Sadece birkaç yıl önce, 2016 ya da ’17 civarında, Zane Lackey hayatının zorluklarını özetleyen bir konuşma yaptı. Ardından Signal Sciences’ta kurucu danışman olarak, belirli bir Fortune 500 müşterisinin CISO ve CIO’su ile görüşüyordu (hangisi olduğunu söylemiyor).
Önce CISO ile görüştü. Lackey bir bulut geçişi önerdi, ancak adam kımıldamayı reddetti. Lackey, “Bunların hiçbirine izin vermiyorum” dediğini hatırlıyor. “Hepsi güvensiz.”
Lackey’nin günün ikinci toplantısı, bulut geçişinin “1 numaralı önceliğimiz” olduğunu bildiren CIO ile oldu. Lackey güldüğü için adama tuhaf bir bakış atmış olmalı. CIO, “CISO ile konuştuğunuzu görüyorum,” dedi. “Artık onu toplantılara davet etmiyoruz.”
Eski CISO ve Mart ayından bu yana Andreessen Horowitz’in (a16z) genel ortağı olan Lackey, bir şirketin kod yazma ve kod dağıtma ekiplerinin entegrasyonu olan DevOps’un önde gelen şampiyonlarından biridir. “Ekiplerin farklı öncelikleri var” diyor Dark Reading, “ama bir Venn şeması oluşturuyorlar. Çözümler herkese, güvenlik ve diğer her şeyde yardımcı olmalı.”
Lackey’in uğrunda yaşadığı tür mimarilerin önündeki en büyük engel, kod veya eski güvenlik duvarlarıyla hiçbir ilgisi yoktur: Bu, birbirinin süreçlerini görmezden gelen veya o gün Fortune 500 memurları gibi, birbirlerini aktif olarak altüst eden silo güvenlik ve operasyon ekiplerinin kültürüdür. .
Onun sözleriyle, “Teknoloji kolay kısımdır. Kültür zor kısımdır.”
İlk yıllar
Dijital iş ekiplerinin eski kavgaları ve aşılmaz siloları, çocukluk sevincini teknoloji sorunlarına saldırma konusunda asla aşmayan Lackey gibi biri için özel bir baş ağrısı olmalı. Lackey, Murphys, Kaliforniya’da, zihinsel uyarılma yolunda fazla bir şey olmayan küçük bir köyde büyüdü. Lackey, bilgisayarları gençliğinin başlarında keşfetti ve Linux öğrenmek için yeni bir sabit disk için para biriktirmeye başladı. Zor, yalnız bir işti ve onu seviyordu. Yerel ISP’sine bağlanmak için PPP ayarlarını bulması aylarını aldı. Ama bir kez açık olduğunda, birinin onu hacklemesi ve kapatması sadece beş dakika sürdü.
“Hayatımı değiştiren bir andı” diyor, “olağanüstü olumlu bir şekilde.”
Güvenlik altyapısı Lackey’nin takıntısı haline geldi. Arkadaşlarıyla sanal “bayrağı ele geçir” oynayarak, Red Hat, Windows ve bulabildiği her sistem kılavuzunu yiyip bitirerek geceler geçirmeye başladı. Altyapı ve hücum-savunma güvenliği tutkusu Lackey’i, bilgisayar güvenlik laboratuvarında (2000’lerin başında, büyük üniversitelerde bile nadir görülen bir durum) stajyer olarak çalıştığı, dahilerin o inanılmaz beşiği olan UC Davis’e götürdü.
Bir noktada bir bal tuzağı geliştirmek zorunda kaldı ve bu yüzden bilgisayar korsanlarını cezbetmek için tamamen sahte bir departman web sitesi yarattı. Bir grup Güney Amerikalı genç yemi aldı ve kendi Counter Strike sunucularını kurdu. Bugünkü olayı sanki bir ragbi maçıymış gibi anlatıyor: her şey karşılıklı, yüksek basınç ve akıllı ayak hareketleri.
Davis’teki ilk işi 2005 Craigslist reklamından geldi: iSEC Partners adlı bir Bay Area girişimi ilk çalışanını arıyordu. Lackey hemen başladı ve Alex Stamos’un yönetiminde genel danışman olarak çalıştı. Çalışmaları çok sayıda uygulama, kablosuz ve ağ kalemi testi ve değerlendirmesini içeriyordu.
Daha sonra 2010’da NCC Grubu, iSEC Partners’ı satın aldı ve Lackey, East Coast şubesi kurmak için New York’a gitti. Lackey, DevOps olarak bilinecek araçları ve taktikleri keşfetmeye 2011 civarında orada başladı. Şirketler, lineer şelale dağıtımlarının kaldırabileceğinden daha hızlı büyüyordu. Bulut depolama ve ısmarlama, entegre araç zincirleri, konsept ve kod arasındaki boşluğu henüz kapatmıştı.
Ancak Lackey, özellikle Etsy’nin 26 yaşındaki çocuğu kısaca danışman olarak ve ardından CISO olarak üstlenmesinden sonra davadaydı. En azından Lackey’nin söylediği gibi, şirket adına tam olarak bir kumar değildi; onun referansları kendileri için konuştu. Etsy, Lackey’e modern, uluslararası güvenlik bakımının devasa hacminin ilk gerçek tadını verdi. Lackey, iSEC’de her 18 ayda bir kalem testi uygulamıştı. Etsy’de 30 kez konuşlandırılması bekleniyordu günde.
“Bu güvenlikti,” diyor, “ama farklı bir dünya için.” (Etsy paketin önündeydi – o sırada Google ve Facebook haftada bir kez konuşlandırılıyordu.)
Bu farklı dünya, yalnızca Etsy’de değil, bir başka iSEC emektarı olan Jason Chan’ın artık CISO olduğu Batı Kıyısı’ndaki ayna şirketi Netflix’te kendi yeni araçlarını getirdi. Chan gibi, Lackey de binlerce ayrık Web uygulaması güvenlik duvarına (WAF) güvenmenin modern tehdit hacmine asla ayak uyduramayacağını gördü. Bulut geçişi, o zamanlar veya şimdi yaygın olandan daha nüanslı bir sıfır güven stratejisi olduğu gibi, çözümün bir parçasıydı.
Ancak Etsy gibi şirketlerin ihtiyaç duyduğu şey, her bir uygulamanın şirket çapında dikey olarak entegre bir güvenlik sistemine sığdığı, fermuardaki dişler gibi, tek bir “tek cam bölme” konsolu aracılığıyla erişilebilen tamamen yeni bir mimariydi. Konsolun ekipler arasında tamamen görünür olması, asla “başka birinin işi” (şirket içinde veya dışında) olmaması ve en önemlisi ölçeklenebilir olması gerekir. DevOps burada devreye girdi.
İşletmeler farklı hızlarda büyür; DevOps’un amacı, güvenlik operasyonlarının tam olarak ihtiyaç duydukları hızda hareket etmesini sağlamaktır. Lackey, ölçeğin her güvenlik ekibinin karşılaştığı en önemli sorun olduğunu ve “bir güvenlik aracını kullanmak için bir güvenlik uzmanı olmanız gerekiyorsa, [the tool] ölçeklenmiyor.”
Oyununu Değiştirmek
2014 yılında Lackey, girişim destekli bir Web uygulaması ve API güvenliği başlangıcı olan Signal Sciences’ı kurmak için iki meslektaşıyla birlikte Etsy’den ayrıldı. Signal Sciences havaya uçtu (iyi bir şekilde): Lackey’nin yönetim kurulu üyesi ve CSO olarak görev süresinin zirvesindeyken, şirketin 150 çalışanı, yıllık 28 milyon dolarlık sürekli geliri vardı ve Forbes ve Gartner gibi satış noktaları övgüler topladı.
Lackey daha sonra kendini masanın diğer tarafında buldu, Fortune 500 şirketlerine tavsiyelerde bulundu ve giderek artan bir şekilde yeni firmalara yatırım yaptı. 2000’lerin başındaki bilgisayar korsanlığı oyunlarına dair hikayelerinde de aynı zevkle “Uyum sağlamaktan zevk alıyorum” diyor.
Lackey, “Güvenlik, DevOps’un erken benimsenmesindeki en büyük hızlanmalardan biriydi” diyor. DevOps’u ilk benimseyen Etsy’de CISO olarak, DevOps’u nasıl kuracağını ilk elden deneyimle öğrendi. adlı bir kitap yazdı. Modern Bir Güvenlik Programı Oluşturmave öğrendiği dersleri vardiyadan geçen diğer işletmelerle paylaşmaktan keyif aldığını fark etti.
Melek yatırım, Lackey’nin iki profesyonel tutkusunu birleştiriyor gibi görünüyor: DevOps’un bir disiplin olarak istikrarlı yürüyüşü ve sinir bozucu, yüksek bahisli, yüksek riskli oyun sevgisi. Aynı zamanda, Lackey’e doğal olarak gelen bir sağ beyin teknolojisi ve sol beyin liderlik becerilerinin birleşimidir. Geçen yıl açıkladı Bulut Güvenliği podcast’i tüm roller birleştikçe, kurucuların hedeflerini akıllarında tutmaları veya başarısız olma riskini almaları gerekir. “Bir şirket kuruyorsunuz,” dedi onlara, “bir teknoloji projesi değil” – bir altyapı uzmanının dikkate değer tavsiyesi.
2020’de Signal Sciences’ı hızla satın aldı. Lackey, a16z’deki ortak rolünü kabul etmeden önce iki yıl boyunca bağımsız olarak danışmanlık yaptı. Çalışmayı, özellikle kurucularla olan etkileşimlerini seviyor – “Onların ilk çağrısı olmaktan keyif alıyorum” diyor ve gördüğü yeni çözümlerin olağanüstü olduğunu söylüyor. Gizlilik adına bu çözümlerin ne olduğunu söylemeyecek; muhtemelen 2020’ler için güncellenmiş sıfır güven protokollerini içerirler. Ancak şekillenmesine yardımcı olduğu disiplin olan DevOps’un kendi başına bir hayat sürdüğünü görmekten mutlu.
“Bu, yazılım geliştirme ve dağıtımında nesiller boyu bir değişiklik” diyor. “Gelecek için heyecanlıyım.”
KİŞİLİK BAYTLARI
En çok gurur duyduğunuz mesleki başarınız nedir? Bu bir başarı değil, ancak parçası olabildiğim tüm takımlardan ve yaptığımız işlerden gurur duyuyorum.”
Hangi teknoloji veya çözüm işiniz üzerinde en büyük etkiyi yarattı? “Yine, bu bir teknoloji değil, ama hız diyebilirim – hızdaki artış. Şelale-yaklaşma döneminden DevOps dönemine geçiş, hızlı hareket, hızlı yineleme ile ilgiliydi. Yani, ne kadar sürdüğünü bir düşünün. 2000’li yılların başına kıyasla 90’larda bir şirket kurmak, şimdikiyle karşılaştırıldığında.”
Meslektaşlarınızın sizin hakkınızda asla tahmin edemeyecekleri bir şey nedir? “Alaska’da bir balıkçı köyünde doğdum. Düşük teknolojiden bahset! Ailem 70’lerde ticari balıkçı olarak çalışmak için Alaska’ya gitti. Beni doğurduktan sonra Murphys’e taşındılar.”
Herhangi bir hobi? “Seyahat — Antarktika hariç her kıtaya gittim, ama sıradaki o. Kayak ve snowboard yapıyorum.”
Son olarak, viski tiryakisi olduğunuzu anlıyoruz. Islay, Speyside, Highland? “Bütün viskileri severim: burbon, scotch, Japon. Turbalı viskileri sevmeye meyilliyim – örneğin, temel Lagavulin 16’nız. Genellikle bir bardak yeterlidir.”