Röportajlar

Saviynt’tan Vibhuti Sinha, Ürün Başkanı – Röportaj Serisi

mm
Published
Updated

Vibhuti Sinha, Saviynt’ın Ürün Başkanı, şirketin işgücü kimliği ve zeka portföyünün vizyonunu, inovasyonunu ve stratejik yönünü yönetirken, aynı zamanda ürün ve iş ortaklığı başarısını da denetler. Kimlik ve erişim yönetimi (IAM) alanında neredeyse iki thập kỷlik deneyime sahip olan Sinha, Fortune 500 şirketleri için büyük ölçekli güvenlik mimarilerinin şekillenmesinde merkezi bir rol oynamıştır. Mevcut görevinden önce, Saviynt’ta Bulut Başkanı olarak görev yaptı ve karmaşık çoklu bulut ortamlarını güvence altına almak üzere tasarlanan bir sonraki nesil bulut güvenlik çözümlerinin geliştirilmesini yönlendirdi. Uzmanlığı, FFIEC gibi uyumluluk çerçeveleri, risk tabanlı kimlik doğrulama ve erişim yaşam döngüsü yönetimi gibi konuları kapsar ve onu kurumsal güvenlik, bulut altyapısı ve AI destekli kimlik yönetimi arasındaki kesişme noktasına yerleştirir.

Saviynt, kullanıcılar, uygulamalar, veriler ve giderek artan şekilde AI sistemleri boyunca erişimi yönetmek ve güvence altına almak için yardımcı olan bir bulut yerel kimlik güvenliği platformudur. Bayrak gemisi teklifi olan Kimlik Bulutu, tek bir platform içinde birleşik kimlik yönetimi ve idaresi (IGA), ayrıcalıklı erişim yönetimi ve uygulama erişim yönetimi sağlar ve böylece organizasyonların güvenlik, uyumluluk ve Sıfır Güven ilkelerini ölçeklenebilir bir şekilde uygulamasını sağlar. Platform, erişimi otomatikleştirmek, riskleri izlemek ve yalnızca insan kullanıcıları değil, aynı zamanda hizmet hesapları ve AI ajanları gibi non-insan kimliklerini de yönetmek için AI kullanır ve modern kurumsal ortamların artan karmaşıklığını yansıtır. Kimlik güvenliğini tek bir kontrol katmanına konsolide ederek, Saviynt, operasyonel yükü azaltmayı ve bulut, hibrit ve şirket içi sistemler boyunca görünürlüğü ve uyumluluğu artırmayı hedeflemektedir.

Şirketin erken bulut odaklarından küresel bir kimlik güvenliği platformuna kadar Saviynt’ta geçen on yılı aşkın sürenin, AI destekli şirketleri güvence altına almak için kimliğin temeli olarak sizin görüşünüzü nasıl şekillendirdi?

Saviynt’a katıldığımda, kimlik, çoğu yönetim kurulu veya CEO’nun konuştuğu bir şey değildi. Genellikle hesapları sağlama ve sertifikaları çalıştırma olarak görülüyordu.

Yıllar geçtikçe, şirketler buluta geçti ve SaaS patladı, kimlik sessizce her şeyi bağlayan katman haline geldi: insanlar, uygulamalar, altyapı ve veri.

Bu yolculuk benim perspektifimi değiştirdi. Artık kimliği bir ürün kategorisi olarak değil, şirket içinde işlerin nasıl yapıldığının kontrol katmanı olarak görmeye başladım. Her erişim kararı, her onay, her otomatik işlem – hepsi kimliğe geri döner.

Şimdi AI ile aynı değişimi tekrar görüyoruz. AI ajanları temelde insan veya şirket adına hareket edebilen dijital işçilerdir. Onlara kimlik, mülkiyet ve yönetim vermezseniz, hesap verilebilirlik olmadan otomatikleşme ile sonuçlanır. Bu nedenle, AI destekli şirketleri güvence altına almak için kimliğin temel olacağına inanıyorum. Kimlik, hesap verilebilirlik, yönetim ve kontrolü otomatik sistemlere getirir.

Şirketler bugün AI ajanlarını güvence altına almak için kimlik yönetimi ve güvenlik mimarilerinde hangi boşluğu dolduruyor?

Mevcut kimlik ve güvenlik araçları otonom aktörler için tasarlanmadı. Çalışanlar ve uygulamalar için tasarlandı, bağımsız olarak karar verebilen, eylem gerçekleştirebilen ve bağımsız olarak çalışan yazılım varlıkları için değil.

Bugün çoğu kimlik sistemi, “Kim siz?” ve “Size hangi erişimi verildi?” sorularına iyi cevap veriyor. Ancak AI ajanlarının dünyasında daha önemli soru “Şu anda ne yapıyorsunuz ve bunu yapmanız gerekiyor mu?” haline geliyor.

Ayrıca bir yönetim boşluğu vardı. Şirketler Copilot, Vertex AI ve Bedrock gibi platformlarda yüzlerce veya binlerce ajanı dağıtmaya başlıyor, ancak birçok organizasyon bu ajanların sayısını, nerede çalıştıklarını, erişebilecekleri veriyi veya sahibinin şirket terk etmesi halinde ne olacağını bilmiyor. Bu, yalnızca bir güvenlik problemi değil, aynı zamanda bir yönetim ve hesap verilebilirlik problemidir.

Bu, AI ajanları için bir kimlik kontrol düzlemi fikrine yol açtı: AI kimliklerinin tüm yaşam döngüsü boyunca ve çalışma zamanı eylemleri boyunca merkezi bir şekilde keşfedilmesi, yönetilmesi, kontrol edilmesi ve denetlenmesi.

Otomatik AI ajanlarını yönetmek, geleneksel non-insan kimliklerini (hizmet hesapları veya botlar) yönetmekten nasıl farklı?

AI ajanlarını yönetmek, geleneksel non-insan kimliklerinden (NHIs) farklıdır, çünkü bu kimlikler genellikle deterministiktir ve öngörülebilir. Bir hizmet hesabı belirli bir işi çalıştırır. Bir bot belirli bir görevi gerçekleştirir. Davranışları gerçekten değişmez, kodu değiştirene kadar.

AI ajanları farklıdır, çünkü otonomdurlar, uyarlanabilirler ve hedef odaklılar. Sabit bir komut dosyasını çalıştırmazlar. Bu ajanlar, görevi nasıl tamamlayacaklarını, hangi araçları kullanacaklarını, hangi verilere erişeceklerini ve bazen diğer ajanlarla birlikte çalışacaklarını karar verirler. Davranışları, modeller, promt’lar veya entegrasyonlar değiştikçe zaman içinde değişebilir.

Bu, bir erişim izni verip her çeyrekte bunu gözden geçirmenin sürdürülebilir bir yönetim modeli olmadığını anlamına gelir. Sürekli yönetim, keşif, mülkiyet, yaşam döngüsü yönetimi ve en önemlisi, ajanın anlık olarak ne yaptığını değerlendirmek için çalışma zamanı kontrolleri gerekir.

Değişim budur: geleneksel NHIs ile erişim yönetirsiniz, AI ajanları ile davranış ve eylemleri gerçek zamanlı olarak yönetmelisiniz. Yetkilendirme, uygunluğu ima etmez. AI güvenliği bu fikre dayanacaktır.

Amazon Bedrock, Google Vertex AI ve Microsoft Copilot Studio gibi araçları benimseyen şirketler için bu ortamlar boyunca birleşik görünürlük ne kadar önemlidir?

Koruyamadığınız şeyi göremezsiniz.

Amazon Bedrock, Google Vertex AI ve Microsoft Copilot Studio gibi platformlar boyunca birleşik görünürlük, son derece önemlidir ve dürüst olmak gerekirse, çoğu organizasyon şu anda burada mücadele ediyor. AI benimsemesi çok hızlı gerçekleşiyor ve aynı anda birden fazla platformda gerçekleşiyor.

Bir iş birimi veya ekip Copilot Studio’da ajanlar oluştururken, başka bir ekip Bedrock’u deneysel olarak kullanıyor ve başka bir grup Vertex AI’ı kullanıyor. Çok kısa sürede, şirket genelinde merkezi bir envanter olmadan AI ajanları ile karşılaşıyorsunuz.

Şirketlerin karşılaştığı ilk zorluk çok basittir: AI ajanlarının sayısını, nerede çalıştıklarını, erişebilecekleri veriyi veya kimin sahip olduğunu gerçekten bilmiyorlar. Görünürlük olmadan, yönetemez ve yönetemezseniz, kesinlikle güvence altına alamazsınız.

Birleşik görünürlük, temel haline geliyor. Yaşam döngüsü yönetimi, çalışma zamanı kontrolleri, ilkeler ve yaşam döngüsü boyunca ve çalışma zamanı eylemleri boyunca AI kimliklerinin keşfi ve envanteri önce geliyor.

AI ajanının yaşam döngüsü, kimlik ve yönetim açısından, oluşturulmasından devre dışı bırakılmasına kadar neler içerir?

AI ajanının yaşam döngüsünü, bir çalışanın yaşam döngüsü gibi açıklamak isterim.

İlk olarak, ajan oluşturulur ve kaydedilir. Bir geliştirici, bir vibe kodlayıcı veya iş analisti, Bedrock veya Copilot Studio’da bir ajan oluşturur. Bu noktada, temel kimlik sorularını sormalıyız: Bu ajanın sahibi kim? Görevi nedir? Hangi sistemlere erişmesi gerekiyor?

Sonra ajan çalışmaya başlar. Sistemlere erişir, API’ler, araç çağrıları, iş akışlarını tetikleyerek veri okur veya yazar ve belki de diğer ajanlarla konuşur. Bu aşama boyunca, ne yaptığını sürekli olarak izlemeli ve amaçlanan amacına ve izinlerine uygun kalmasını sağlamalıyız. Niyeti anlamak, bu aşamanın en önemli kısmıdır ve organizasyonlar tarafından henüz iyi anlaşılmamıştır.

Zaman içinde ajan değişir. Belki yeni araçlar ekleriz, modeli güncelleriz, erişimini genişletiriz veya rolünü değiştiririz. Bu, bir insan kimliği için bir hareket olayına benzer ve yönetimi ve onayları gerektirir.

Son olarak, ajan artık gerekli olmadığında, emekli olmalıdır – erişimi iptal edilmeli, kimlik bilgileri kaldırılmalı, entegrasyonlar durdurulmalı ve denetim günlükleri korunmalıdır.

Basitçe, yaşam döngüsü: Oluştur → sahibi ve amacı atayın → en az ayrıcalıklı erişimi verin → izleyin ve yönetin → değişiklikleri yönetin → temiz bir şekilde emekli olun.

AI sistemleri bağımsız olarak çalışmaya ve birbirleriyle işbirliği yapmaya başladığında, AI ajanları arasındaki etkileşimleri güvence altına almak nasıl düşünülmalıdır?

AI ajanları arasındaki etkileşimlerin, önümüzdeki birkaç yıl içinde en büyük güvenlik zorluklarından biri olacağını düşünüyorum.

Bugün, genellikle bir insanın bir sisteme erişip erişemeyeceğini düşünüyoruz. Gelecekte, binlerce ajanın diğer ajanlarla konuşarak, iş akışlarını tetikleyerek, verileri erişerek ve insan olmadan kararlar almasıyla karşı karşıya kalacağız.

Risk, bir ajanın ne yapabileceği değil, birden fazla ajanın birlikte neler yapabileceğidir. Hiçbir ajanın fazla erişimi olmasa da, birlikte çok güçlü eylemler gerçekleştirebilirler.

Şirketler birkaç şeyi düşünmelidir:

  • Her ajanın benzersiz bir kimliği olmalıdır.
  • Tasarım zamanı güvenlik kontrolleri yeterli değildir. Çalışma zamanı güvenlik kontrolleri zorunludur.
  • Ajan-ağ çağrıları kimlik doğrulaması yapılmalıdır.
  • Eylemler gerçek zamanlı olarak yetkilendirilmelidir.
  • Temsil, kapsamlı ve zaman sınırlı olmalıdır.
  • Her şey denetim için günlüğe kaydedilmelidir.

Aslında, insan erişimi yönetiminden makine işbirliği yönetimine doğru çok farklı bir güvenlik modeline geçiyoruz.

Şirketler AI ajanlarını uygun kimlik yönetimi olmadan dağıttığında karşılaştıkları en acil riskler nelerdir?

Şu anda karşılaşılan en büyük risk, gelecekteki bir AI devralma senaryosu değil, çok daha temel ve zaten çoğu organizasyonda gerçekleşen bir şey. Şirketler her yerde ajanlar oluşturuyor, ancak onları izlemek, yönetmek veya neye erişebileceklerini yönetmek için merkezi bir yol yok.

Benimsemeye öncelik verildi, bu anlaşılabilir. Her yeni teknoloji bu aşamanı geçirir, ancak güvenlik ve yönetim nhanh bir şekilde yetişmelidir.

Eğer değilse, şirketler, açık sahibi olmayan ve fazla veri erişimi olan ajanlar riskini taşır. Bu ajanlar duyarlı bilgileri sızdırabilir ve projenin sona ermesinden sonra da devam edebilir – tüm bunlar açık bir denetim izi olmadan.

Hizmet hesapları ve bulut kaynakları ile önce bunu gördük. İlk önce benimseme, sonra dağınıklık, sonra güvenlik ve yönetim sorunları. AI aynı kalıba uyuyor, sadece çok daha hızlı ve otonomi ve ajans ile.

Kimlik yönetimi olmadan, AI ajanları temelde yönetilmeyen ayrıcalıklı kimliklere dönüşür. Bu, herhangi bir organizasyon için risklidir. Bu, inovasyon değil, ek kurumsal risktir.

AI ajanlarının yükselişi, şirket içi sistemlerde kimlik tanımını nasıl yeniden şekillendiriyor?

Şirket içi sistemlerde kimlik tanımı büyük ölçüde genişliyor. Sadece çalışanlar olarak düşünülürken, tedarik zinciri çalışanları, uzaktan çalışanlar vb. ile dış kimliklerin patlamasıyla genişledi. Pandemi bunu daha da hızlandırdı ve hizmet hesapları ve botları non-insan kimlikleri olarak yönetmeye başladık. Şimdi AI ajanları bunu bir adım öteye taşıyor.

AI ajanları sadece hesaplar veya komut dosyaları değil, kararlar alırlar, sistemlere erişirler, içerik oluştururlar, iş akışlarını tetikleyerek diğer ajanlarla işbirliği yaparlar ve tüm bunları insan olmadan yaparlar. Verilerinizi etkilerler, kararlar alırlar ve sonuçları değiştirirler. Bunlar, dijital işçiler gibi davranmaya başlarlar.

Bu, kimliğin, sadece kimin giriş yapabileceği değil, şirket içinde hareket eden ve sonuçları değiştirebilen herhangi bir aktörün – insan veya makine – ne yapabileceği, kime ait olduğu ve eylemlerinin nasıl izleneceği hakkında olduğu anlamına gelir.

AI güvenliği veya kimlik alanında inşa eden kurucuları veya ekipleri değerlendirirken, bu alanın karmaşıklığını gerçekten anladıklarını gösteren sinyaller nelerdir?

Bu alanı gerçekten anlayanlar teknolojiyle başlamazlar. Problemi ortaya koyarak başlarlar. Sadece ne inşa ettiklerini değil, mevcut yaklaşımın neden bozulduğunu ve kimin uykusuz kaldığını açıklarlar.

Bana göre ipucu, spesifiktir. Herkes “AI yeni kimlik riskleri getirir” diyebilir, ancak bir agentic iş akışında bir OAuth jetonunun nasıl yanlış kullanıldığını size anlatabilir mi? Non-insan kimliklerinin insanlardan neden farklı olduğunu, sadece hacim değil, davranış, yaşam döngüsü ve patlama yarıçapı açısından anlarlar mı?

Müşteriler hakkında nasıl konuştuklarına dikkat ederim. Bu alanda en iyi kurucular, ya kendileri bu acıyı yaşamışlardır ya da uygulayıcılarla öyle çok zaman geçirmişlerdir ki,几乎 onların cümlelerini bitirebilirler. Bir kategoriyi satmıyorlar, spesifik, zor bir problemi çözüyorlar ve gerçekten düşünmeyi bırakamıyorlar.

Düzenleyici ve ekosistem bilgisi de önemlidir. Kimlik ve AI güvenliği boşlukta नहin var. Ürünleri, daha geniş bir uyumluluk duruşu içinde nasıl oturduğunu anlarlar – NIST, SOC 2, ortaya çıkan AI yönetim çerçeveleri – ve nerede yığın içine takılırlar, nerede sahip olduklarını düşünmüşlerdir.

AI sistemleri için kimlik, ağ güvenliğinin şirket sınırlarını tanımladığı şekilde birincil kontrol katmanı haline gelecek mi ve güvenlik ekipleri bu değişime nasıl hazırlanmalıdır?

Evet, ve bu dönemeç noktasına göre daha yakın olduğumuzu düşünüyorum.

Ağ sınırı, varlıklar fiziksel olduğunda, sunucular veri merkezindeyken, çalışanlar ofiste iken veya trafik kenarında iken anlam kazandı. Ancak bulut bu sınırı ortadan kaldırdı ve kimliğe, boşluğu doldurmaya güvenmeye başladık. Sıfır Güven, bir pazarlama terimi değildi; sınırın gittiği ve kimliğin her zamankinden daha önemli olduğu bir kabulüydü.

AI ajanları, kimliği aynı şekilde etkilemek üzeredir. Bu sistemler kaynaklara erişir, kararlar alır, API’leri çağırır, araçlar ve platformlar boyunca eylemleri zincirleme olarak gerçekleştirir ve tüm bunları otonom olarak ve makine hızında yapar. “Bu izin verilir mi?” sorusunun artık güvenlik duvarında cevaplanamayacağı, kimlik katmanında, gerçek zamanlı ve ajanın ne yapmaya çalıştığına dair tam bağlam ile cevaplanması gerektiği anlamına gelir.

Kimlik, kontrol düzlemi haline gelir. Ancak bu, daha önce inşa ettiğimizden temel olarak daha zor bir kimlik türüdür. Sadece kimlik doğrulaması değil, niyet, bağlam ve ajanın zaten gerçekleştirdiği eylem zincirinin farkında olan yetkilendirme.

Güvenlik ekipleri için hazırlık, bir zihniyet değişikliği ile başlar. AI sistemlerini, güvence altına almak için perimeterde güvenli uygulamalar olarak düşünmeyi bırakın ve bunları, ayrıcalıkları, bir yaşam döngüsü ve uçtan uca yönetilmesi gereken varlıkları olan aktörler olarak düşünmeye başlayın. Bu ajanı kim sağladı? Ne yapmasına izin verildi? Beklenmedik bir şey yaptığında kim sorumludur?

Bu değişimi gerçekleştiren ekipler, AI güvenliğini sonradan eklemeyenlerdir. AI ajanları ve non-insan kimliklerini kapsayacak şekilde kimlik yönetim duruşlarını genişletenlerdir, bu kimliklerin önemli kararlar almasından önce.

Harika röportaj için teşekkür ederiz, daha fazla bilgi edinmek isteyen okuyucular Saviynt‘i ziyaret edebilir.

mm

Antoine bir vizyoner lider ve Unite.AI'in kurucu ortağıdır ve AI ve robotik geleceğini şekillendirmek ve tanıtmak için sarsılmaz bir tutkuyla hareket etmektedir. Bir seri girişimci olarak, toplum için elektrik kadar yıkıcı olacağına inandığı AI'nin potansiyeli hakkında sık sık konuşur ve coşkusunu dile getirir.
Bir futurist olarak, bu yeniliklerin dünyamızı nasıl şekillendireceğini keşfetmeye adanmıştır. Ayrıca, Securities.io kurucusudur, bu platform geleceği yeniden tanımlayan ve tüm sektörleri yeniden şekillendiren teknolojilere yatırım yapmaya odaklanmıştır.