Pravi korisnici nisu uvek ljudi – i to vas ne bi trebalo uplašiti

Премислите Коме (или Шта) Верујемо Онлине

Интернет је изграђен на претпоставци да су људи једини прави корисници. Печено је у наше протоке аутентификације, наше ЦАПТЦХА, нашу сигурносну еуристику, па чак и наш језик. Говоримо о "корисницима" као људима, а "ботови" као претњама.

Али та претпоставка је прекинута.

Данас, неки од најважнијих актера у софтверским системима уопште нису људи. они су агенти: безглавни, аутоматизовани, акредитовани комади софтвера који раде све од прикупљања података о плаћању до помирења захтева за осигурање до обраде накнада на скали.

„Време је да престанемо да мешамо аутоматизацију са противницима“, каже Лоран Левеиле, менаџер заједнице у Децку. „Многи од ових ботова нису нападачи.

Наслеђе људско-центричних модела поверења

Bezbednosni timovi su se dugo oslanjali na binarnu heuristiku: ljudi su dobri, mašine su loše.To je dovelo do proliferacije CAPTCHA, bot filtera, limitera stope i sniffera korisničkog agenta koji ne razlikuju protivničku automatizaciju i produktivne agente.

Ови модели су радили неко време.Али савремени интернет ради на АПИ-има, распоређеним пословима и изазивачима без сервера.Унутрашњи агенти и спољне интеграције се понашају као ботови, јер су.

"Оно што сада видимо је да исте еуристике дизајниране да задрже лоше глумце разбијају легитимне случајеве употребе унутра", каже ИГ Боеуф, суоснивач Децк-а.од награда авио-компанија до здравствених осигуравача"

Bolja definicija reči „istina“

Како разликовати штетне ботове и корисне?

Deck predlaže promenu: od ljudi-prvi modeli na nameru-prvi okviri.

Прави корисник је:

• Аутентификовани: Они су оно што тврде да су.
• Дозвољено: Они приступају ономе што треба да буду.
• Сврсисходно: Њихове акције су у складу са познатим и дозвољеним случајем употребе.

Размислите о планираном агенту који извлачи податке о трошковима са 150 рачуна запослених на крају сваког месеца.Он је акредитован, опсежан и ревидиран.Али већина система га обележава као сумњиво једноставно зато што се пријављује пребрзо или приступа превише.

У међувремену, прави човек би могао да се укључи у нерационалну или злонамерну активност која лети под радаром једноставно зато што користе претраживач.

Ово је парадигма са недостацима.Морамо је преокренути.

Скривени трошкови грешења

Погрешно класификовање агената као претњи не доводи само до лошег УКС-а.

• Неуспех производа: Аутоматски токови се тихо прекидају. Плаћање се не покреће. Извештаји се не подносе. Подаци су изгубљени.
• Korisnici krive proizvod, a ne bezbednosna pravila.
• Инжењерски дуг: Програмери су приморани да створе адхоц изузеци.
• Сигурност слепих тачака: Изузеци слабе системе, отварајући путеве за стварну злоупотребу.

На Децк-у, један клијент је изградио вишестепени радни ток захтева за жалбе који се ослањао на интерни агент који синхронизује ЕОБ податке ноћу.Када је њихов наследни сигурносни провајдер почео да ограничава стопу агента, створио је каскаду неуспјеха у наставку.

Дизајн за хибридни идентитет

Модерни системи морају примијенити и људе и не-људе у својим моделима поверења.

• Одвојене верификације: Немојте поново користити људске токене за агенте.
• Intent-aware rate limits: Expect agents to move fast and operate 24/7. Throttle by role, not raw volume.
• Аудитабилност: Агенти треба да евидентирају своје акције.
• Управљање животним циклусом: пратите власништво агента, ротирајте тајне и одбаците застареле процесе.
• Behavioral baselines: Мониторинг шта "нормално" изгледа за сваки идентитет.

Kulturna promena u bezbednosti

Bezbednost nije samo reč o rečima „ne“, već i o omogućavanju sistemima da rade kako su nameravali, bezbedno.

„Timovi koji pobeđuju nisu oni koji imaju najtvrđe odbrane“, kaže Léveillé. „Oni su oni koji dizajniraju infrastrukturu koja razume razliku između rizika i trenja.“

To znači:

• Прелазак са врата на омогућавање
• Замена правила за нејасно откривање са контекстуалном анализом
• Изградња не само за превенцију, већ и за отпорност

Ne plašite se agenata, učite od njih.

Nije svaki korisnik ljudski.To nije pretnja.To je realnost.I sve više, to je prilika.

Prepoznajući i poštujući automatizaciju kao deo korisničke baze, otključavamo bolju pouzdanost, brži skali i jače sisteme.

Време је да престанемо да питамо: "Да ли је ово бот?" и почнемо да питамо: "Да ли је ово поуздано?"