# Умайма Хан о Security-First Identity: как Opal Security переосмысляет управление доступом

Источник: https://www.youtube.com/watch?v=XoN9iVD5Rsk
Канал: Greylock
Опубликовано: 23.07.2024

---

В новом выпуске подкаста Gray Matter от венчурного фонда Greylock обсуждается трансформация подходов к кибербезопасности через призму управления идентичностью. Умайма Хан, сооснователь и CEO Opal Security, делится своим видением перехода от традиционных методов контроля доступа к концепции «безопасности прежде всего» (Security-First Identity). Основной акцент сделан на том, как современные предприятия могут достичь состояния «реального минимального уровня привилегий» в условиях усложняющихся облачных сред и внедрения ИИ.

## 🛡️ Что такое Opal Security: концепция «автопилота» для доступа
[[JUMP:00:31]]

Opal Security представляет собой платформу безопасности идентификации, которая объединяет, нормализует и калибрует данные об учетных записях во всех корпоративных системах [00:31]. По словам Умаймы Хан, цель платформы — предоставить не только видимость того, кто и к чему имеет доступ в любой момент времени, но и контекст, необходимый для исправления избыточных прав [00:44].

Для описания работы системы Умайма Хан использует аналогию с технологиями автономного вождения:

*   **Зависимость от среды:** Как и вождение автомобиля, управление доступом сильно зависит от контекста: уровня развития инфраструктуры, опыта сотрудников, локальных правил и культурных особенностей компании [01:10].
*   **Отсутствие «сенсоров»:** В традиционных системах авторизации часто отсутствуют непрерывные потоки данных (аналоги датчиков в авто), что мешает принимать гибкие решения по автоматизации [01:24].
*   **Человек в контуре:** На наиболее критических этапах принятия решений Opal сохраняет участие человека, обеспечивая при этом прозрачность и отказоустойчивость системы [01:36].

С технической точки зрения Opal объединяет в себе слой ETL (извлечение, преобразование, загрузка данных), классическое машинное обучение и графовый анализ для непрерывного мониторинга безопасности [01:50].

## 🎓 Путь от математики и спецслужб к стартапу
[[JUMP:02:45]]

Карьера Умаймы Хан развивалась необычным образом, что, по её мнению, стало отличной подготовкой к созданию стартапа [02:59]. Она получила домашнее образование, которое описывает как «неконтролируемое» или даже «дикое», что приучило её к постановке целей в условиях неопределенности [03:11].

Ключевые этапы её профессионального становления:

*   **Академическая математика:** Обучение в MIT и страсть к чистой математике. Однако Умайма поняла, что ей необходим «дофаминовый удар» от наблюдения реальных результатов своей работы, что привело её в криптографию [03:24].
*   **Государственная служба:** Работа в федеральном правительстве США в Вашингтоне над исследованиями в области криптографии. Этот опыт показал, как абстрактные технологии становятся критически важными в реальном мире безопасности [04:03].
*   **Опыт в стартапах:** Работа в компаниях на разных стадиях развития и участие в проектах с открытым исходным кодом.

Умайма Хан отмечает, что на всех этапах своей карьеры — от работы в спецслужбах до малых стартапов — она видела одну и ту же проблему: управление доступом всегда было «узким местом» и причиной утечек [04:58]. По её наблюдениям, многие относились к этому как к задаче для сервисных служб, а не как к сложной технической проблеме, требующей инновационного продукта [05:12].

## 📉 Почему старые методы защиты больше не работают
[[JUMP:08:39]]

Современный ландшафт угроз заставляет компании пересматривать подходы к IAM (Identity and Access Management). Умайма Хан выделяет три ключевых фактора, стимулирующих рынок:

1.  **Регулирование:** Требования SEC к публичным компаниям по раскрытию информации об утечках заставляют бизнес выводить проблемы безопасности на свет [09:32].
2.  **Технологические сдвиги:** Переход в облака и текущий бум ИИ создают новые векторы атак [09:46].
3.  **Громкие инциденты:** В качестве примера приводится недавняя утечка данных AT&T, где записи миллионов пользователей были защищены лишь логином и паролем, без временного контроля доступа и надлежащего мониторинга [10:12].

По мнению гостьи, исторически существовало напряжение между безопасностью и продуктивностью: отделы продаж хотят быстрого роста, а безопасность требует ограничений [11:04]. Она считает, что лучшие решения должны быть ориентированы на продукт, который помогает разработчикам работать быстрее, одновременно повышая уровень защиты. В качестве примера приводится GitHub, который формально является инструментом комлпаенса, но воспринимается инженерами как средство ускорения разработки [11:32].

## 👥 Два архетипа клиентов на рынке безопасности
[[JUMP:12:13]]

Умайма Хан разделяет текущий рынок на две основные группы клиентов, каждая из которых преследует свои цели при использовании Opal:

**1. Инноваторы (растущие технологические компании):**

*   Это компании на стадии роста, часто готовящиеся к IPO или выходу на регулируемые рынки [13:31].
*   Их цель — внедрить «гигиену безопасности» с самого начала, обеспечив минимальный уровень привилегий без замедления бизнес-процессов [13:45].
*   Среди таких клиентов упоминаются figma, Databricks и Scale AI [24:42].

**2. Устоявшиеся корпорации («хаос в доме»):**

*   Крупные организации, накопившие за десятилетия сложную и запутанную структуру доступов [14:25].
*   Они ищут инструменты для быстрой очистки доступа к своим «главным сокровищам» (crown jewels) — критическим данным в Snowflake, AWS или Azure [14:38].
*   Для таких клиентов важна возможность поэтапного внедрения, например, внедрение двухфакторной аутентификации или доступа «точно вовремя» (just-in-time) для всех производственных аккаунтов [18:00].

## 🧩 Конвергенция стека: Безопасность vs Комлпаенс
[[JUMP:18:39]]

Традиционно стек идентификации был фрагментированным, что приводило к возникновению «слепых зон» [19:17]. Opal стремится стать центральным узлом, который интегрируется с:

*   **Identity Providers (IdP):** Okta, Microsoft Entra [19:42].
*   **HR-системами:** Которые содержат информацию о должностях и ролях сотрудников [19:55].
*   **Чувствительными системами:** AWS, NetSuite, SAP, которые часто имеют собственные кастомные механизмы авторизации [20:08].

Умайма Хан подчеркивает, что качественный комплаенс (GRC) — это результат качественной безопасности [20:49]. Вместо того чтобы вручную составлять отчеты в электронных таблицах в течение нескольких кварталов, отделы GRC могут использовать Opal как единый источник истины. Это особенно актуально для компаний, стремящихся соответствовать стандартам FedRAMP Medium или High [21:39].

Внутри организаций Opal взаимодействует с «Святой Троицей» стейкхолдеров: безопасностью (основной заказчик), IT-инженерией и отделами GRC [23:10]. Ведущий подкаста отмечает, что Opal — редкий пример инструмента безопасности, который разработчики любят даже больше, чем офицеры безопасности, так как он делает их работу продуктивнее [24:17].

## 🤖 Роль ИИ в будущем идентификации
[[JUMP:25:36]]

Умайма Хан полагает, что предприятия продолжат использовать специализированные и небольшие модели с открытым исходным кодом, заботясь о приватности своих данных [26:25]. ИИ меняет ландшафт безопасности в двух направлениях:

1.  **Изменение поверхности атаки:** Появляются «нечеловеческие сущности» (боты, сервисные аккаунты), оперирующие данными. Кроме того, сами наборы данных для обучения ИИ (PII — персональная информация) становятся новой критической целью для злоумышленников [26:51].
2.  **Возможности автоматизации:** Opal видит потенциал в использовании ИИ для автоматизации обоснований доступа. Например, система может сама проанализировать запрос инженера в 2 часа ночи и подтвердить его легитимность на основе контекста, избавляя менеджеров от рутины [27:42].

Также гостья отмечает прогресс в генерации кода: технологии создания и корректировки политик AWS IAM стали значительно надежнее за последние два года, что позволит автоматизировать авторизацию на новом уровне [28:36].

Для поддержания темпа инноваций внутри Opal Умайма внедряет культуру «групп чтения научных статей» (paper reading groups), чтобы инженеры оставались на острие науки, не отвлекаясь от прагматичных бизнес-задач [30:09].

## 🔮 Прогноз на 2–5 лет: манифест Security-First
[[JUMP:31:32]]

В ближайшие два года Умайма Хан планирует закрепить за Opal статус компании, определяющей стандарт Security-First Identity [32:11]. По её мнению, это подразумевает:

*   Непрерывный мониторинг и немедленное исправление нарушений [32:35].
*   Отказ от ожидания регуляторных требований как единственного стимула для улучшения авторизации [32:47].
*   Создание систем, которыми люди действительно будут пользоваться, а не просто абстрактных языков политик [33:00].

В пятилетней перспективе контроль над уровнем IAM (Identity and Access Management) дает возможность влиять на всю архитектуру безопасности организации [33:48]. Это включает в себя определение стандартов схем авторизации, выявление уязвимостей на уровне доступа и даже влияние на аппаратные решения для идентификации [34:02]. Умайма Хан резюмирует, что для создания культовой компании в этой сфере необходимо быть прагматичным в решении сегодняшних проблем клиентов, не теряя при этом гибкости архитектуры для будущего развития [34:28].