Güvenlik Röportajları: Mark McClain, SailPoint Technologies


SailPoint’in kurucusu ve CEO’su Mark McClain, torunlarına hediye almak için Londra’daki mağazaları ve alışveriş merkezlerini gezmeye kısa bir ara verirken Computer Weekly ile bir araya gelerek, kimlik kavramının yıllar içinde nasıl benzer şekilde gelişip geliştiğini ve şu anda karşı karşıya olduğu geleceği yansıtıyor. kurumsal siber politikanın temel unsurudur.

McClain, 1990’ların ikinci yarısında, IBM tarafından 743 milyon dolarlık (şu anki değeri yaklaşık 1,45 milyar dolar değerinde) satın alma işleminin ortasında hâlâ sistem yönetimi uzmanı Tivoli’de çalışırken kimlik kapısından ilk girenler arasındaydı.

“Dünyanın ana çerçevelere sahip merkezi veri merkezlerinden dağıtılmış Unix sunucularına, Windows sunucularına, masaüstü bilgisayarlara ve PC’lere geçtiği, o zamanlar dağıtılmış bilgi işlem olarak adlandırdığımız şeyin ilk dönemiydi. Ağa sahip büyük bir akıllı cihaz ve çok sayıda aptal cihaz yerine, birden fazla düzeyde zekaya sahip oldunuz ve bu, o zamanlar sistemler ve ağ yönetimi olarak adlandırılan alanda bir dizi değişikliğe yol açtı,” diye açıklıyor McClain.

“O dünyada, 90’ların ortasından sonuna kadar, biz daha kimlik terimini kullanmadan önce ortaya çıkan şeylerden biri kullanıcı yönetimiydi.

“Fikir, birden fazla Unix sunucusunda veya Windows sunucusunda hesaplarınızın olması ve tüm bu farklı hesaplar tarafından temsil edilebilmenizdi. Büyük bir girişimde tüm bunları düzgün bir şekilde sürdürmek büyük bir acıydı.

Dolayısıyla Tivoli’nin ilk gelişmelerinden biri, insanların kuruluşlara katılması, ayrılması ve iş değiştirmesi ile ilgili süreçleri denetlemeye yönelik bir uygulamaydı. Ancak kimlik açıkça resmin bir parçası olsa da bu, kimlik bağlamında değil, iş verimliliği ve üretkenliği bağlamında yapıldı.

McClain, “Bu, kimliğin adını bile koymadığımız ilk kimlik yinelemesiydi” diyor. “Mesele güvenlikten ziyade üretkenlikle ilgiliydi, güvenlikten ziyade ‘Bu verimsiz bir süreç, hadi verimli hale getirelim’ demekle ilgiliydi.”

Hikaye devam eder

2000’li yıllar boyunca, ikinci bir değişim dalgası, Sarbanes-Oxley gibi düzenlemelerin ve Enron olayı gibi yüksek profilli kurumsal başarısızlıkların ve skandalların yol açtığı yeni uyumluluk gerekliliklerinin getirdiği karmaşıklığın artması olarak ortaya çıktı.

Bu dalga, kullanıcı yönetiminin yanı sıra resme doğrulama da ekledi; çünkü kuruluşlar yalnızca birden fazla kimliği yönetmekle kalmayıp, davranışlarının uygun olduğundan da emin olmaları gerektiğini fark etti. SailPoint, tesadüfen, 2005 yılında bu evrimin ortasında kuruldu.

Daha sonra, yaklaşık 2010’dan itibaren, hizmet olarak yazılım (SaaS) uygulamalarının ortaya çıkışı, mobil bilgi işlem ve geleneksel bilgi işlem biçimlerinin bozulması da tabloya radikal bir değişiklik getirdi.

“Birdenbire her şeyin açıldığı bir durumla karşılaştınız. Bir şirket olarak 60’lı, 70’li, 80’li ve 90’lı yıllarda bilişimin, ağın ve cihazın sahibi sizdiniz. 2010’lara gelindiğinde bunların hiçbirine sahip değildiniz” diyor McClain.

İşte tam bu noktada kimlik yönetimi ve siber güvenlik birbirine doğru koşmaya başladı.

McClain, “Kontrol noktası olarak ortaya çıkmaya başlayan şey kimlikti; bu da kötü adamların organizasyonlara girmenin bir yolu olarak kimliklere saldırmaya başlamasının nedenidir” diyor. “Verilere ulaşmak için güvenlik duvarını aşmak bir şeydir, ancak kimlik bilgilerinizi doğal yollarla alabilirsem bu çok daha kolay olur.

“Yani bu iki şey bir araya gelip burayı bu kadar ilginç bir alan haline getirdi, çünkü kimliğin her zaman operasyonel verimlilik ve etkinleştirme yönleri vardı, ancak birdenbire derin bir güvenlik bileşenine sahip oldu.

Mark McClain

“Covid bazı açılardan güvenlik alanındaki birçok eksikliği ortaya çıkardı ve artık bunu görmezden gelemezlerdi”

Mark McClain, SailPoint

“SailPoint’i başlangıçta uyumluluk parçası için geliştirdik ve sonuçta bunların hepsini ilk on yılımıza dahil ettik ve ardından güvenlik kısmı son on yılda gerçekten arttı.

“Artık neredeyse 20 yıldır içindeyiz, hiçbirimizin kimliğin kuruluş içinde nasıl bu kadar merkezi bir diyalog noktası haline geleceğini tahmin edebileceğini sanmıyorum.”

Ardından, son dört yılda, Kovid-19 salgınının, kimliğin bir güvenlik oyununa dönüşmesi üzerinde de derin bir etkisi oldu ve bunun sonuçları hâlâ devam ediyor.

McClain şöyle diyor: “Covid sırasında yeni hiçbir şey zorunlu olarak tanıtılmadı, ancak değişimin hızı ve temposu önemli ölçüde arttı çünkü insanlar Kovid’den önce uzaktan çalışsa da tüm bunların hızı da arttı.

“Bu, evinizdeyken bir el feneriniz olduğunda onu parlattığınızda bir sürü örümcek ağı görmeniz gibi bir şey. Işığı kapatıp ‘Bu örümcek ağlarını görmezden geleceğim’ demek çok zor. Kovid bazı açılardan güvenlik alanında pek çok eksikliği ortaya çıkardı ve artık bunu görmezden gelemezlerdi” diyor.

Kimlik çoğalması

Ancak teknoloji endüstrisindeki her değişim ve evrim her zaman tamamen Kovid’e bağlı değildir. Siber dünyanın bu köşesinde, şu anda değişime yön veren şey, kimliklerin katıksız çoğalması (ki bunda Kovid’in de kesinlikle bir etkisi var) var.

“Kimliğin özünde kimin neye erişebildiğiyle ilgilidir. Bu endüstrinin doğası budur; bu kimlikler kimlerdir” diyor McClain.

“Genelde insanlardı. Çoğunlukla yapılan uygulamalar; SAP’ye erişebilir misin, WorkDay’e falan erişebilir misin? Uzayımızın doğası [to ask] Tedarik ve yaşam döngüsü yönetimi yoluyla bunu nasıl verimli hale getirirsiniz? Doğru ve uyumlu olduğunu nasıl doğruluyorsunuz?”

Şu anda olan şey, diyor McClain, hem kimlerin hem de neyin olduğu konusunda ciltler dolusu patlama yaşanıyor. İlk etapta, tanımlanması gereken kişilerin sayısı yalnızca çalışanları değil, yüklenicileri ve tedarik veya dağıtım zincirlerindeki kuruluşların çalışanlarını da kapsayacak şekilde genişliyor.

İkincisinde, giderek daha fazla veri uygulamadan uygulamaya, e-postadan, SharePoint, DropBox veya en iyi ihtimalle kötü durumda olan diğer sayısız araç aracılığıyla daha fazla yüzeye doğru hareket ettikçe, tanımlanması gereken şeylerin sayısı da hızla artıyor. yönetilir ve genellikle pek yönetilmez.

Bu büyüme eğrilerinin her ikisi de saldırı yüzeyini büyütmeye ve kimliklere yönelik riski artırmaya hizmet ediyor.

McClain, “İnsanları ‘Zeka ve otomasyona sahip olmalıyım, yoksa bu sorunla asla başa çıkamam’ demeye iten şey bu” diyor.

“Yani yapay zekaya yapılan yatırımlar [and] otomasyona yaptığımız yatırımlar, insanların sorununuzu anlamasını sağlamakla ilgilidir; 10.000 kişilik, 400 başvurulu bir organizasyon değildir; 10.000 kişilik organizasyonda önemsediğiniz 150.000 kimliğe sahip olabilirsiniz ve bu uygulama ortamından dört kat daha büyük verilere erişiminiz olabilir.

“Bunu e-tablolar, e-postalar ve onaylar için yönlendirmelerle yönetmenize imkan yok; eğer bunu otomatikleştirmeye başlamazsanız ve kalıpları ve kalıpları anlamak için çok fazla yapay zeka ve makine öğrenimi kullanmazsanız, oyunun tamamen arkasındasınız demektir. risk profilleri” diyor McClain.

“Yapay zekanın son bir buçuk yılda yeni bir konu haline gelmediği sektörlerden biriyiz; altı ya da yedi yıldır radarımızdaydı çünkü bu hacim patlamasına ayak uydurmanın tek şansının bu olacağını biliyorduk. .”

Yeni fırsatlar, yeni tehditler

Ancak yapay zeka hakkında düşünürken McClain, bunun kimliklere yönelik oluşturduğu tehdidin de son derece farkında; metinlerin, video görüntülerinin ve ses kayıtlarının artık güvenilir bir kimliği taklit etmek için kolayca değiştirilebildiği bir dünyada, tüm bahisler yalan gibi görünüyor kapalı ol.

McClain, hiçbir siber suçlunun dahil olmadığı kontrollü bir test ortamında da olsa, kimliğinin bizzat bir yapay zeka tarafından sahtekarlığa tabi tutulması konusunda bazı deneyimler yaşadığını iddia edebilir.

Şöyle açıklıyor: “Sesimi podcast’lerden, yaptığım konuşmalardan vb. örneklemek için bir yapay zeka aracı kullandık ve ona okuması için bir senaryo verdik ve ardından en sevdiğim kurabiyenin çok önemli konusuyla ilgili bir senaryo okudum.

“Yulaf ezmesini ve kuru üzümü gerçekten sevdiğim ortaya çıktı, ancak yapay zeka daha geleneksel bir çikolata parçasını tercih etti. Yani ikisini de yürüttük ve insanlar bunun bir test olduğunu biliyordu ama üçte biri yanlış anladı. Sahte o kadar iyiydi ki insanlarımızın üçte biri sahtenin ben olduğumu düşündü.”

McClain, yapay zeka destekli siber suçluların bu kimlik engellerinin çoğunu kolaylıkla aşabilmesi nedeniyle bu bağlamda daha hızlı bir evrim öngörüyor. “Sanırım bu durum artmak üzere” diyor.

Gelen soruna iyi bir örnek, makinelerin zaten insanlar adına çok sayıda ağır iş kredisi başvurusu yaptığı finansal hizmetlerde olabilir. Ancak insan kimliklerinin yapay zeka tarafından kolayca taklit edilebildiği bir çağda, makinelerin makineler tarafından kandırılmasını nasıl durduracaksınız?

“Hesaplara hizmet vermek için botları ve daha önce insanlar tarafından yapılanların yerine akıllı cihazları kullanıyorsanız, gerçekten bazı zor programlama sorunları ortaya çıkıyor ve artık kimlik bir saldırı vektörü haline geldi; insan olmayan varlıklar etrafında koruyucu yetenekleri nasıl kurarız? etrafımızda insanlar var mı? Nasıl doğrulanıyor?

“Tüm bu eğitimleri, insanların insan odaklı saldırılarla mücadele etmesini sağlamak için yaptık. Bunu insan olmayan kimlik dünyasına nasıl taşırsınız?” diyor.

McClain, kimliğin hâlâ gelişen bir disiplin olduğunu söylüyor ve SailPoint’in evrimsel tarihinin, gelecekteki gelişmeler söz konusu olduğunda onu ilginç bir konuma getirdiğini düşünüyor.

“Kimlik ve veri yönetiminin kapsamına girmeyen bir şey hakkında konuşmak neredeyse imkansız” diyor. “İşletmenizde olanın kimlik veya verilerle ilgisi yok. Bu anlamda görüş alanımız inanılmaz derecede geniş. [ofidentityanddatamanagement”hesays“WhatinyourenterprisedoesnotrelatetoidentityordataInthatsenseourpurviewisincrediblylarge

“Elbette bu sorunların hepsini çözemeyiz, ancak gerçeğin tek kaynağı olacak şekilde iyi bir konuma sahip olabiliriz” diye bitiriyor.



Source link