Bizimle iletişime geçin

Röportajlar

Opal Security CEO'su Howard Ting ile Röportaj Serisi

mm
Yayınlanan

Howard TingOpal Security'nin CEO'su, Kasım 2025'ten beri Opal Security'yi yöneten deneyimli bir siber güvenlik ve teknoloji yöneticisidir. Bu görevinden önce, Greylock'ta Yönetici Danışmanı olarak görev yaparken, Cyberhaven'da hem CEO hem de yönetim kurulu üyesi olarak beş yıldan fazla bir süre görev alarak şirketi veri koruma ve güvenli inovasyonu mümkün kılma misyonunda yönlendirdi. Geçmişinde Redis Labs ve Zscaler'da stratejik pazarlama liderliği pozisyonlarının yanı sıra Nutanix, Palo Alto Networks, Cisco (Securent aracılığıyla), Microsoft, RSA Security'de üst düzey pazarlama ve ürün rolleri ve Banc of America Securities'de birleşme ve devralmalar konusunda erken dönem deneyimi bulunmaktadır. Operasyonel liderlik, pazara giriş uzmanlığı ve derin siber güvenlik alanındaki bu deneyim birleşimi, onu hızla büyüyen bir güvenlik platformunun başına benzersiz bir şekilde yerleştiriyor.

Opal Güvenlik Modern, kimlik odaklı bir erişim yönetimi şirketi olan bu firma, işletmelere bulut, SaaS ve iç sistemler genelinde kimin neye erişimi olduğunu yönetmek ve güvence altına almak için merkezi bir platform sunar. Platform, kimlik ve erişim yollarına ilişkin birleşik görünürlük sağlar, kendi kendine hizmet ve anlık erişim iş akışlarını destekler ve en az ayrıcalık politikalarını büyük ölçekte uygulamak için erişim incelemelerini otomatikleştirir; böylece kuruluşların insan kullanıcılar, hizmet hesapları ve yapay zeka aracıları içeren dinamik ortamlarda riski azaltmasına ve uyumluluğu iyileştirmesine yardımcı olur.

Cyberhaven'ı önemli bir büyüme sürecinden geçirdikten ve Palo Alto Networks, Nutanix, Cisco, RSA Security, Redis ve Microsoft gibi şirketlerde üst düzey görevlerde bulunduktan sonra, yakın zamanda Opal Security'de CEO rolüne geçtiniz. Kariyerinizin bu aşamasında sizi Opal'e çeken neydi ve önceki deneyimleriniz, bugün erişim, kimlik ve yapay zeka tabanlı güvenlik konularındaki düşüncelerinizi nasıl şekillendiriyor?

Erişim yönetimi her yerde zorlaşıyor. Daha fazla kimlik, daha fazla makine, daha fazla otomasyon ve anlamlı erişim giderek geleneksel BT'den ziyade mühendislik ve bulut iş akışlarının içinden kaynaklanıyor. Standart IAM ve IGA araçları bunların hiçbiri için tasarlanmamıştı ve kimlik odaklı tehditler bunların yetişmesini beklemiyor.

İşte bu yüzden Opal'e ilgi duydum. Bu sorunun boyutu çok büyük ve Opal zaten pazarın nereye doğru gittiğiyle uyumlu. Bu modelin benzerlerini daha önce de gördüm. RSA, Palo Alto Networks ve Cyberhaven'da çok faktörlü kimlik doğrulama, yeni nesil güvenlik duvarı ve veri soy ağacı devrimlerinin gerçek zamanlı olarak nasıl geliştiğini izledim ve buradaki dinamikler çarpıcı bir şekilde benzer: çoğu satıcının yanıt verebileceğinden daha hızlı ivmelenen, kategori tanımlayan bir sorun ve doğru ekibin bu sorunu üstlenmesi için dar bir fırsat penceresi.

Opal'ın böyle bir ekibi var. Mühendislik ve ürün altyapısı güçlü ve doğrudan ve odaklanmış çalışmalarla oluşturulan müşteri portföyü kendi kendini kanıtlıyor. Hizmet verdiğim her müşteri görüşmesi aynı sinyali pekiştirdi: Bu sorun hızlanıyor ve Opal bunu çözüyor.

Kurumsal çapta ekipler kurma ve büyütme sürecinde öğrendiğim şey şu ki, ürün, mühendislik ve pazarlama stratejileri aynı müşteri odaklılığı paylaştığında, uygulama son derece kolaylaşıyor. Herkes aynı sorunu ve aynı fırsatı gördüğünde, hassasiyetten ödün vermeden hızlı hareket ediyorsunuz. Opal zaten bu temele sahip. Benim işim ise bunun üzerine inşa etmek ve müşterilerimizin, biz büyürken bu ekibin tüm gücünü hissetmelerini sağlamak.

Kimlik doğrulama, bulut altyapısı ve kurumsal güvenlik alanlarında yıllarca çalıştıktan sonra, kuruluşlar yapay zekayı daha derinlemesine benimsedikçe geleneksel erişim kontrol modellerinin nerede yetersiz kaldığını düşünüyorsunuz?

Dürüst olmak gerekirse, geleneksel erişim kontrol modellerinin çoğu kimlik doğrulama sorununu çözmek için geliştirilmiştir ve insanlar için bu sorun büyük ölçüde çözülmüştür. Kimlik sağlayıcıları (IDP'ler) ve modern kimlik doğrulama yöntemleri "kimsiniz?" sorusunu oldukça iyi bir şekilde ele almaktadır. İnsan dışı kimlikler için API anahtarları ve gizli bilgilerin yönetimi sizi kısmen hedefe ulaştırır. Ancak yetkilendirme – "ne yapmanıza izin verilmeli ve ne kadar süreyle?" – hem insanlar hem de makineler için hâlâ büyük ölçüde çözülmemiş bir sorundur ve gerçek risk de burada yatmaktadır.

Bunu daha da karmaşık hale getiren şey, mühendislik ekiplerinin artık otomasyon, kod olarak altyapı ve yapay zeka destekli araçlar aracılığıyla çalışması ve bu araçların günlük geliştirmenin bir parçası olarak yeni izinler üretmesidir. Erişim artık BT iş akışları aracılığıyla yavaşça değişmiyor; programatik olarak oluşturuluyor, değiştiriliyor ve genişletiliyor, çoğu zaman da verilen yetkilerin kimse tarafından incelenmesine gerek kalmıyor. Sonuç olarak, aşırı yetkilendirilmiş hesapların, parçalanmış ayrıcalık araçlarının ve pahalı, reaktif ve gerçekte neler olup bittiğine büyük ölçüde duyarsız bir yönetişimin giderek yayılması söz konusu.

Ve başka bir konuda da açık konuşacağım: Şu anda bu pazarda inanılmaz miktarda yapay zeka (AI) yanıltıcı bilgi yayma çabası var. Satıcılar, eski mimarilere "yapay zeka" eklemek için acele ediyorlar; bu da alıcılar için kritik bir gerçeği gizliyor: Yapay zeka ajanları için uygulanabilir, doğrulanmış bir güvenlik ve yönetişim çerçevesi henüz mevcut değil. Abartı, gerçek kontrollerin önüne geçiyor ve işte bu boşluk, gerçek riskin oluştuğu yer.

Opal'in yaklaşımını farklı kılan da bu. Opal, yönetişimi iş akışlarına sonradan eklemek yerine, mühendislerin zaten kullandığı sistemlerden erişimi doğrudan modelliyor, politikayı gerçek zamanlı olarak uyguluyor ve güvenlik ekiplerine sürtünme yaratmadan yetkilendirme kararlarını yönlendirme olanağı sunuyor. Yönetişim, mühendisliğin gerçekte nasıl çalıştığına doğal olarak uyduğunda, bir engel olmaktan çıkıp güvenebileceğiniz bir altyapı haline geliyor.

Opal, modern, bulut tabanlı ortamlarda hassas sistemlere kimlerin ve nelerin erişebileceğini yönetmeye odaklanmaktadır. Yapay zeka ajanları ve otomatik iş akışlarıyla geliştirme yapan şirketler tarafından en çok hafife alınan güvenlik sorunları nelerdir?

En çok hafife alınan sorunlar aslında yeni değil. Bunlar, insan kimlikleri etrafında yıllardır sessizce biriken sorunlar. Katılım/yer değiştirme/ayrılma iş akışları, anlık erişim ve kullanıcı erişim incelemeleri gibi temel yönetim uygulamaları, çoğu kuruluşta uzun zamandır göz ardı edildi veya geçici çözümlerle halledildi. SOX gibi uyumluluk yükümlülükleri de ortadan kalkmadı; sadece ortamlar daha karmaşık hale geldikçe bunları yerine getirmek zorlaştı. Bunların hiçbiri göz alıcı değil, ancak yapay zeka ajanlarını üstüne eklediğinizde tam olarak bu temel kırılıyor.

Kuruluşlar, iş akışlarını kolaylaştırmak ve sıradan görevleri ortadan kaldırmak için yapay zekayı entegre ediyor, ancak bunu yaparken, mevcut araçların asla ele almak üzere tasarlanmadığı şekillerde erişim ilişkilerini çoğaltan insan dışı kimlikler ortaya çıkarıyorlar. Sonuç, insan erişiminin zaten yetersiz yönetildiği ve makine erişiminin daha da az görünürlükle genişlediği karmaşık bir ağdır. Erişim kararlarının açıklanabilir, zamana bağlı, gerçek kullanıma bağlı ve sürekli olarak izlenmesi gerekir, ancak çoğu ekip hala bunların hiçbirini sağlayamayan statik, tek tip sistemlere güveniyor. Bu arada, kodlama aracıları, gömülü izinlerle kod üretip dağıtıyor, altyapıyla doğrudan etkileşim kuruyor ve geleneksel bir güvenlik merceğinden kimsenin incelemediği erişimle çalışıyor; bu da çoğu kuruluşun henüz kapsamını belirlemeye bile başlamadığı bir uyumluluk ve güvenlik açığıdır.

Yapay zekâ ajanlarıyla çalışan şirketler, teknolojinin yeniliğine odaklanırken, erişim karmaşasının ve görünmez izinlerin ne kadar hızlı bir şekilde ciddi bir sorun haline gelebileceğini hafife alma eğilimindedirler; özellikle de altta yatan insan kimliği temeli zaten kırılgan olduğunda.

Güvenliğin altyapının birçok neslinde nasıl geliştiğini gördünüz. Makine kimlikleri ve yapay zeka ajanlarının insan kullanıcılarından daha fazla sayıda olmaya başlamasıyla temelde ne değişiyor?

Makine kimliklerinin insan kullanıcı sayısını aşması durumunda, kimin neye erişimi olduğunu izlemek giderek zorlaşır. Geleneksel kimlik ve erişim yönetimi (IAM) bu gerçeklik için tasarlanmamıştır ve çoğu İK ve IAM platformu, özellikle kimlik denetimi tek bir ekibin ötesine genişledikçe, yalnızca kısmi görünürlük sağlar. Bu tür kimlikleri başarılı bir şekilde izlemek için, yapay zeka ajanlarına baştan itibaren net sahiplik, kapsamlı izinler ve tam denetlenebilirlik sağlamamız gerekir. Opal Security, insanları, hizmetleri ve ajanları ayrı varlıklar olarak ele almak yerine, tek bir çerçeve içinde modelleyerek bu sorunu çözmektedir.

Denetçiler artık erişim incelemelerini analiz ederken insan ve ajan davranışlarını yan yana incelemeyi bekliyorlar. Ajanlar genellikle onları dağıtan kullanıcıların izin kümelerini devralır, ancak bazı kullanım durumları, özel (genellikle daha düşük kapsamlı) izin kümelerine sahip hizmet hesapları olarak tanımlanan ajanları gerektirir.

Yapay zekâ giderek hem bir saldırı yüzeyi hem de bir savunma aracı haline geliyor. Sizin bakış açınızdan, yapay zekâ bugün güvenlik sonuçlarını hangi alanlarda anlamlı şekilde iyileştiriyor ve hangi alanlarda yeni riskler ortaya çıkarıyor?

Yapay zekâ, ürünümüzün temelini oluşturan son derece güçlü bir araçtır. Opal Security, kuruluşlar genelinde düzensiz erişimi izlemek, tespit etmek ve önlemek için yapay zekâyı kullanır. Yapay zekâ ayrıca kimlik güvenliğini de değiştirir çünkü yalnızca kimlik doğrulaması yapıp görevleri yerine getirmekle kalmayan, aynı zamanda akıl yürüten, uyum sağlayan ve özerk hareket eden aktörler ortaya çıkarır. Geleneksel kimlik sistemleri, erişimin yavaş değiştiği ve niyetin nispeten tahmin edilebilir olduğu kişiler ve statik hizmet hesapları için oluşturulmuştur.

Ancak yapay zeka ajanları bu modeli bozuyor. Risk, görünürlük ve hesap verebilirliğin kaybıdır. Ajanlar dinamik olarak devreye girip çıkabilir, sistemler arasında izinleri zincirleyebilir ve kullanıcılar, diğer ajanlar veya kendileri adına hareket edebilir. Güvenli kaynaklara "ihlal" edilmese bile, her şey teknik olarak yetkilendirildiği için hassas işlemler yine de gerçekleşebilir. İşte yeni tehdit yüzeyi budur. Bunu yönetmenin yolu, bağlam, davranış ve sürekli adaptasyon yoluyla tüm varlık türlerini anlayan ve güvence altına alan birleşik, akıllı bir platformdur.

Bu bütünleşik bakış açısı, güvenliğin temelini oluşturur; göremediğiniz veya anlayamadığınız şeyi koruyamazsınız. Opal'de, her ilişkiyi anlamaya inanıyoruz. Sistemde kimin olduğunu bilmek yeterli değil. Kimin neyle bağlantılı olduğunu ve nedenini bilmeniz gerekiyor.

Yapay zekâ kodlama ajanları ve otomatik sistemler kuruluşlar içinde daha geniş yetkilere sahip oldukça, güvenlik ekipleri en az ayrıcalıklı erişim ilkesini yalnızca teoride değil, pratikte nasıl yeniden ele almalıdır?

Modern kimlik erişimi, insan ve makine kimliklerine eşit muamele etmelidir; böylece şirketler, yapay zeka çağında güvenli bir şekilde ölçeklenebilmek için gereken görünürlüğe, otomasyona ve güvene sahip olabilirler. Pratikte bu, izinlerin yalnızca gerektiğinde verilmesi ve görevler veya roller değiştikçe erişimin sürekli olarak gözden geçirilmesi ve ayarlanması anlamına gelir. Otomatik izleme ve risk tabanlı kontroller, yapay zeka araçlarının gereksiz güvenlik açıkları yaratmadan verimli bir şekilde çalışmasını sağlamak için hayati önem taşır.

JIT'i aracılar için varsayılan olarak etkinleştirmek faydalıdır, ancak bunu sorunsuz hale getirin: uygun yerlerde belirli kaynakları otomatik olarak onaylayın veya kullanıcı tüm verilerin hassas olduğu bir ortamda çalışıyorsa, kullanımı sanal makinelerle sınırlandırın.

Ajan kullanımına getirilen yeni kısıtlamalar, son kullanıcıları yavaşlatarak rahatsız etme potansiyeline sahip olsa da, kullanıcıların ihtiyaçlarını karşılamak önemlidir. Opal ile bu, erişim isteklerinin Slack üzerinden gönderilip onaylanabileceği ve Terraform dahil olmak üzere IaaC stratejilerinin erişim izinlerini, iptallerini ve zaman sınırlı erişimi otomatikleştirmek için kullanılabileceği anlamına gelir.

Güvenlik şirketlerini büyütme deneyiminize dayanarak, bir kuruluşun erişim kontrollerinin işletmenin gerçek işleyiş biçimiyle artık uyumlu olmadığını gösteren işaretler nelerdir?

Kuruluşlar, erişim kontrollerinin gerçekliğin gerisinde kalmaya başlamasıyla uyumsuz olduğunu anlayabilirler. Bu durum, aşırı veya güncel olmayan izinler, eski sistemlerden kaynaklanan manuel darboğazlar veya insan dışı kimlikleri izlemek için güncellenmiş politikalar olmadan yapay zeka sistemlerinin benimsenmesi şeklinde ortaya çıkabilir. Bir diğer belirleyici işaret ise, aşırı ayrıcalıklı hesapların veya kötü yönetilen kimliklerin suçlu olduğu artan güvenlik olayları veya kıl payı atlatılan durumlardır.

Danışmanlardan oluşan bir ekibe dayanan karmaşık Sailpoint dağıtımları ve erişim takibinin elektronik tablolarda yapılması, ajanlar öncesi dönemde verimli değildi ve dahası, bu eski yaklaşım ajanların hızı ve karmaşıklığı karşısında çökecektir. Opal, güvenliği sağlayan, BT'nin önündeki engelleri kaldıran ve denetçilere ihtiyaç duydukları her şeyi sunan tek bir platform sunar. RBAC'nin kırılgan ve nadiren kalıcı bir durum olduğunu görüyoruz, bu nedenle başarılı ekipler JIT ile başlar ve ardından Terraform yapılandırmalarının sürümlendirilebilmesi, dağıtılabilmesi veya gerekirse geri alınabilmesi için kişiye özel erişime (zaman içinde esneklik ve takip ile) geçerler.

Liderlik açısından bakıldığında, yenilik hızını güvenlik ürünlerine olan güveni oluşturmak için gereken disiplinle nasıl dengeliyorsunuz?

Büyük şirketlerin hızlı büyürken bile temel prensiplerine bağlı kaldıklarını öğrendim. Bu temel prensipler arasında net öncelikler, şeffaf iletişim ve zorlu ödünler vermeye istekli olmak yer alıyor. İnovasyon hala önemli, ancak sağlam bir temele oturmalı: güçlü varsayılan değerler, düşünceli tehdit modellemesi ve sonuçlardan sorumlu olma. Bu kararları bilinçli bir şekilde almak, güveni zedelemeden hızlı hareket etmenizi sağlar ve zamanla bu disiplin aslında rekabet avantajı haline gelir.

Sizce güvenlik liderleri, insan odaklı erişim yerine otonom sistemlerin hakim olduğu bir geleceğe hazırlanma konusunda en çok hangi konuyu yanlış anlıyor?

Güvenlik liderlerinin en sık hafife aldığı şey, farklı kimlik türlerini yönetmenin karmaşıklığıdır. Şirketler, en son teknolojilere ayak uydurmak ve öne geçmek konusunda o kadar isteklidirler ki, güvenlik önlemleri çoğu zaman göz ardı edilebilir. Yapay zeka destekli iş akışları genellikle net bir sahiplik belirlenmeden devreye alınır ve bu da kuruluşlarda, insan dışı kimliklerin sessizce erişim biriktirdiği, geleneksel kontrollerin dışında çalıştığı ve maliyetli hatalar veya tehditler için yeni fırsatlar yarattığı kör noktalar bırakır. Bu geleceğe hazırlanmak, kimliği dinamik, sürekli olarak yönetilen bir katman olarak ele almayı gerektirir.

İşletmeler büyüdükçe, güvenlik ekipleri ajan kullanım politikalarının sorumluluğunu üstlenmeli ve ajan erişiminin, ajanı çağıran insandan nasıl, ne ölçüde ve nerede sınırlandırılacağını belirlemelidir. Daha önce insan ekiplerine yüklenen tüm süreçler, ajanların ölçeği ve geçici doğası karşısında çökecektir: istek hacmini yönetmenin tek yolu otomasyondur.

İleriye baktığımızda, yapay zekâ sistemlerinin sürekli olarak kendi başlarına oluşturma, değiştirme ve erişim talebinde bulunduğu bir ortamda "iyi güvenlik hijyeni" neye benzeyecek?

İyi güvenlik hijyeni, yapay zekayı güvenlik ölçeklendirmesi için kullanırken, hiçbir şeyin gözden kaçmamasını sağlamak için yeterli izleme ve disiplini korumakla ilgilidir. Yapay zeka hiçbir yere gitmiyor, bu nedenle bir şirket Opal gibi bir sağlayıcı kullansa da kullanmasa da veya dahili olarak yönetse de, erişimin artık statik olmadığını kabul etmelidir. Yapay zeka sistemleri sürekli olarak erişim oluştururken, değiştirirken ve talep ederken, güvenlik tek seferlik onaylardan sürekli gözetime geçmelidir. Bu, erişimi tek seferlik bir onay kutusu yerine sürekli bir yaşam döngüsü olarak ele almak anlamına gelir.

Şirketlerin savunmalarının bir parçası olarak yapay zekayı aktif olarak kullanmaları da gerekecek. Otomasyon, ekiplerin erişim değişikliklerinin hacmi ve hızıyla başa çıkmasına yardımcı olabilir, ancak net güvenlik önlemleri, yetkilendirme zincirlerine ilişkin görünürlük ve bir sorun çıktığında insan sorumluluğuyla birlikte kullanılmalıdır. Açıklanabilirlik sinyallerini ortaya çıkarmak önemlidir: Geleneksel makine öğrenimi modelleri için Shapley değerleri ve özellik katsayıları ve doğrusal dil modellerinden (LLM) ek bağlam veya ayrıntılı gerekçeler. Bu incelikler olmadan, hassas iş kaynaklarına erişim için herhangi bir güven zincirini sürdürmek oldukça zor olacaktır.

Harika röportaj için teşekkürler, daha fazla bilgi edinmek isteyen okuyucular ziyaret etmelidir. Opal Güvenlik.

İlgili konular:
mm

Antoine, yapay zeka ve robotiğin geleceğini şekillendirme ve tanıtma konusunda sarsılmaz bir tutkuyla hareket eden vizyon sahibi bir lider ve Unite.AI'nin kurucu ortağıdır. Bir seri girişimci olan Antoine, yapay zekanın toplum için elektrik kadar yıkıcı olacağına inanır ve sıklıkla yıkıcı teknolojilerin ve AGI'nin potansiyeli hakkında övgüler yağdırırken yakalanır.

Olarak fütürist, bu yeniliklerin dünyamızı nasıl şekillendireceğini keşfetmeye adamıştır. Ayrıca, kurucusudur menkul kıymetler.ioGeleceği yeniden tanımlayan ve tüm sektörleri yeniden şekillendiren son teknolojiye yatırım yapmaya odaklanan bir platform.