Pengguna Asli Tidak Selalu Manusia - Dan Itu Tidak Harus Menakut-nakuti Anda

Memikirkan kembali siapa (atau apa) yang kita percayai secara online

Internet dibangun di atas asumsi bahwa manusia adalah satu-satunya pengguna sejati. ia dimasak ke dalam aliran otentikasi kami, CAPTCHA kami, heuristik keamanan kami, dan bahkan bahasa kami. kami berbicara tentang "pengguna" sebagai orang, dan "bot" sebagai ancaman.

Namun asumsi itu sudah rusak.

Hari ini, beberapa pemain yang paling penting dalam sistem perangkat lunak tidak manusia sama sekali. mereka adalah agen: tanpa kepala, otomatis, potongan-potongan perangkat lunak yang diakreditasi yang melakukan segalanya dari mengambil data gaji untuk menyesuaikan klaim asuransi untuk memproses royalti pada skala.

“Sudah waktunya untuk berhenti membingungkan otomatisasi dengan lawan,” kata Laurent Léveillé, Community Manager di Deck. ”Banyak bot ini bukan penyerang.

Warisan Model Kepercayaan yang Berpusat pada Manusia

Tim keamanan telah lama mengandalkan heuristik biner: manusia adalah baik; mesin adalah buruk. ini menyebabkan proliferasi CAPTCHA, bot filter, pembatasan tingkat, dan user-agent sniffers yang tidak membedakan antara otomatisasi lawan dan agen produktif.

Model-model ini bekerja untuk beberapa waktu. tetapi internet modern berjalan pada API, pekerjaan yang dijadwalkan, dan trigger tanpa server. agen internal dan integrasi eksternal berperilaku seperti bot, karena mereka. mereka masuk, meminta data, bertindak secara prediktif, dan tidak mengklik di sekitar seperti manusia.

"Apa yang kita lihat sekarang adalah bahwa heuristik yang sama yang dirancang untuk menjaga aktor jahat keluar memecahkan kasus penggunaan yang sah di dalamnya," kata YG Leboeuf, co-founder Deck.dari penghargaan maskapai ke penyedia asuransi kesehatan"

Definisi yang lebih baik dari “asli”

Bagaimanakah kamu membedakan antara orang-orang yang bermanfaat dan orang-orang yang berbahaya?

Deck mengusulkan sebuah pergeseran: dari model pertama manusia ke kerangka kerja pertama niat. pengguna asli tidak didefinisikan oleh biologi mereka tetapi oleh perilaku mereka.

Pengguna yang sebenarnya adalah:

• Authenticated: Mereka adalah siapa yang mereka klaim.
• Diizinkan: Mereka mengakses apa yang seharusnya mereka lakukan.
• Tujuan: Tindakan mereka konsisten dengan kasus penggunaan yang diketahui dan diizinkan.

Pertimbangkan agen yang dijadwalkan yang menarik data pengeluaran dari 150 akun karyawan pada akhir setiap bulan. itu diidentifikasi, ditargetkan, dan dapat diverifikasi. tetapi sebagian besar sistem menandai itu sebagai mencurigakan hanya karena masuk terlalu cepat atau mengakses terlalu banyak.

Sementara itu, manusia nyata dapat terlibat dalam aktivitas yang tidak teratur atau berbahaya yang terbang di bawah radar hanya karena mereka menggunakan browser.

Ini adalah paradigma yang salah. kita perlu membalikkannya.

Biaya tersembunyi untuk salah

Salah mengklasifikasikan agen sebagai ancaman tidak hanya menyebabkan UX yang buruk.

• Produk gagal: arus otomatis pecah diam-diam. catatan gaji tidak berjalan. laporan tidak diserahkan. data hilang.
• Customer churn: Pengguna menyalahkan produk, bukan aturan keamanan.
• Hutang rekayasa: Pengembang dipaksa untuk membuat pengecualian ad hoc.
• Titik buta keamanan: Pengecualian melemahkan sistem, membuka jalan untuk penyalahgunaan nyata.

Di Deck, satu klien telah membangun alur kerja pengaduan klaim multi-langkah yang bergantung pada agen internal yang menyinkronkan data EOB di malam hari. Ketika penyedia keamanan warisan mereka mulai membatasi tingkat agen, itu menciptakan kaskade kegagalan downstream.

Desain untuk Identitas Hibrid

Sistem modern perlu menampung manusia dan non-manusia dalam model kepercayaan mereka.

• Credentials terpisah: Jangan menggunakan kembali token manusia untuk agen.
• Intent-aware rate limits: Harapkan agen untuk bergerak cepat dan beroperasi 24/7.
• Auditabilitas: Agen harus mencatat tindakan mereka. menciptakan pipa telemetri terstruktur.
• Manajemen Siklus Kehidupan: Melacak kepemilikan agen, memutar rahasia, dan menghapus proses yang sudah usang.
• Perilaku dasar: Memantau apa yang "normal" terlihat untuk masing-masing identitas.

Perubahan Budaya dalam Keamanan

Keamanan bukan hanya tentang mengatakan "tidak." Ini tentang memungkinkan sistem untuk bekerja seperti yang dimaksudkan, dengan aman.

"Tim yang menang bukanlah yang memiliki pertahanan yang paling ketat," kata Léveillé. "Mereka yang merancang infrastruktur yang memahami perbedaan antara risiko dan gesekan."

Ini berarti :

• Beralih dari GateKeeping ke Enablement
• Menggantikan aturan deteksi blunt dengan analisis kontekstual
• Membangun tidak hanya untuk pencegahan, tetapi untuk ketahanan

Jangan takut dengan para agen, belajarlah dari mereka.

Tidak semua pengguna adalah manusia. itu bukan ancaman. itu adalah kenyataan. dan semakin, itu adalah kesempatan.

Dengan mengenali dan menghormati otomatisasi sebagai bagian dari basis pengguna, kami membuka keandalan yang lebih baik, skala yang lebih cepat, dan sistem yang lebih kuat.

Sudah saatnya kita berhenti bertanya, “Apakah ini bot?” dan mulai bertanya, “Apakah ini dipercaya?”