Умайма Хан о Security-First Identity: как Opal Security переосмысляет управление доступом

В новом выпуске подкаста Gray Matter от венчурного фонда Greylock обсуждается трансформация подходов к кибербезопасности через призму управления идентичностью. Умайма Хан, сооснователь и CEO Opal Security, делится своим видением перехода от традиционных методов контроля доступа к концепции «безопасности прежде всего» (Security-First Identity). Основной акцент сделан на том, как современные предприятия могут достичь состояния «реального минимального уровня привилегий» в условиях усложняющихся облачных сред и внедрения ИИ.

🛡️ Что такое Opal Security: концепция «автопилота» для доступа 0:31

Opal Security представляет собой платформу безопасности идентификации, которая объединяет, нормализует и калибрует данные об учетных записях во всех корпоративных системах . По словам Умаймы Хан, цель платформы — предоставить не только видимость того, кто и к чему имеет доступ в любой момент времени, но и контекст, необходимый для исправления избыточных прав .

Для описания работы системы Умайма Хан использует аналогию с технологиями автономного вождения:

• Зависимость от среды: Как и вождение автомобиля, управление доступом сильно зависит от контекста: уровня развития инфраструктуры, опыта сотрудников, локальных правил и культурных особенностей компании .
• Отсутствие «сенсоров»: В традиционных системах авторизации часто отсутствуют непрерывные потоки данных (аналоги датчиков в авто), что мешает принимать гибкие решения по автоматизации .
• Человек в контуре: На наиболее критических этапах принятия решений Opal сохраняет участие человека, обеспечивая при этом прозрачность и отказоустойчивость системы .

С технической точки зрения Opal объединяет в себе слой ETL (извлечение, преобразование, загрузка данных), классическое машинное обучение и графовый анализ для непрерывного мониторинга безопасности .

🎓 Путь от математики и спецслужб к стартапу 2:45

Карьера Умаймы Хан развивалась необычным образом, что, по её мнению, стало отличной подготовкой к созданию стартапа . Она получила домашнее образование, которое описывает как «неконтролируемое» или даже «дикое», что приучило её к постановке целей в условиях неопределенности .

Ключевые этапы её профессионального становления:

• Академическая математика: Обучение в MIT и страсть к чистой математике. Однако Умайма поняла, что ей необходим «дофаминовый удар» от наблюдения реальных результатов своей работы, что привело её в криптографию .
• Государственная служба: Работа в федеральном правительстве США в Вашингтоне над исследованиями в области криптографии. Этот опыт показал, как абстрактные технологии становятся критически важными в реальном мире безопасности .
• Опыт в стартапах: Работа в компаниях на разных стадиях развития и участие в проектах с открытым исходным кодом.

Умайма Хан отмечает, что на всех этапах своей карьеры — от работы в спецслужбах до малых стартапов — она видела одну и ту же проблему: управление доступом всегда было «узким местом» и причиной утечек . По её наблюдениям, многие относились к этому как к задаче для сервисных служб, а не как к сложной технической проблеме, требующей инновационного продукта .

📉 Почему старые методы защиты больше не работают 8:39

Современный ландшафт угроз заставляет компании пересматривать подходы к IAM (Identity and Access Management). Умайма Хан выделяет три ключевых фактора, стимулирующих рынок:

1. Регулирование: Требования SEC к публичным компаниям по раскрытию информации об утечках заставляют бизнес выводить проблемы безопасности на свет .
2. Технологические сдвиги: Переход в облака и текущий бум ИИ создают новые векторы атак .
3. Громкие инциденты: В качестве примера приводится недавняя утечка данных AT&T, где записи миллионов пользователей были защищены лишь логином и паролем, без временного контроля доступа и надлежащего мониторинга .

По мнению гостьи, исторически существовало напряжение между безопасностью и продуктивностью: отделы продаж хотят быстрого роста, а безопасность требует ограничений . Она считает, что лучшие решения должны быть ориентированы на продукт, который помогает разработчикам работать быстрее, одновременно повышая уровень защиты. В качестве примера приводится GitHub, который формально является инструментом комлпаенса, но воспринимается инженерами как средство ускорения разработки .

👥 Два архетипа клиентов на рынке безопасности 12:13

Умайма Хан разделяет текущий рынок на две основные группы клиентов, каждая из которых преследует свои цели при использовании Opal:

1. Инноваторы (растущие технологические компании):

• Это компании на стадии роста, часто готовящиеся к IPO или выходу на регулируемые рынки .
• Их цель — внедрить «гигиену безопасности» с самого начала, обеспечив минимальный уровень привилегий без замедления бизнес-процессов .
• Среди таких клиентов упоминаются figma, Databricks и Scale AI .

2. Устоявшиеся корпорации («хаос в доме»):

• Крупные организации, накопившие за десятилетия сложную и запутанную структуру доступов .
• Они ищут инструменты для быстрой очистки доступа к своим «главным сокровищам» (crown jewels) — критическим данным в Snowflake, AWS или Azure .
• Для таких клиентов важна возможность поэтапного внедрения, например, внедрение двухфакторной аутентификации или доступа «точно вовремя» (just-in-time) для всех производственных аккаунтов .

🧩 Конвергенция стека: Безопасность vs Комлпаенс 18:39

Традиционно стек идентификации был фрагментированным, что приводило к возникновению «слепых зон» . Opal стремится стать центральным узлом, который интегрируется с:

• Identity Providers (IdP): Okta, Microsoft Entra .
• HR-системами: Которые содержат информацию о должностях и ролях сотрудников .
• Чувствительными системами: AWS, NetSuite, SAP, которые часто имеют собственные кастомные механизмы авторизации .

Умайма Хан подчеркивает, что качественный комплаенс (GRC) — это результат качественной безопасности . Вместо того чтобы вручную составлять отчеты в электронных таблицах в течение нескольких кварталов, отделы GRC могут использовать Opal как единый источник истины. Это особенно актуально для компаний, стремящихся соответствовать стандартам FedRAMP Medium или High .

Внутри организаций Opal взаимодействует с «Святой Троицей» стейкхолдеров: безопасностью (основной заказчик), IT-инженерией и отделами GRC . Ведущий подкаста отмечает, что Opal — редкий пример инструмента безопасности, который разработчики любят даже больше, чем офицеры безопасности, так как он делает их работу продуктивнее .

🤖 Роль ИИ в будущем идентификации 25:36

Умайма Хан полагает, что предприятия продолжат использовать специализированные и небольшие модели с открытым исходным кодом, заботясь о приватности своих данных . ИИ меняет ландшафт безопасности в двух направлениях:

1. Изменение поверхности атаки: Появляются «нечеловеческие сущности» (боты, сервисные аккаунты), оперирующие данными. Кроме того, сами наборы данных для обучения ИИ (PII — персональная информация) становятся новой критической целью для злоумышленников .
2. Возможности автоматизации: Opal видит потенциал в использовании ИИ для автоматизации обоснований доступа. Например, система может сама проанализировать запрос инженера в 2 часа ночи и подтвердить его легитимность на основе контекста, избавляя менеджеров от рутины .

Также гостья отмечает прогресс в генерации кода: технологии создания и корректировки политик AWS IAM стали значительно надежнее за последние два года, что позволит автоматизировать авторизацию на новом уровне .

Для поддержания темпа инноваций внутри Opal Умайма внедряет культуру «групп чтения научных статей» (paper reading groups), чтобы инженеры оставались на острие науки, не отвлекаясь от прагматичных бизнес-задач .

🔮 Прогноз на 2–5 лет: манифест Security-First 31:32

В ближайшие два года Умайма Хан планирует закрепить за Opal статус компании, определяющей стандарт Security-First Identity . По её мнению, это подразумевает:

• Непрерывный мониторинг и немедленное исправление нарушений .
• Отказ от ожидания регуляторных требований как единственного стимула для улучшения авторизации .
• Создание систем, которыми люди действительно будут пользоваться, а не просто абстрактных языков политик .

В пятилетней перспективе контроль над уровнем IAM (Identity and Access Management) дает возможность влиять на всю архитектуру безопасности организации . Это включает в себя определение стандартов схем авторизации, выявление уязвимостей на уровне доступа и даже влияние на аппаратные решения для идентификации . Умайма Хан резюмирует, что для создания культовой компании в этой сфере необходимо быть прагматичным в решении сегодняшних проблем клиентов, не теряя при этом гибкости архитектуры для будущего развития .