访谈
凯文·佩奇,ConductorOne的首席信息安全官 – 采访系列
凯文·佩奇,ConductorOne的首席信息安全官,是一位拥有三十多年经验的资深网络安全高管,曾在政府、企业技术和高增长初创公司等领域工作。凯文·佩奇位于旧金山湾区,负责公司的身份安全战略,同时为组织提供现代化工作场所安全和治理方面的建议。佩奇此前曾在Uptycs、Flexport和MuleSoft担任首席信息安全官,在这些公司的快速增长期间,他帮助建立和扩展了安全计划。在他的早期职业生涯中,他曾在Salesforce和xMatters担任安全领导和基础设施角色,并曾在美国陆军和美国空军服役。除了他的运营角色外,他还活跃在网络安全初创企业生态系统中,担任顾问和投资者。
ConductorOne 开发了一款针对现代云和混合环境的身份治理和访问管理平台。其技术提供了对身份和权限的统一可视性,跨应用程序、基础设施和本地系统,能够让组织自动化访问审查、执行最小权限访问并减少基于身份的安全风险。通过将身份分析与自动化工作流程相结合,该平台帮助安全团队在规模上管理访问,同时提高合规性和运营效率。
您拥有长期的职业生涯,跨越了美国空军的网络作战、MuleSoft、Flexport和Salesforce等公司的企业安全领导角色,现在担任ConductorOne的首席信息安全官。您的身份安全观念如何随着这些角色的变化而演变,您为什么认为身份已经成为现代网络安全中最关键的战场之一?
在空军中,身份很简单——安全许可、需要知道、所有内容都在防火墙后面,完成。 在MuleSoft,变得关注规模——为数千名用户跨越数百个SaaS应用程序提供服务,而不会产生差距。 在Flexport,周界完全消失,身份成为唯一在任何地方都有效的控制。
现在在ConductorOne,身份正在经历其最根本的转变。它不再仅仅关乎人——还关乎机器、API、服务账户和自主运行的AI代理。 大多数组织使用的工具是为一个不再存在的世界而设计的。
身份是关键的战场,因为它触及一切。 您可以拥有世界上最好的端点安全和网络分段——如果某些东西具有错误的访问权限,那么所有这些都无关紧要。
您的即将发布的《身份的未来》报告发现,95%的企业表示AI代理已经在执行自主的IT或安全任务。这些代理实际上正在执行什么样的任务,您预计它们的自主性水平会如何快速增加?
让我惊讶的不是采用率——而是速度。去年,96%的计划部署代理。这一年,95%已经部署了。这不是一个渐进的曲线。这是一个阈值的跨越。
代理处理帮助台工作流程、警报分类、访问审查、配置和在某些情况下自动修复。 大多数人忽略的部分是:64%的组织已经允许代理在仅进行事后审查的情况下自主运行。 代理先采取行动,人类稍后检查——如果他们检查的话。
今天执行帮助台任务的代理将在12个月内做出安全决策。 问题不是自主性是否会增加——而是治理是否能跟上。 目前,它还没有。
该报告强调了非人类身份的崛起,包括应用程序编程接口(API)、机器人和AI代理。为什么这些机器身份增长如此之快,为什么许多组织仍然难以有效地管理它们?
有三个汇聚的力量。云和SaaS的采用意味着每个集成都需要自己的身份。DevOps以规模生成机器身份——每个管道、容器和微服务。AI代理添加了一个全新的类别,它不仅持有访问权限,还使用它来做出决定。
组织难以管理这些身份,因为工具不是为此而设计的。传统的IAM假设一个登录和注销的人。非人类身份持续运行,不响应MFA,通常具有持久的凭据,并由于没有人像审查人类的访问权限一样审查它们而积累特权。
还存在所有权问题。当开发人员创建服务账户并转移到其他团队时,谁拥有它?通常没有人。行业研究表明,97%的非人类身份具有过多的特权。这不是工具问题——这是治理缺口。
几乎有一半的公司表示,非人类身份现在超过了人类用户,但只有很小一部分企业对这些自动化身份有完整的可见性。 当组织失去对这些自动化身份的可见性时,会出现什么样的风险?
有三个层面。首先,凭据泄露。非人类身份通常使用长期的API密钥或静态令牌,这些密钥不会轮换。攻击者只要拥有其中一个,就可以持久访问,不会触发与泄露人类账户相同的警报。
第二,特权积累。最初具有读取访问权限的集成会悄悄获得写入访问权限。由于没有人审查机器身份,因此没有人会删除旧的权限。
第三——这正在迅速出现——AI代理放大了这两个风险。具有数据库读取访问权限的损害服务账户很糟糕。具有相同访问权限的AI代理可以自主地总结、共享和对其读取内容采取行动,这将带来指数级的风险。
我们的报告发现,非人类身份的可见性实际上正在下降——从30%到22%,年减少8%。组织发现问题的速度比他们解决问题的速度还快。
许多公司将AI视为生产力加速器,但您的研究表明它也可以悄悄地扩大攻击面。AI工具和代理的采用如何创建新的与身份相关的安全风险?
最直接的风险是意外的过度授权。团队部署AI代理用于一个工作流程,但由于机器的权限范围比人难,给予了比需要更广泛的访问权限。代理不仅看到支持票,还看到整个客户数据库。
然后是提示注入。处理外部输入的代理可以被操纵以执行意外的操作。如果代理具有广泛的访问权限,精心设计的提示会将一个有用的助手变成一个数据泄露工具。
第三是影子AI。根据Gartner的报告,超过50%的企业AI使用是未经授权的。每个未经授权的连接都会创建新的身份和攻击面,安全团队无法看到。
我亲眼见过——有人给代理授予了对内部系统的访问权限,几天内,某人提示代理泄露了CEO的薪水和假期安排。代理按照设计运行。访问模型失败了。
身份和访问管理传统上专注于员工登录系统。随着自主软件代理开始与基础设施交互并做出决定,身份治理如何演变?
根本性的转变是从周期性到连续性。传统的治理在每季度审查和年度重新认证的基础上运行。AI代理24小时运行,做出成千上万个决定,并且可以根据模型更新更改其行为。通过周期性审查发现过度授权的代理时,损害已经造成。
需要改变三件事。治理必须是连续的——实时评估访问权限,而不是按计划进行。它必须是基于策略的,而不是基于角色的——动态策略针对特定任务,而不是静态角色分配。并且它必须是完全可审计的——代理的每个操作都记录并可追溯到谁授权。
身份治理必须以机器的速度运作,以治理机器速度的行为者。这就是风险所在的不匹配之处。
从技术角度来看,为了在企业环境中正确保护AI代理,身份基础设施需要做出什么样的改变?
最大的变化是统一。 大多数组织通过IDP管理人类身份,通过补丁式的秘密管理器和手动流程管理机器身份。 AI代理落在这两个世界之间的空隙中。
需要发生三件事。 每个AI代理都需要一个一流身份——不是共享服务账户,也不是开发人员的凭据,而是一个专用身份,具有自己的生命周期和审计跟踪。 这些身份需要实时、足够的访问权限——特定任务的最小权限,在任务完成后撤销。 并且,组织需要连续监控代理实际对其访问权限做了什么,而不仅仅是他们被允许做什么。
在ConductorOne,我们通过单一控制平面来治理人类和非人类身份。这就是行业的发展方向——45%已经使用IAM工具进行NHI治理,另外45%计划在12个月内这样做。仅针对人类的身份治理即将结束。
一些组织试图通过限制或完全禁止AI工具来管理AI风险。根据您在企业中看到的情况,这种方法是否现实,还是它只是将AI使用推向了不受管理和不可见的环境?
这会将其推向地下。每次我都见过这一幕——BYOD、云、SaaS。 当安全性说不时,人们不会停止。他们只是停止告诉安全团队。
根据Gartner的报告,影子AI占企业AI使用的50%以上。禁止AI不会消除风险——它消除了可见性。而你无法保护你看不到的东西。
更好的方法是:让安全路径成为容易的路径。如果受治理的AI采用快速简单,人们会使用它。如果需要六周时间来获得批准,他们会在午餐休息时创建一个个人账户。
2026年禁止AI就像2016年禁止云一样。你不是防止风险——你只是确保自己不会看到它的来临。
随着AI系统开始更加独立地运行,自动化和授权之间的界线变得模糊。组织应该如何思考AI代理能够采取运营行动时的治理、批准和监督?
要像思考委托一样,而不是自动化。当你委托一个人时,你定义范围、让他们负责并审查他们的工作。同样的框架适用于代理。
这意味着分层的自治。低风险、可重复的任务——密码重置、票据路由——在记录的情况下自主运行。中风险操作——安全配置更改、提升访问权限——需要人类批准或实时通知。高风险操作——敏感数据、特权访问权限、不可逆转的更改——需要代理采取行动之前的明确授权。
每个代理还需要一个人类所有者来负责代理的行为。没有这种链条,代理将在治理真空中运行,没人对后果负责。
我们的报告发现,只有19%拥有针对代理的持续基于策略的执行。也就是说,81%依赖于静态权限和希望。这不是治理。
展望未来12-24个月,安全领导者应该采取什么最重要的步骤来准备他们的身份和访问框架,以适应一个AI代理作为企业内的完全数字身份的世界?
五个优先事项。
首先,获得可见性。大多数组织不知道他们有多少非人类身份。您无法治理看不到的东西。
第二,像对待用户一样对待每个AI代理。专用身份、范围权限、凭据轮换、访问审查。如果您不会给人类授予对所有内容的永久管理员访问权限,也不会给代理授予。
第三,从周期性治理转变为连续治理。季度审查无法跟上代理的行为变化速度。
第四,在代理数量过多之前,建立您的策略框架。定义自治边界、批准要求和所有权,同时仍然可管理。
第五,统一人类和非人类身份的治理。单独的系统会产生差距。
获胜者不会是部署最多AI的组织。他们将是那些建立能够以机器速度运行的身份治理的组织。
感谢这次精彩的采访,希望了解更多的读者可以访问ConductorOne。
