当企业数字化转型步入深水区,云原生、SaaS服务与AI工具的普及正在重构企业的IT架构,也让身份访问管理(IAM)这个“隐形基石”面临前所未有的挑战。在这样的背景下,深耕网络安全领域多年的Howard Ting于2025年11月出任Opal Security首席执行官,这位曾带领Cyberhaven实现规模化增长、在Palo Alto Networks、微软等多家科技巨头积累了丰富经验的行业老兵,将如何带领Opal破解AI时代的身份安全难题?近日,他在Unite.AI的访谈中分享了自己的思考。
### 从Cyberhaven到Opal:瞄准身份安全的下一个风口
Howard Ting的职业生涯始终围绕着网络安全的核心需求展开。在加入Opal之前,他在Cyberhaven担任CEO和董事会成员超过五年,带领公司专注于数据保护与安全创新;更早之前,他还在Palo Alto Networks、思科、微软等企业担任过营销和产品管理的高级职位,见证了多因素认证、下一代防火墙等安全技术的迭代。这些经历让他对安全行业的发展趋势有着敏锐的洞察力。
谈及加入Opal的契机,Howard Ting表示,当前企业的身份访问管理正陷入前所未有的困境:随着云服务、自动化工具和AI代理的普及,企业内的身份数量呈爆炸式增长,不仅包括传统的人类用户,还有大量服务账户和AI代理;同时,访问请求越来越多地来自工程和云工作流内部,而非传统的IT审批流程。但现有的IAM和身份治理与管理(IGA)工具大多是为传统场景设计,完全无法应对这些新变化。
“我在RSA、Palo Alto Networks和Cyberhaven时,亲眼见证了多因素认证、下一代防火墙和数据谱系等技术革命的发生,而当前身份访问管理领域的动态与当时极为相似:一个定义行业的核心问题正在加速演变,大多数厂商却难以跟上节奏,这正是合适的团队抢占市场的窗口期。”Howard Ting说,Opal正是那个抓住了机遇的团队——它不仅拥有坚实的工程和产品基础,更通过聚焦客户需求积累了优质的客户资源,每一次客户沟通都在印证:Opal正在解决的,是企业当下最迫切的身份安全痛点。
### 传统模型失效:AI时代身份安全的核心矛盾
在Howard Ting看来,传统身份访问控制模型的核心缺陷在于,它更多聚焦于“认证”——即验证“你是谁”,而在“授权”——即判断“你能做什么、能做多久”这一核心问题上,几乎没有得到有效解决。而AI技术的普及,更是将这一矛盾进一步放大。
“现在很多厂商都在炒作AI概念,但实际上,针对AI代理的成熟安全治理框架根本不存在。”Howard Ting直言,市场上存在大量“AI包装”现象,很多厂商只是将AI标签贴在传统架构上,这让企业买家难以看清真相:当AI代理可以自主生成代码、与基础设施直接交互时,传统的安全审查机制完全无法覆盖这些新型访问路径,企业面临的合规和安全风险被大大低估。
更值得警惕的是,很多企业在引入AI工具时,往往只关注技术本身的创新性,却忽略了其对现有身份治理体系的冲击。Howard Ting指出,很多企业的人类身份治理基础本就薄弱:员工入职/调岗/离职的权限同步、及时访问(JIT)、定期权限审查等基础流程要么被忽视,要么通过临时方案勉强维持;当AI代理这类非人类身份加入后,本就混乱的权限管理变得更加复杂——AI代理会继承部署者的权限,甚至会生成带有嵌入权限的代码,这些权限几乎无人审查,最终形成一张“人类权限治理不足、机器权限扩张失控”的混乱网络。
当机器身份和AI代理的数量超过人类用户时,传统IAM工具的局限性暴露无遗。“传统IAM系统根本没考虑到这么多非人类身份,大多数HR和IAM平台只能提供部分可见性,更无法实现统一治理。”Howard Ting表示,Opal的解决方案是将人类、服务账户和AI代理纳入同一个治理框架,而非将它们视为独立实体,从一开始就为AI代理明确所有权、限定权限范围,并实现全流程可审计。
### 破局之道:以身份为中心的动态治理框架
面对AI时代的身份安全挑战,Opal提出了以身份为中心的现代化访问管理方案,核心是构建统一的身份访问治理平台,实现对云、SaaS和内部系统的集中管控。在Howard Ting的规划中,这一平台的核心价值体现在三个方面:
首先是统一可见性。通过整合不同系统的身份和访问路径数据,让企业能够全面掌握所有身份——包括人类用户、服务账户和AI代理——的权限状态和访问行为,解决传统工具“盲人摸象”的问题。
其次是动态化的访问流程。Opal支持自助访问和及时访问(JIT)工作流,权限仅在需要时授予,并可根据任务或角色变化持续调整;同时,平台还能自动化权限审查,确保“最小权限”原则在大规模环境中落地。例如,企业可以为AI代理默认启用JIT访问,自动批准对特定资源的请求,或者在敏感数据环境中将代理限制在沙箱虚拟机中运行。
最后是与业务流程的深度融合。Opal的平台可以集成到工程师日常使用的工具中,比如在Slack中提交和批准访问请求,通过Terraform等基础设施即代码(IaC)工具自动化权限的授予、撤销和限时管理。这种“左移”的安全理念,让治理不再是业务的阻碍,而是成为可信任的基础设施。
### 规模化增长的平衡术:创新与信任的双向奔赴
作为一名带领过多家安全企业实现规模化增长的领导者,Howard Ting深知,安全产品的核心是信任,而信任的建立需要在创新速度与纪律性之间找到平衡。
“优秀的企业在快速增长时,也会坚守核心原则:清晰的优先级、透明的沟通,以及做出艰难取舍的勇气。”他说,创新必须建立在严谨的基础上:强大的默认安全设置、周全的威胁建模,以及对结果的问责制。这种纪律性不仅不会阻碍创新,反而会成为企业的竞争优势——当客户相信你的产品能够稳定可靠地解决问题时,自然会愿意与你长期同行。
对于企业如何判断自身的访问控制是否与业务脱节,Howard Ting给出了几个明确的信号:权限过度或过时、传统系统导致的手动瓶颈、引入AI系统却未更新对应政策、安全事件或未遂事件增多,以及依赖复杂的 legacy 工具(如Sailpoint部署)或电子表格跟踪权限。这些迹象都表明,企业的身份治理体系已经无法适应业务发展,亟需升级。
### 未来展望:AI原生的安全 hygiene
展望未来,Howard Ting认为,当AI系统能够自主创建、修改和请求权限时,“良好的安全 hygiene”将不再是静态的合规检查,而是动态的全生命周期管理。企业需要接受“访问不再是静态的”这一现实,将安全从“一次性审批”转向“持续监督”。
具体而言,企业需要用AI来对抗AI:通过自动化工具跟上权限变化的速度和规模,同时搭配清晰的安全护栏、对权限委托链的可见性,以及出现问题时的人工问责机制。此外,权限决策必须具备可解释性——无论是传统机器学习模型的特征系数,还是大语言模型的详细推理过程,都需要透明化,这样才能维护敏感业务资源访问的信任链。
“安全领导者最容易误解的一点,是低估了管理不同类型身份的复杂性。很多企业急于采用新技术,却忽视了安全措施的同步升级,导致非人类身份在缺乏监管的情况下积累权限,形成看不见的风险。”Howard Ting强调,应对AI时代的身份安全挑战,企业需要将身份视为一个动态的、持续治理的层面,让安全与业务发展同频。
对于Opal的未来,Howard Ting信心十足:“我们的目标是打造一个统一的平台,既能满足安全团队的需求,又能为IT部门松绑,还能为审计人员提供清晰的合规依据。在AI时代,身份安全将成为企业数字化转型的核心基石,而Opal将在这场变革中扮演关键角色。”
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/opal-security-ceo-howard-ting-ai-shi-dai-xia-shen-fen-fang
