Conheça quem (ou o que) você confia na internet
Conheça quem (ou o que) você confia na internetA internet foi construída com base na suposição de que os seres humanos são os únicos usuários genuínos. É cozido em nossos fluxos de autenticação, nossos CAPTCHAs, nossas heurísticas de segurança e até mesmo nossa linguagem.
Mas essa suposição está sendo quebrada.
Hoje, alguns dos atores mais essenciais nos sistemas de software não são humanos, eles são agentes: peças de software sem cabeça, automatizadas, credenciadas que fazem tudo, desde recuperar dados de salários até conciliar reivindicações de seguros até processar royalties em escala.
“É hora de parar de confundir a automação com adversários”, diz Laurent Léveillé, Community Manager da Deck. “Muitos desses bots não são atacantes.
O legado dos modelos de confiança centrados no ser humano
O legado dos modelos de confiança centrados no ser humanoAs equipes de segurança dependem há muito de uma heurística binária: os humanos são bons; as máquinas são ruins.Isso levou a uma proliferação de CAPTCHAs, filtros de bot, limitadores de taxa e sniffers de agente de usuário que não fazem distinção entre automação adversária e agentes produtivos.
Esses modelos funcionaram por um tempo.Mas a internet moderna funciona com APIs, tarefas agendadas e gatilhos sem servidor. Agentes internos e integrações externas se comportam como bots, porque são.
“O que estamos vendo agora é que as mesmas heurísticas projetadas para manter os maus atores fora estão quebrando casos legítimos de uso dentro”, diz YG Leboeuf, co-fundador da Deck.de recompensas de companhias aéreas para provedores de seguros de saúde"
Melhor definição de “verdadeiro”
Melhor definição de “verdadeiro”Então, como você distingue entre bots prejudiciais e úteis?
Deck propõe uma mudança: de modelos humanos-primeiros para frameworks intencionais-primeiros. usuários genuínos não são definidos por sua biologia, mas por seu comportamento.
Um usuário real é:
- Autenticação: Eles são quem eles afirmam ser.
- Permitido: Eles estão acessando o que eles devem.
- Objetivo: suas ações são consistentes com um caso de uso conhecido e permitido.
Considere um agente agendado que extraia dados de despesas de 150 contas de funcionários no final de cada mês. é credenciado, estendido e audível. Mas a maioria dos sistemas marca-o como suspeito simplesmente porque ele entra muito rápido ou acessa muito.
Enquanto isso, um humano real poderia se envolver em atividade errática ou maliciosa que voa sob o radar simplesmente porque eles estão usando um navegador.
Este é um paradigma defeituoso, precisamos reverter.
Os custos ocultos de errar
Os custos ocultos de errarMisclassificar agentes como ameaças não leva apenas a UX ruim.
- Falha do produto: os fluxos automáticos são interrompidos silenciosamente. o salário não é executado. os relatórios não são arquivados. os dados são perdidos.
- Cliente: Os usuários culpam o produto, não as regras de segurança.
- Dívida de engenharia: os desenvolvedores são forçados a criar exceções ad hoc.
- Pontos cegos de segurança: as exceções enfraquecem os sistemas, abrindo caminhos para o abuso real.
Na Deck, um cliente tinha construído um fluxo de trabalho de reclamações em várias etapas que dependia de um agente interno sincronizando dados do EOB durante a noite.Quando seu provedor de segurança legado começou a limitar a taxa do agente, criou uma cascata de falhas a jusante.
Design para identidade híbrida
Design para identidade híbridaOs sistemas modernos precisam acomodar humanos e não humanos em seus modelos de confiança.
- Credenciais separadas: Não reutilize tokens humanos para agentes.
- Limites de taxa consciente da intenção: Espere que os agentes se movam rapidamente e operem 24/7.
- Auditabilidade: os agentes devem registrar suas ações. Criar pipelines de telemetria estruturados.
- Gerenciamento do ciclo de vida: rastrear a propriedade do agente, rotar segredos e desfazer processos desatualizados.
- Básicos comportamentais: monitore o que parece “normal” para cada identidade.
Uma mudança cultural na segurança
Uma mudança cultural na segurançaSegurança não é apenas sobre dizer "não."É sobre permitir que os sistemas funcionem como pretendido, com segurança.
"As equipes que ganham não são as que têm as defesas mais rígidas", diz Léveillé. "São as que projetam infraestrutura que entende a diferença entre risco e atrito".
Isso significa:
- Mudança do gatekeeping para habilitação
- Replacing blunt detection rules with contextual analysis
- Construindo não apenas para a prevenção, mas para a resiliência
Não tenha medo dos agentes, aprenda com eles.
Não tenha medo dos agentes, aprenda com eles.Nem todo usuário é humano.Não é uma ameaça.É uma realidade.E cada vez mais, é uma oportunidade.
Ao reconhecer e respeitar a automação como parte da base de usuários, desbloqueamos melhor confiabilidade, escala mais rápida e sistemas mais fortes.
É hora de parar de perguntar: “Isso é um bot?” e começar a perguntar: “Isso é confiável?”
