ऑनलाइन किस पर (या किस पर) हम भरोसा करते हैं
ऑनलाइन किस पर (या किस पर) हम भरोसा करते हैंइंटरनेट इस धारणा पर बनाया गया था कि मनुष्य केवल वास्तविक उपयोगकर्ता हैं. यह हमारे प्रामाणिकता प्रवाहों, हमारे कैप्चै, हमारे सुरक्षा heuristics, और यहां तक कि हमारी भाषा में पकाया गया है. हम लोगों के रूप में "उपयोगकर्ताओं" और खतरों के रूप में "बॉट्स" के बारे में बात करते हैं.
लेकिन यह धारणा तोड़ रही है।
आज, सॉफ्टवेयर सिस्टम में सबसे महत्वपूर्ण अभिनेताओं में से कुछ बिल्कुल इंसान नहीं हैं. वे एजेंट हैं: सिर के बिना, स्वचालित, प्रमाणित सॉफ्टवेयर टुकड़े जो भुगतान डेटा को प्राप्त करने से लेकर बीमा दावों को संतुलित करने से लेकर बड़े पैमाने पर अधिकारों को संसाधित करने तक सब कुछ करते हैं. वे उन सेवाओं में गहराई से एकीकृत हैं जिन पर हम हर दिन भरोसा करते हैं, और फिर भी, कई प्लेटफार्म उन्हें घुसपैठ के रूप में देखते हैं.
"यह समय आ गया है कि आप विरोधी के साथ स्वचालन को भ्रमित करना बंद कर दें," डेक में समुदाय प्रबंधक लॉरेंट लेवेल कहते हैं। "वेमें से कई बॉट हमलावर नहीं हैं. वे आपके ग्राहकों के कार्य प्रवाह हैं, चुपचाप तोड़ते हैं क्योंकि आपका सिस्टम उन्हें भरोसा नहीं करता है।
मानव-केंद्रित विश्वास मॉडल का विरासत
मानव-केंद्रित विश्वास मॉडल का विरासतसुरक्षा टीमों ने लंबे समय से एक बाइनरी heuristic पर भरोसा किया है: मनुष्यों अच्छे हैं; मशीनों बुरे हैं. यह कैप्चै, बॉट फिल्टर, दर सीमा, और उपयोगकर्ता-एजेंट स्नीफर्स का प्रसार करने के लिए नेतृत्व किया है जो विरोधी स्वचालन और उत्पादक एजेंटों के बीच कोई अंतर नहीं करते हैं।
These models worked for a time. But the modern internet runs on APIs, scheduled jobs, and serverless triggers. Internal agents and external integrations behave just like bots, because they are. They log in, request data, act predictably, and don’t click around like a human would. And that’s the point.
"जो हम अब देख रहे हैं वह है कि बुरे अभिनेताओं को बाहर रखने के लिए डिज़ाइन किए गए एक ही heuristics अंदर वैध उपयोग मामलों को तोड़ रहे हैं," YG Leboeuf, डेक के सह-संस्थापक कहते हैं।एयरलाइन पुरस्कार से स्वास्थ्य बीमा प्रदाताओं के लिए"
"सच्चाई" की बेहतर परिभाषा
"सच्चाई" की बेहतर परिभाषातो आप हानिकारक बॉट्स और उपयोगी लोगों के बीच क्या अंतर करते हैं?
डेक एक बदलाव की पेशकश करता है: मानव-पहले मॉडल से इरादे-पहले फ्रेमवर्क तक।
एक वास्तविक उपयोगकर्ता है:
- सत्यापित: वे वे हैं जो वे दावा करते हैं कि वे हैं।
- Permissioned: They’re accessing what they’re supposed to.
- उद्देश्यपूर्ण: उनके कार्य एक ज्ञात और अनुमत उपयोग के मामले के अनुरूप हैं।
प्रत्येक महीने के अंत में 150 कर्मचारियों के खातों से लागत डेटा खींचने वाले एक योजनाबद्ध एजेंट पर विचार करें. यह मान्यता प्राप्त, व्यापक और ऑडिट योग्य है. लेकिन अधिकांश सिस्टम इसे संदिग्ध के रूप में चिह्नित करते हैं क्योंकि यह बहुत तेजी से लॉग इन करता है या बहुत अधिक एक्सेस करता है.
इस बीच, एक वास्तविक इंसान अनैतिक या हानिकारक गतिविधि में शामिल हो सकता है जो रडार के नीचे उड़ता है क्योंकि वे एक ब्राउज़र का उपयोग कर रहे हैं।
यह एक दोषपूर्ण पैरामिडम है. हमें इसे बदलने की जरूरत है।
गलती करने के छिपे हुए लागत
गलती करने के छिपे हुए लागतएजेंटों को खतरों के रूप में गलत वर्गीकृत करना केवल खराब UX का कारण नहीं है. यह जोखिम पेश करता है:
- उत्पाद विफलता: स्वचालित प्रवाह चुपचाप टूटते हैं. पेरोल नहीं चलाता है. रिपोर्ट फाइल नहीं की जाती हैं. डेटा खो जाता है.
- ग्राहक चिन: उपयोगकर्ता उत्पाद को दोष देते हैं, सुरक्षा नियम नहीं।
- इंजीनियरिंग ऋण: डेवलपर्स को अपवाद बनाने के लिए मजबूर किया जाता है. Fragility creeps in.
- सुरक्षा अंधेरे बिंदु: अपवाद प्रणालियों को कमजोर करते हैं, वास्तविक दुरुपयोग के लिए रास्ते खोलते हैं।
At Deck, one client had built a multi-step claim appeals workflow that relied on an internal agent syncing EOB data nightly. When their legacy security provider began rate-limiting the agent, it created a cascade of downstream failures. It took weeks to diagnose.
Hybrid Identity के लिए डिजाइन
Hybrid Identity के लिए डिजाइनआधुनिक प्रणालियों को अपने विश्वास मॉडल में मानव और गैर-मानव दोनों को समायोजित करने की आवश्यकता है. यहां यह कैसा दिखता है:
- अलग-अलग योग्यताएं: एजेंटों के लिए मानव टोकन का पुन: उपयोग न करें।
- इरादा-समझने की दर सीमाएं: एजेंटों को तेजी से आगे बढ़ने और 24/7 का संचालन करने की उम्मीद करें।
- Auditability: एजेंटों को अपने कार्यों को रिकॉर्ड करना चाहिए. संरचित दूरसंचार पाइपलाइन बनाएं.
- जीवन चक्र प्रबंधन: एजेंट स्वामित्व को ट्रैक करें, रहस्यों को रेट करें, और पुराने प्रक्रियाओं को खत्म करें।
- व्यवहार मूल पंक्तियां: प्रत्येक पहचान के लिए "सामान्य" क्या दिखता है की निगरानी करें।
सुरक्षा में सांस्कृतिक बदलाव
सुरक्षा में सांस्कृतिक बदलावसुरक्षा सिर्फ "नहीं" कहने के बारे में नहीं है. यह प्रणालियों को नियंत्रित रूप से, सुरक्षित रूप से काम करने की अनुमति देने के बारे में है.
"जो टीमें जीतती हैं वे सबसे कठोर रक्षा के साथ नहीं हैं," लेवेले कहते हैं. "वे उन टीमों को डिजाइन करते हैं जो जोखिम और घर्षण के बीच अंतर को समझते हैं।
इसका मतलब है:
- सक्षम करने के लिए गेटवे से स्विच
- संदर्भ विश्लेषण के साथ सीधे पता लगाने के नियमों को प्रतिस्थापित करना
- न केवल रोकथाम के लिए, बल्कि प्रतिरोध के लिए निर्माण
एजेंटों से डरो मत, उनसे सीखो।
एजेंटों से डरो मत, उनसे सीखो।हर उपयोगकर्ता इंसान नहीं है. यह कोई खतरा नहीं है. यह एक वास्तविकता है. और तेजी से, यह एक अवसर है.
उपयोगकर्ता आधार के हिस्से के रूप में स्वचालन को पहचानते हुए और सम्मान करते हुए, हम बेहतर विश्वसनीयता, तेजी से पैमाने पर और मजबूत प्रणालियों को खोलते हैं।
यह समय है कि हम पूछना बंद करें, "क्या यह एक बॉट है? " और पूछना शुरू करें, "क्या यह विश्वसनीय है?
