访谈
凯文·佩奇,ConductorOne的首席信息安全官 – 采访系列
凯文·佩奇,ConductorOne的首席信息安全官,是一位拥有超过三十年经验的资深网络安全高管,曾在政府、企业技术和高增长初创公司等领域工作。作为旧金山湾区的居民,他领导公司的身份安全战略,并为组织提供现代工作场所安全和治理方面的建议。佩奇此前曾在Uptycs、Flexport和MuleSoft担任首席信息安全官,在这些公司的快速增长期间,他帮助建立和扩大了安全计划。早期,他曾在Salesforce和xMatters担任安全领导和基础设施角色,并曾在美国陆军和美国空军服役。除了他的运营角色外,他还活跃于网络安全初创企业生态系统,担任顾问和投资者。
ConductorOne开发了一款针对现代云和混合环境的身份治理和访问管理平台。其技术提供了对应用程序、基础设施和本地系统中身份和权限的统一可见性,允许组织自动化访问审查、强制最小权限访问并减少基于身份的安全风险。通过将身份分析与自动化工作流程相结合,该平台帮助安全团队在提高合规性和运营效率的同时管理大规模访问。
您拥有长期的职业生涯,跨越了美国空军的网络安全作战、MuleSoft、Flexport和Salesforce等公司的企业安全领导角色,现在担任ConductorOne的首席信息安全官。您对身份安全的看法如何随着这些角色的变化而演变,您为什么认为身份已经成为现代网络安全中最关键的战场之一?
在空军中,身份很简单——安全许可、需要知道、所有内容都在防火墙后面。 在MuleSoft,重点是规模——为数千名用户跨越数百个SaaS应用程序提供访问权限,而不会产生差距。 在Flexport,周边界限完全消失,身份成为唯一仍然有效的控制,无论某人在哪里。
现在,在ConductorOne,身份正在经历其最根本的转变。它不再仅仅是关于人——它是关于机器、API、服务帐户和能够自主运行的AI代理。 大多数组织使用的工具都是为一个不再存在的世界而设计的。
身份是关键的战场,因为它涉及一切。如果您拥有世界上最好的端点安全和网络分段,但某些东西具有错误的访问权限,那么所有这些都无关紧要。
您的即将发布的《身份的未来》报告发现,95%的企业表示AI代理已经在执行自主IT或安全任务。这些代理实际上正在执行什么任务,您预计它们的自治程度会如何快速增加?
让我惊讶的不是采用率——而是速度。去年,96%的计划部署代理。这一年,95%已经部署了。这不是一个渐进的曲线——这是一个阈值的跨越。
代理正在处理帮助台工作流程、警报分类、访问审查、预配以及在某些情况下自动修复。大多数人忽略的部分是:64%的组织已经允许代理在仅进行事后审查的情况下自主运行。代理先采取行动,人类后来检查——如果他们检查的话。
今天处理帮助台任务的代理将在12个月内做出安全决策。问题不是自治权是否会增加——而是治理是否能跟上。目前,它还没有跟上。
报告强调了非人类身份的崛起,包括应用程序编程接口(API)、机器人和AI代理。为什么这些机器身份增长如此之快,为什么许多组织仍然难以有效地管理它们?
有三个汇聚的力量。云和SaaS的采用意味着每个集成都需要自己的身份。DevOps以规模生成机器身份——每个管道、容器和微服务。AI代理正在添加一个全新的类别,它不仅仅持有访问权限,还使用它来做出决定。
组织难以管理这些身份,因为工具不是为此而设计的。传统的IAM假设一个登录和注销的人。非人类身份持续运行,不响应MFA,通常具有持久的凭证,并且由于没有人像审查人类的访问权限一样审查它们,因此会积累特权。
还有一个所有权问题。当开发人员创建一个服务帐户并转到一个新团队时,谁拥有它?通常没有人。行业研究表明,97%的非人类身份具有过多的特权。这不是一个工具问题——这是一个治理缺口。
几乎有一半的公司表示,非人类身份现在超过了人类用户,但只有很小一部分企业对这些自动化身份有完整的可见性。组织在失去对这些自动化身份的可见性时会出现什么风险?
有三个层次。首先,凭证泄露。非人类身份通常使用长期的API密钥或静态令牌,这些密钥不会轮换。攻击者获得其中一个密钥后,将拥有持久的访问权限,这不会触发与泄露的人类帐户相同的警报。
第二,特权积累。最初具有读取访问权限的集成会悄悄地获得写入访问权限。由于没有人审查机器身份,因此不会删除旧的权限。
第三——而且这正在迅速出现——AI代理放大了这两个风险。具有数据库读取访问权限的损害服务帐户很糟糕。具有相同访问权限的AI代理可以自主地总结、共享和对其读取内容采取行动,这将带来指数级的风险。
我们的报告发现,非人类身份的可见性实际上正在下降——从30%到22%,年年下降。组织正在比他们能够解决问题的速度更快地发现问题。
许多公司将AI视为生产力加速器,但您的研究表明它也可以悄悄地扩大攻击面。AI工具和代理的采用如何创建新的与身份相关的安全风险?
最直接的风险是意外的过度授权。团队部署AI代理用于一个工作流程,但由于为机器范围权限很难,因此会给予代理比需要更广泛的访问权限。代理不仅可以看到支持票,还可以看到整个客户数据库。
然后是提示注入。处理外部输入的代理可以被操纵以采取意外的操作。如果代理具有广泛的访问权限,精心设计的提示会将一个有用的助手变成一个数据泄露工具。
第三是暗影AI。根据Gartner的报告,超过50%的企业AI使用是未经授权的。每个未经授权的连接都会创建新的身份和攻击面,这些攻击面安全团队无法看到。
我亲眼见过——有人给代理访问内部系统,几天内,某人提示它泄露了CEO的薪水和假期安排。代理按照设计运行。失败的是访问模型。
身份和访问管理传统上专注于员工登录系统。随着自主软件代理与基础设施交互并做出决策,身份治理如何演变?
根本转变是从周期性到持续性。传统治理在每季度审查和年度重新认证的基础上运行。AI代理24小时不间断运行,在审查周期之间做出成千上万个决定,并且可以根据模型更新更改其行为。在季度审查发现过度授权的代理之前,损害已经造成了。
需要改变三件事。治理必须是持续的——实时评估访问权限,而不是按计划进行。它必须是基于策略的,而不是基于角色的——动态策略针对特定任务,而不是静态角色分配。并且它必须是完全可审计的——每个代理操作都记录并可追溯到谁授权它。
身份治理必须以机器速度运作,以治理机器速度的行为者。这就是风险所在。
从技术角度来看,为了在企业环境中正确保护AI代理,身份基础设施需要哪些变化?
最大的变化是统一。多数组织通过其IDP管理人类身份,通过一系列秘密管理器和手动流程管理机器身份。AI代理落在这两个世界之间的空隙中。
需要发生三件事。每个AI代理都需要一个一流身份——不是共享服务帐户,也不是开发人员的凭证,而是一个专用的身份,具有自己的生命周期和审计跟踪。这些身份需要实时、足够的访问权限——特定任务的最小权限,在任务完成后撤销。组织需要持续监控代理实际使用其访问权限的情况,而不仅仅是允许它们做什么。
在ConductorOne,我们通过单一控制平面管理人类和非人类身份。这是行业发展的方向——45%已经使用IAM工具进行NHI治理,另外45%计划在12个月内这样做。仅针对人类的身份治理即将结束。
一些组织试图通过限制或完全禁止AI工具来管理AI风险。根据您在企业中看到的情况,这种方法是否现实,还是它只是将AI使用推向了不受管理和不可见的环境?
它会将其推向地下。每次我都见过这种情况——BYOD、云、SaaS。每当安全性说不时,人们就不会停止。他们只是停止告诉安全团队。
根据Gartner的报告,暗影AI占企业AI使用的50%以上。禁止AI不会消除风险——它消除了可见性。而你无法保护你看不到的东西。
更好的方法是:让安全路径成为容易的路径。如果受治理的AI采用快速简单,人们就会使用它。如果需要六周时间来获得批准,他们会在午餐休息时创建一个个人帐户。
在2026年禁止AI就像在2016年禁止云一样。你不是在防止风险——你是在确保自己不会看到它的到来。
随着AI系统开始更独立地运行,自动化和权威之间的界限变得模糊。组织应该如何思考AI代理采取操作行动时的治理、批准和监督?
要思考委托,而不是自动化。当你委托一个人时,你定义范围,要求他们负责,并审查他们的工作。同样的框架也适用于代理。
这意味着分层的自治。低风险、可重复的任务——密码重置、票据路由——在记录的情况下自主运行。中风险的操作——安全配置更改、提升访问权限——需要人类批准或实时通知。高风险的操作——敏感数据、特权访问权限、不可逆转的更改——需要在代理采取行动之前获得明确的授权。
每个代理还需要一个人类所有者来对其行为负责。没有这种链条,代理就会在没有人对后果负责的治理真空中运行。
我们的报告发现,只有19%拥有针对代理的持续基于策略的执行。也就是说,81%依赖于静态权限和希望。这不是治理。
展望未来12-24个月,安全领导者应该采取哪些最重要的步骤来为一个AI代理作为企业内的完整数字身份的世界做好身份和访问框架的准备?
五个优先事项。
首先,获得可见性。大多数组织不知道自己有多少非人类身份。你看不到的东西是无法治理的。
第二,像对待用户一样对待每个AI代理。专用身份、范围权限、凭证轮换、访问审查。如果你不会给人类永久管理员访问所有内容的权限,也不要给代理这样的权限。
第三,从周期性治理转变为持续治理。季度审查无法跟上代理的变化速度,因为代理可以在几秒钟内改变其行为。
第四,在你有数百个代理之前,建立你的策略框架。定义自治边界、批准要求和所有权,同时还可以管理。
第五,在人类和非人类身份之间统一治理。分离的系统会产生差距。
赢家不会是部署了最多AI的组织。他们将是那些能够以机器速度运作的身份治理的建设者。
感谢这次精彩的采访,希望了解更多的读者可以访问ConductorOne。
