Përdoruesit e vërtetë nuk janë gjithmonë njerëz – dhe kjo nuk duhet t’ju frikësojë

Rethinking Kush (ose Çfarë) Ne Besojmë Online

Interneti u ndërtua mbi supozimin se njerëzit janë të vetmit përdorues të vërtetë.Ajo është gatuar në rrjedhat tona të autentifikimit, CAPTCHA-t tona, heuristikat tona të sigurisë dhe madje edhe gjuhën tonë.Ne flasim për "përdoruesit" si njerëz, dhe "botët" si kërcënime.

Por ky supozim është thyer.

Sot, disa nga lojtarët më thelbësorë në sistemet e softuerit nuk janë aspak njerëz.Ata janë agjentë: pa kokë, automatizuar, pjesë të besueshme të softuerit që bëjnë gjithçka nga marrja e të dhënave të pagave për pajtimin e kërkesave të sigurimeve për përpunimin e licencave në shkallë.Ata janë thellësisht të integruar në shërbimet që mbështetemi çdo ditë, dhe megjithatë, shumë platforma i trajtojnë ato si ndërhyrje.

“Është koha për të ndaluar ngatërrimin e automatizimit me kundërshtarët,” thotë Laurent Léveillé, Menaxher i Komunitetit në Deck. “Shumë nga këto bots nuk janë sulmues.

Trashëgimia e modeleve të besimit njerëzor

Ekipet e sigurisë kanë mbështetur prej kohësh në një heuristikë binare: njerëzit janë të mirë; makinat janë të këqija.Kjo çoi në një përhapje të CAPTCHA-ve, filtrave bot, kufizuesve të normës dhe sniffers përdorues-agjentë që nuk bëjnë dallim midis automatizimit kundërshtar dhe agjentëve produktivë.

Këto modele punuan për një kohë.Por interneti modern punon në API, punë të planifikuara dhe triggers pa server. Agjentët e brendshëm dhe integrimet e jashtme sillen si bots, sepse janë. Ata hyjnë, kërkojnë të dhëna, veprojnë në mënyrë të parashikueshme dhe nuk klikojnë rreth si një njeri.

“Ajo që ne po shohim tani është se të njëjtat heuristika të dizajnuara për të mbajtur aktorët e këqij jashtë po thyejnë rastet legjitime të përdorimit brenda”, thotë YG Leboeuf, bashkëthemelues i Deck.Nga shpërblimet e linjave ajrore tek ofruesit e sigurimeve shëndetësore"

Përkufizimi më i mirë i “të vërtetës”

Si të dalloni mes të dëmshmëve dhe të dobishmeve?

Deck propozon një ndryshim: nga modelet e para të njeriut në kornizat e para të qëllimit. përdoruesit e vërtetë nuk përcaktohen nga biologjia e tyre, por nga sjellja e tyre.

Një përdorues i vërtetë është:

• Autentifikuar: Ata janë ata që pretendojnë të jenë.
• Autorizuar: Ata janë duke hyrë në atë që ata janë të supozuar për të.
• Qëllimi: Veprimet e tyre janë në përputhje me një rast të njohur dhe të lejuar të përdorimit.

Konsideroni një agjent të planifikuar që nxjerr të dhënat e shpenzimeve nga 150 llogari të punonjësve në fund të çdo muaji. është i besueshëm, i gjerë dhe i auditueshëm. por shumica e sistemeve e shënojnë atë si të dyshimtë thjesht sepse hyni shumë shpejt ose hyni shumë.

Ndërkohë, një njeri i vërtetë mund të angazhohet në aktivitete të gabuara ose të dëmshme që fluturojnë nën radar thjesht sepse ata po përdorin një shfletues.

Kjo është një paradigmë e gabuar.Ne duhet ta kthejmë atë.

Kostot e fshehura të gabimit

Gabimi i klasifikimit të agjentëve si kërcënime nuk çon vetëm në UX të keqe.

• Dështimi i produktit: Lëvizjet automatike ndërpriten në heshtje. Paga nuk funksionon. Raportet nuk dorëzohen. Të dhënat humbasin.
• Klienti: Përdoruesit fajësojnë produktin, jo rregullat e sigurisë.
• Borxhi inxhinierik: Zhvilluesit janë të detyruar të krijojnë përjashtime ad hoc.
• Pikat e verbër të sigurisë: Përjashtimet dobësojnë sistemet, duke hapur rrugë për abuzime reale.

Në Deck, një klient kishte ndërtuar një rrjedhë pune me shumë hapa që mbështetej në një agjent të brendshëm që sinkronizonte të dhënat e EOB natën. Kur ofruesi i tyre i trashëguar i sigurisë filloi të kufizonte normën e agjentit, ai krijoi një kaskadë të dështimeve në vijim.

Dizajni për identitetin hibrid

Sistemet moderne duhet të pranojnë të dy njerëzit dhe jo-njerëzit në modelet e tyre të besimit.

• Kredencialet e ndara: Mos ri-përdorni tokenët njerëzorë për agjentë.
• Kufijtë e normës së ndërgjegjësimit: Presin që agjentët të lëvizin shpejt dhe të veprojnë 24/7.
• Auditueshmëria: Agjentët duhet të regjistrojnë veprimet e tyre.
• Menaxhimi i ciklit të jetës: Ndiqni pronësinë e agjentit, rrotulloni sekretet dhe shkatërroni proceset e vjetëruara.
• Bazat e sjelljes: Monitoroni se çfarë duket “normale” për secilën identitet.

Ndryshimi kulturor në sigurinë

Siguria nuk është vetëm për të thënë "jo".Kjo është për të lejuar sistemet për të punuar siç është planifikuar, në mënyrë të sigurt.

“Ekipet që fitojnë nuk janë ato me mbrojtjet më rigide”, thotë Léveillé. “Ata janë ata që projektojnë infrastrukturën që e kupton dallimin midis rrezikut dhe fërkimit.”

Kjo do të thotë:

• Ndryshimi nga gatimi në lehtësim
• Zëvendësimi i rregullave të zbulimit të paqartë me analizën kontekstuale
• Ndërtimi jo vetëm për parandalimin, por për rezistencën

Mos kini frikë nga agjentët, mësoni prej tyre.

Jo çdo përdorues është njeri, nuk është kërcënim, është realitet dhe gjithnjë e më shumë është mundësi.

Duke njohur dhe respektuar automatizimin si pjesë e bazës së përdoruesve, ne zbulojmë besueshmëri më të mirë, shkallë më të shpejtë dhe sisteme më të fuqishme.

Është koha që të ndalojmë së pyeturi: “A është ky një bot?” dhe të fillojmë të pyesim: “A është ky një bot i besuar?”