoruz. Ancak, çoğu şirket, bu yasalara tam olarak uymak için çok uzakta olduğu için, onlara nerede olduklarını ve A noktasından B noktasına, oradan C noktasına götürmek için ürünümüzü şekillendirmemiz gerekiyor. Bunu, önce bir şirket için uyumun ne anlama geldiğini (örneğin, bir imalat şirketi için GDPR önemli bir endişe olmayabilir) anlamak ve ürünümüzü onların özel risk profillerine ve ihtiyaçlarına göre uyarlayabilmek için yapıyoruz.

GenAI benimseme: müşterileriniz Teleskope’u, geliştirici hızını bozmadan “güvenli girdiler” ve “güvenli çıktılar” oluşturmak için nasıl kullanıyor? Önerdiğiniz kalıplar var mı?

Müşteriler, Teleskope’un Redact API’sini eğitim ve çıkarım işlem hatlarına entegre ederek, hassas verilerin hiçbir zaman üretken AI modellerine ak不会nına izin vermiyor. Redaksiyon işlemi, geliştiricilerden soyutlanarak, redaksiyonun çıkarım öncesi yapılması ve ardından verilerin yeniden hidrasyonuyla geliştirici hızını korur.

İleriye bakıldığında, uçtan uca “ajent” veri güvenliği platformu ve otomatik düzeltme hakkında konuştuğunuzdan, endüstrinin tam otomatik veri korumasına hazır olduğunu gösteren kilometre taşları nelerdir?

Endüstrinin buna hazır olduğunu biliyoruz. Diğer siber güvenlik alanları gibi SOC, already tam olarak ajent AI’ye doğru bir kayma gösterdi. Bu çalışmaya tasarım ortakları olarak katılmak isteyen bir müşteri kuyruğumuz var, bu nedenle birçok şirketin aynı acıyı çektiğini ve hala manuel olarak bir biletin çözülmesi için triyaj, araştırma, karar verme ve eylem alma gerektiğini biliyoruz. Bu, gerçekten nereye gittiğine inandığımız bir yer ve bu değişimi liderlik etmek için kararlıyız.

Harika bir röportaj için teşekkür ederiz, daha fazla bilgi edinmek isteyen okuyucular Teleskope‘u ziyaret edebilir.

mm

Antoine bir vizyoner lider ve Unite.AI'in kurucu ortağıdır ve AI ve robotik geleceğini şekillendirmek ve tanıtmak için sarsılmaz bir tutkuyla hareket etmektedir. Bir seri girişimci olarak, toplum için elektrik kadar yıkıcı olacağına inandığı AI'nin potansiyeli hakkında sık sık konuşur ve coşkusunu dile getirir.
Bir futurist olarak, bu yeniliklerin dünyamızı nasıl şekillendireceğini keşfetmeye adanmıştır. Ayrıca, Securities.io kurucusudur, bu platform geleceği yeniden tanımlayan ve tüm sektörleri yeniden şekillendiren teknolojilere yatırım yapmaya odaklanmıştır.