Інтерв’ю
Кевін Пейдж, CISO у ConductorOne – Серія інтерв’ю
Кевін Пейдж, CISO у ConductorOne, – ветеран кібербезпеки з більш ніж трьома десятилітнями досвіду у сфері уряду, технологій підприємств та високорослих стартапів. Основуючись у районі затоки Сан-Франциско, він очолює стратегію безпеки ідентифікації для компанії, а також радить організаціям щодо сучасної безпеки робочої сили та управління. Пейдж раніше обіймав посаду CISO у Uptycs, Flexport та MuleSoft, де допоміг створити та розширити програми безпеки під час періодів швидкого зростання. Раніше в своїй кар’єрі він обіймав керівні посади з безпеки та інфраструктури у Salesforce та xMatters, а також служив у армії та повітряних силах США. Окрім своїх оперативних ролей, він активний у сфері кібербезпеки стартапів як радник та інвестор.
ConductorOne розробляє платформу управління ідентифікацією та доступом, призначену для сучасних хмарних та гібридних середовищ. Її технологія забезпечує уніфікований огляд ідентифікацій та дозволів по всім додаткам, інфраструктурі та локальним системам, що дозволяє організаціям автоматизувати перевірки доступу, забезпечення мінімального доступу та зменшення ідентифікаційних ризиків безпеки. Об’єднуючи аналіз ідентифікацій з автоматизованими робочими процесами, платформа допомагає командам безпеки керувати доступом у масштабі, покращуючи при цьому відповідність вимогам та оперативну ефективність.
Ви мали довгу кар’єру, яка охоплює військові кібероперації у повітряних силах США, керівні ролі безпеки підприємств у компаніях, таких як MuleSoft, Flexport та Salesforce, а тепер обіймаєте посаду CISO у ConductorOne. Як змінилося ваше бачення безпеки ідентифікації протягом цих ролей, і чому ви вважаєте, що ідентифікація стала однією з найбільш критичних битв у сучасній кібербезпеці?
У повітряних силах ідентифікація була значно простішою – рівень допуску, необхідність знати, все за брандмауером, готово. У MuleSoft усе стало питаннями масштабу – надання тисяч користувачів через сотні додатків SaaS без створення прогалин. У Flexport периметр зовсім зник, і ідентифікація стала єдиним контролем, який все ще працював незалежно від того, де хтось був.
Тепер у ConductorOne ідентифікація переживає свою найбільш фундаментальну трансформацію. Це вже не лише про людей – це про машини, API, сервісні облікові записи та агенти штучного інтелекту, які діють автономно. Інструменти, які використовують більшість організацій, були розроблені для світу, який вже не існує.
Ідентифікація є критичною битвою, оскільки вона торкається всього. Ви можете мати найкращу безпеку кінцевих точок та сегментацію мережі у світі – якщо щось має неправильний доступ, нічого з цього не має значення.
Ваш майбутній звіт про майбутнє ідентифікації виявив, що 95% підприємств стверджують, що агенти штучного інтелекту вже виконують автономні завдання з ІТ або безпеки. Які завдання ці агенти фактично виконують сьогодні, і як швидко, на вашу думку, їхній рівень автономності збільшиться?
Те, що мене здивувало, не було прийняттям – це швидкість. У минулому році 96% планували розгорнути агентів. Цього року 95% вже мають. Це не поступовий перехід. Це поріг, який перетинається.
Агенти обробляють робочі потоки служби підтримки, тріаж попереджень, перевірки доступу, надання та в деяких випадках автоматичне виправлення. Та частина, яку більшість людей пропускає: 64% організацій вже дозволяють агентам діяти автономно з лише пост-акційним оглядом. Агент діє спочатку, людина перевіряє пізніше – якщо вони перевіряють взагалі.
Агенти, які виконують завдання служби підтримки сьогодні, будуть приймати рішення з безпеки протягом 12 місяців. Питання не в тому, чи збільшиться автономність – а в тому, чи утримання управління темпом. Наразі цього немає.
Звіт підкреслює зростання нелюдських ідентифікацій, у тому числі інтерфейсів програмування додатків (API), ботів та агентів штучного інтелекту. Чому ці ідентифікації машин зростають так швидко, і чому багато організацій все ще борються з їх ефективним управлінням?
Три збігająчі сили. Прийняття хмарних та SaaS-рішень означає, що кожна інтеграція потребує власної ідентифікації. DevOps генерує ідентифікації машин у масштабі – кожен конвеєр, контейнер та мікросервіс. Агенти штучного інтелекту додають цілком нову категорію, яка не лише володіє доступом, але й використовує його для прийняття рішень.
Організації борються, оскільки інструменти не були створені для цього. Традиційне управління ідентифікацією передбачає користувача, який входить у систему та виходить з неї. Нелюдські ідентифікації діють безперервно, не реагують на багатофакторну аутентифікацію, часто мають постійні облікові дані та накопичують привілеї, оскільки ніхто не переглядає їхній доступ, як вони переглядають доступ людини.
Є також проблема власності. Коли розробник створює сервісний обліковий запис та переходить до іншої команди, хто володіє ним? Часто ніхто. Дослідження галузі показують, що 97% нелюдських ідентифікацій мають надмірні привілеї. Це не проблема інструментів – це пробіл у управлінні.
Практично половина компаній стверджують, що нелюдські ідентифікації тепер перевищують кількість людських користувачів, проте лише малий відсоток підприємств має повну видимість того, до чого ці ідентифікації можуть мати доступ. Які ризики виникають, коли організації втрачають видимість цих автоматизованих ідентифікацій?
Три шари. По-перше, компрометовані облікові дані. Нелюдські ідентифікації часто використовують довгоживучі ключі API або статичні токени, які не обертаються. Атакувальник з одним з цих облікових даних має постійний доступ, який не спрацьовує ті самі сигнали тривоги, що й компрометований людський обліковий запис.
По-друге, накопичення привілеїв. Інтеграції, які почалися з доступу лише для читання, тихо набувають доступу для запису. Ніхто не видаляє старі дозволи, оскільки ніхто не переглядає ідентифікації машин.
По-третє – і це швидко виникає – агенти штучного інтелекту посилюють обидва цих ризиків. Компрометований сервісний обліковий запис з доступом до бази даних для читання поганий. Агент штучного інтелекту з тим самим доступом, який може автономно підсумувати, поділитися та діяти на основі того, що він читає, є експоненційно гіршим.
Наш звіт виявив, що видимість нелюдських ідентифікацій насправді зменшується – з 30% до 22% протягом року. Організації виявляють проблему швидше, ніж можуть її вирішити.
Багато компаній розглядають штучний інтелект як прискорювач продуктивності, проте ваше дослідження свідчить, що він також може тихо розширити поверхню атаки. Як прийняття інструментів штучного інтелекту та агентів створює нові ризики безпеки, пов’язані з ідентифікацією?
Найближчий ризик – це випадкова надмірна авторизація. Команди розгортають агент штучного інтелекту для одного робочого потоку, але надають йому ширший доступ, ніж потрібно, оскільки визначення дозволів для машин складніше, ніж для людей. Агент не лише бачить підтримку квитків – він бачить всю базу даних клієнтів.
Потім є ін’єкція підказок. Агенти, які обробляють зовнішні входи, можуть бути маніпульовані для виконання ненавмисних дій. Якщо агент має широкий доступ, виготовлена підказка перетворює корисного помічника на інструмент для витоку даних.
По-третє – це тіньовий штучний інтелект. За даними Gartner, понад 50% використання штучного інтелекту у підприємствах відбувається поза санкцією. Кожне неавторизоване підключення створює нові ідентифікації та поверхню атаки, яку команда безпеки не бачить.
Я бачив це на власні очі – хтось надав агенту доступ до внутрішніх систем, і протягом кількох днів хтось підказав його на розголошення компенсації та графіка відпусток генерального директора. Агент працював так, як було задумано. Недолік був у моделі доступу.
Як організації повинні думати про управління, схвалення та нагляд, коли агенти штучного інтелекту здатні виконувати операційні дії?
Думайте про делегування, а не автоматизацію. Коли ви делегуєте людині, ви визначаєте сферу, утримуєте її відповідальною та переглядаєте її роботу. Та сама структура застосовується до агентів.
Це означає багатоступеневу автономію. Низькоризикові, повторювані завдання – скидування паролів, маршрутизація квитків – працюють автономно з реєстрацією. Середньоризикові дії – зміни конфігурації безпеки, підвищений доступ – вимагають схвалення людини або сповіщення в режимі реального часу. Високоризикові дії – чутливі дані, привілейований доступ, незворотні зміни – вимагають явного авторизування перед тим, як агент діятиме.
Кожен агент також потребує людини-власника, який буде відповідальним за те, що агент робить. Без цієї ланки агенти діють у вакуумі управління, де ніхто не відповідає за наслідки.
Наш звіт виявив, що лише 19% мають безперервне політично-орієнтоване забезпечення для агентів. Це означає, що 81% покладаються на статичні дозволи та надію. Це не управління.
Оглядаючи майбутнє, які найважливіші кроки керівники безпеки повинні зробити протягом наступних 12-24 місяців, щоб підготувати свої рамки ідентифікації та доступу до світу, у якому агенти штучного інтелекту функціонують як повні цифрові ідентифікації у підприємствах?
П’ять пріоритетів.
По-перше, отримайте видимість. Більшість організацій не знають, скільки нелюдських ідентифікацій вони мають. Ви не можете управляти тим, чого не бачите.
По-друге, поводьтеся з кожним агентом штучного інтелекту як з користувачем. Власна ідентифікація, дозволи, обертання облікових даних, перевірки доступу. Якщо б ви не дали людині постійний адміністративний доступ до всього, не давайте цього агенту.
По-третє, перейдіть від періодичного до безперервного управління. Квартальні огляди не можуть тримати темп з агентами, які змінюють поведінку за секунди.
По-четверте, побудуйте свою структуру політики зараз – до того, як у вас буде сотні агентів. Визначте межі автономності, вимоги схвалення та володіння, поки це ще керовано.
По-п’яте, уніфікуйте управління ідентифікацією людських та нелюдських ідентифікацій. Відокремлені системи створюють пробіли.
Переможцями будуть не організації, які розгорнули найбільше штучного інтелекту. Це будуть ті, хто побудував управління ідентифікацією, здатне працювати на швидкості машин.
Дякуємо за велике інтерв’ю. Читачам, які бажають дізнатися більше, рекомендуємо відвідати ConductorOne.
