ConductorOne'da Bilgi Güvenliği Direktörü (CISO) olan Kevin Paige ile Röportaj Serisi

Kevin PaigeConductorOne'da Bilgi Güvenliği Direktörü (CISO) olarak görev yapan Paige, hükümet, kurumsal teknoloji ve yüksek büyüme gösteren girişimlerde otuz yılı aşkın deneyime sahip kıdemli bir siber güvenlik yöneticisidir. San Francisco Körfez Bölgesi'nde bulunan Paige, şirketin kimlik güvenliği stratejisine liderlik ederken, kuruluşlara modern iş gücü güvenliği ve yönetişimi konusunda danışmanlık yapmaktadır. Daha önce Uptycs, Flexport ve MuleSoft'ta CISO olarak görev yapan Paige, hızlı büyüme dönemlerinde güvenlik programlarının oluşturulmasına ve ölçeklendirilmesine yardımcı olmuştur. Kariyerinin başlarında Salesforce ve xMatters'da güvenlik liderliği ve altyapı rollerinde bulunmuş ve hem ABD Ordusu hem de ABD Hava Kuvvetleri'nde görev yapmıştır. Operasyonel rollerinin yanı sıra, danışman ve yatırımcı olarak siber güvenlik girişim ekosisteminde de aktiftir.

İletkenBir Modern bulut ve hibrit ortamlar için tasarlanmış bir kimlik yönetimi ve erişim yönetimi platformu geliştiriyor. Teknolojisi, uygulamalar, altyapı ve şirket içi sistemler genelinde kimlikler ve izinler konusunda birleşik bir görünürlük sağlayarak kuruluşların erişim incelemelerini otomatikleştirmesine, en az ayrıcalıklı erişimi uygulamasına ve kimlik tabanlı güvenlik risklerini azaltmasına olanak tanıyor. Kimlik analitiğini otomatikleştirilmiş iş akışlarıyla birleştirerek, platform güvenlik ekiplerinin erişimi büyük ölçekte yönetmesine, uyumluluğu ve operasyonel verimliliği artırmasına yardımcı oluyor.

ABD Hava Kuvvetleri'nde askeri siber operasyonlar, MuleSoft, Flexport ve Salesforce gibi şirketlerde kurumsal güvenlik liderliği rolleri ve şu anda ConductorOne'da CISO olarak görev yaptığınız uzun bir kariyeriniz oldu. Kimlik güvenliğine bakış açınız bu roller boyunca nasıl gelişti ve kimliğin modern siber güvenlikte en kritik mücadele alanlarından biri haline geldiğine neden inanıyorsunuz?

Hava Kuvvetlerinde kimlik doğrulama çok daha basitti — güvenlik seviyesi, bilgiye ihtiyaç duyma, her şey güvenlik duvarlarının arkasında, iş bitmişti. MuleSoft'ta ise ölçeklenebilirlik ön plana çıktı — yüzlerce SaaS uygulamasında binlerce kullanıcıya güvenlik açığı yaratmadan hizmet sunmak. Flexport'ta ise çevre tamamen ortadan kalktı ve kimlik doğrulama, kişinin nerede olduğuna bakılmaksızın işe yarayan tek kontrol yöntemi oldu.

ConductorOne'da kimlik, en temel dönüşümünü yaşıyor. Artık sadece insanlarla ilgili değil; makineler, API'ler, hizmet hesapları ve otonom olarak hareket eden yapay zeka ajanlarıyla ilgili. Çoğu kuruluşun kullandığı araçlar, artık var olmayan bir dünya için tasarlanmıştı.

Kimlik, her şeyi etkilediği için kritik bir mücadele alanıdır. Dünyanın en iyi uç nokta güvenliğine ve ağ segmentasyonuna sahip olabilirsiniz; ancak bir şeye yanlış erişim izni verilirse, bunların hiçbir önemi kalmaz.

Yakında yayınlanacak olan Kimliğin Geleceği Raporunuzda, işletmelerin %95'inin yapay zekâ ajanlarının halihazırda otonom BT veya güvenlik görevlerini yerine getirdiğini belirttiği ortaya çıktı. Bu ajanlar bugün aslında ne tür görevler gerçekleştiriyor ve otonomi düzeylerinin ne kadar hızlı artmasını bekliyorsunuz?

Beni şaşırtan şey benimseme oranı değil, hızıydı. Geçen yıl %96'sı ajan dağıtmayı planlıyordu. Bu yıl ise %95'i çoktan dağıtmış durumda. Bu kademeli bir artış değil, bir eşiğin aşılması.

Destek temsilcileri, yardım masası iş akışlarını, uyarı önceliklendirmesini, erişim incelemelerini, yetkilendirmeyi ve bazı durumlarda otomatik düzeltmeyi yönetiyor. Çoğu insanın gözden kaçırdığı nokta şu: Kuruluşların %64'ü zaten temsilcilerin yalnızca işlem sonrası incelemeyle özerk hareket etmesine izin veriyor. Temsilci önce harekete geçiyor, insan daha sonra kontrol ediyor - eğer kontrol ederse.

Bugün teknik destek görevlerini yürüten çalışanlar, 12 ay içinde güvenlik kararları alacaklar. Soru, özerkliğin artıp artmayacağı değil, yönetişimin buna ayak uydurup uydurmayacağıdır. Şu anda ayak uydurmuyor.

Rapor, uygulama programlama arayüzleri (API'ler), botlar ve yapay zeka ajanları da dahil olmak üzere insan dışı kimliklerin yükselişini vurguluyor. Bu makine kimlikleri neden bu kadar hızlı büyüyor ve neden birçok kuruluş bunları etkili bir şekilde yönetmekte hâlâ zorlanıyor?

Üç birleşen güç. Bulut ve SaaS benimsenmesi, her entegrasyonun kendi kimliğine ihtiyaç duyması anlamına geliyor. DevOps, her işlem hattı, konteyner ve mikro hizmet için büyük ölçekte makine kimlikleri oluşturuyor. Ve yapay zeka ajanları, yalnızca erişime sahip olmakla kalmayıp, bunu karar vermek için kullanan tamamen yeni bir kategori ekliyor.

Kuruluşlar bu konuda zorlanıyor çünkü araçlar bunun için tasarlanmamış. Geleneksel kimlik ve erişim yönetimi (IAM), giriş yapıp çıkış yapan bir kişiyi varsayar. İnsan dışı kimlikler sürekli olarak çalışır, çok faktörlü kimlik doğrulamaya (MFA) yanıt vermez, genellikle kalıcı kimlik bilgilerine sahiptir ve kimse erişimlerini bir insanınki gibi incelemediği için ayrıcalıklar biriktirir.

Ayrıca bir sahiplik sorunu da var. Bir geliştirici bir hizmet hesabı oluşturup ekip değiştirdiğinde, bu hesabın sahibi kim oluyor? Çoğu zaman kimse olmuyor. Sektör araştırmaları, NHI'ların %97'sinin aşırı ayrıcalıklara sahip olduğunu gösteriyor. Bu bir araç sorunu değil, bir yönetim açığı.

Şirketlerin neredeyse yarısı, insan dışı kimliklerin artık insan kullanıcılarından daha fazla olduğunu söylüyor; ancak işletmelerin yalnızca küçük bir yüzdesi bu kimliklerin nelere erişebildiğine dair tam bir görünürlüğe sahip. Kuruluşlar bu otomatikleştirilmiş kimliklere ilişkin görünürlüğü kaybettiğinde hangi riskler ortaya çıkar?

Üç katman. Birincisi, ele geçirilmiş kimlik bilgileri. Ulusal sağlık sigortaları (NHI'ler) genellikle uzun ömürlü API anahtarları veya dönmeyen statik belirteçler kullanır. Bunlardan birine sahip bir saldırgan, ele geçirilmiş bir insan hesabının tetiklediği alarmları tetiklemeyen kalıcı bir erişime sahip olur.

İkinci olarak, ayrıcalık birikimi. Okuma erişimiyle başlayan entegrasyonlar sessizce yazma erişimi kazanır. Kimse eski izinleri kaldırmaz çünkü kimse makine kimliklerini incelemez.

Üçüncüsü -ve bu hızla ortaya çıkıyor- yapay zekâ ajanları bu risklerin her ikisini de artırıyor. Veritabanı okuma erişimine sahip, güvenliği ihlal edilmiş bir hizmet hesabı kötüdür. Aynı erişime sahip, okuduklarını otonom olarak özetleyebilen, paylaşabilen ve bunlara göre hareket edebilen bir yapay zekâ ajanı ise kat kat daha kötüdür.

Raporumuz, Ulusal Sağlık Sigortası (NHI) görünürlüğünün aslında azaldığını ortaya koydu; yıllık bazda %30'dan %22'ye düştü. Kuruluşlar sorunu çözmekten daha hızlı bir şekilde keşfediyorlar.

Birçok şirket yapay zekayı verimlilik artırıcı olarak görüyor, ancak araştırmanız bunun aynı zamanda saldırı yüzeyini sessizce genişletebileceğini gösteriyor. Yapay zeka araçlarının ve ajanlarının benimsenmesi, kimlikle ilgili yeni güvenlik risklerini nasıl yaratıyor?

En acil risk, yanlışlıkla aşırı yetkilendirme yapılmasıdır. Ekipler bir iş akışı için yapay zeka ajanı kullanır ancak makineler için yetkilendirme kapsamı belirlemek insanlara göre daha zor olduğu için gerekenden daha geniş erişim verir. Ajan sadece destek biletlerini değil, tüm müşteri veritabanını görür.

Bir de komut satırı enjeksiyonu var. Harici girdileri işleyen ajanlar, istenmeyen eylemler gerçekleştirmek üzere manipüle edilebilir. Eğer ajanın geniş erişimi varsa, özel olarak hazırlanmış bir komut satırı, yardımcı bir asistanı veri sızdırma aracına dönüştürebilir.

Üçüncüsü ise gölge yapay zekâ. Gartner'ın raporuna göre, kurumsal yapay zekâ kullanımının %50'sinden fazlası izinsiz gerçekleşiyor. Her yetkisiz bağlantı, güvenlik ekibinin göremediği yeni kimlikler ve saldırı yüzeyleri oluşturuyor.

Bunu bizzat kendi gözlerimle gördüm — birileri bir ajana iç sistemlere erişim izni verdi ve birkaç gün içinde birileri ajanı çalıştırarak CEO'nun maaşını ve tatil programını ifşa etti. Ajan tasarlandığı gibi çalıştı. Sorun erişim modelindeydi.

Kimlik ve erişim yönetimi geleneksel olarak çalışanların sistemlere giriş yapmasına odaklanmıştır. Otonom yazılım ajanlarının altyapıyla giderek daha fazla etkileşime girdiği ve kararlar aldığı günümüzde kimlik yönetimi nasıl gelişmelidir?

Temel değişim, periyodik yönetimden sürekli yönetime geçişte yaşanıyor. Geleneksel yönetim, üç aylık incelemeler ve yıllık yeniden sertifikasyonlarla işler. Yapay zekâ ajanları 7/24 çalışır, inceleme döngüleri arasında binlerce karar alır ve model güncellemesine göre davranışlarını değiştirebilir. Üç aylık bir inceleme, aşırı yetki kullanan bir ajanı yakaladığında, hasar zaten verilmiş olur.

Üç şeyin değişmesi gerekiyor. Yönetişim sürekli olmalı; erişim, bir programa göre değil, gerçek zamanlı olarak değerlendirilmelidir. Rol odaklı değil, politika odaklı olmalıdır; statik rol atamaları yerine, belirli görevlere yönelik dinamik politikalar benimsenmelidir. Ve tamamen denetlenebilir olmalıdır; her temsilci eylemi kaydedilmeli ve yetkilendiren kişiye kadar izlenebilir olmalıdır.

Kimlik yönetimi, makine hızında hareket eden aktörleri yönetmek için makine hızında çalışmalıdır. Risk de bu uyumsuzluktan kaynaklanmaktadır.

ConductorOne, platformunun kuruluşların insan ve makine kimliklerini birlikte güvence altına almalarına yardımcı olduğunu belirtiyor. Teknik açıdan bakıldığında, kurumsal ortamlarda çalışan yapay zeka ajanlarını düzgün bir şekilde güvence altına almak için kimlik altyapısında ne gibi değişiklikler gerekiyor?

En büyük değişiklik birleşmedir. Çoğu kuruluş, insan kimliklerini kimlik doğrulama (IDP) yoluyla, makine kimliklerini ise çeşitli gizlilik yöneticileri ve manuel süreçler aracılığıyla yönetir. Yapay zeka ajanları bu iki dünya arasındaki boşluğu doldurur.

Üç şeyin gerçekleşmesi gerekiyor. Her yapay zeka ajanı birinci sınıf bir kimliğe ihtiyaç duyar; paylaşılan bir hizmet hesabı veya geliştirici kimlik bilgileri değil, kendi yaşam döngüsüne ve denetim izine sahip özel bir kimlik. Bu kimlikler, tam zamanında ve tam yeterli erişime ihtiyaç duyar; belirli bir görev için minimum izinler verilir ve görev tamamlandığında bu izinler iptal edilir. Ayrıca, kuruluşların ajanların erişimleriyle ne yaptıklarını, yalnızca ne yapmalarına izin verildiğini değil, sürekli olarak izlemeleri gerekir.

ConductorOne'da, insan ve insan olmayan kimlikleri tek bir kontrol düzlemi üzerinden yönetiyoruz. Sektörün yöneldiği nokta burası; %45'i halihazırda NHI yönetimi için IAM araçları kullanıyor, diğer %45'i ise 12 ay içinde kullanmayı planlıyor. Sadece insan kimliğine dayalı yönetim sona eriyor.

Bazı kuruluşlar, yapay zeka araçlarını kısıtlayarak veya tamamen yasaklayarak yapay zeka riskini yönetmeye çalışıyor. İşletmeler genelinde gördüklerinize dayanarak, bu yaklaşım gerçekçi mi, yoksa yapay zeka kullanımını yönetilmeyen ve daha az görünür ortamlara mı itiyor?

Bu, her seferinde yeraltına itiyor. Bunu her teknoloji dalgasında gördüm - BYOD, bulut, SaaS. Güvenlik "hayır" dediğinde insanlar durmuyor. Sadece güvenliğe söylemeyi bırakıyorlar.

Gartner'ın raporuna göre, kurumsal yapay zeka kullanımının %50'sinden fazlası gizli yapay zekadan kaynaklanıyor. Yapay zekayı yasaklamak riski ortadan kaldırmaz, görünürlüğü ortadan kaldırır. Ve göremediğiniz şeyi güvence altına alamazsınız.

Daha iyi yaklaşım: Güvenli yolu kolay yol haline getirmek. Yönetilen yapay zeka kullanımının hızlı ve basit olması durumunda insanlar bunu kullanacaktır. Onay almak altı hafta sürerse, öğle aralarında kişisel bir hesap açacaklardır.

2026'da yapay zekayı yasaklamak, 2016'da bulut teknolojisini yasaklamaya benzer. Riski önlemiyorsunuz, aksine riskin geldiğini görmeyi engelliyorsunuz.

Yapay zekâ sistemleri daha bağımsız hareket etmeye başladıkça, otomasyon ve otorite arasındaki çizgi bulanıklaşıyor. Yapay zekâ ajanları operasyonel eylemlerde bulunabildiğinde, kuruluşlar yönetişim, onaylar ve denetim konularını nasıl ele almalıdır?

Otomasyonu değil, yetki devrini düşünün. Bir kişiye yetki devrettiğinizde, kapsamı tanımlarsınız, onu sorumlu tutarsınız ve çalışmalarını incelersiniz. Aynı çerçeve temsilciler için de geçerlidir.

Bu, kademeli özerklik anlamına gelir. Düşük riskli, tekrarlanabilir görevler (şifre sıfırlama, bilet yönlendirme) kayıt tutularak otonom olarak çalışır. Orta riskli işlemler (güvenlik yapılandırma değişiklikleri, yüksek erişim) insan onayı veya gerçek zamanlı bildirim gerektirir. Yüksek riskli işlemler (hassas veriler, ayrıcalıklı erişim, geri döndürülemez değişiklikler) ise ajanın işlem yapmadan önce açık yetkilendirme gerektirir.

Her bir ajanın, yaptığı işlerden sorumlu bir insan sahibine de ihtiyacı vardır. Bu zincir olmadan, ajanlar, sonuçlarından kimsenin sorumlu olmadığı bir yönetim boşluğunda faaliyet gösterirler.

Raporumuz, ajanlar için sürekli politika tabanlı yaptırım uygulayanların yalnızca %19 olduğunu ortaya koydu. Bu, %81'inin statik izinlere ve umuda güvendiği anlamına geliyor. Bu, yönetişim değil.

Önümüzdeki 12-24 ay içinde, yapay zekâ ajanlarının kurumsal ortamlarda tam teşekküllü dijital kimlikler olarak işlev gördüğü bir dünyaya hazırlık olarak, güvenlik liderlerinin kimlik ve erişim çerçevelerini oluşturmak için atmaları gereken en önemli adımlar nelerdir?

Beş öncelik.

Öncelikle görünürlük sağlayın. Çoğu kuruluş, kaç tane insan dışı kimliğe sahip olduklarını bilmiyor. Göremediğiniz şeyi yönetemezsiniz.

İkinci olarak, her yapay zeka ajanını bir kullanıcı gibi ele alın. Özel kimlik, sınırlı izinler, kimlik bilgisi rotasyonu, erişim incelemeleri. Eğer bir insana, yetkili bir yöneticiye her şeye erişim izni vermezseniz, bir ajana da vermeyin.

Üçüncüsü, periyodik yönetimden sürekli yönetime geçin. Üç aylık değerlendirmeler, davranışlarını saniyeler içinde değiştiren aktörlere ayak uyduramaz.

Dördüncüsü, yüzlerce temsilciniz olmadan önce politika çerçevenizi şimdi oluşturun. Yönetilebilir durumdayken özerklik sınırlarını, onay gereksinimlerini ve sahipliği tanımlayın.

Beşinci olarak, insan ve insan olmayan kimlikler arasında yönetişimi birleştirin. Ayrı sistemler boşluklar yaratır.

Kazananlar en çok yapay zeka kullanan kuruluşlar olmayacak. Kazananlar, makine hızında çalışabilen kimlik yönetimi sistemleri kuranlar olacak.

Harika röportaj için teşekkürler, daha fazla bilgi edinmek isteyen okuyucular ziyaret etmelidir. İletkenBir.