Ποιους (ή τι) εμπιστευόμαστε στο διαδίκτυο Ποιους (ή τι) εμπιστευόμαστε στο διαδίκτυο Το Διαδίκτυο χτίστηκε με βάση την υπόθεση ότι οι άνθρωποι είναι οι μόνοι γνήσιοι χρήστες. έχει μαγειρευτεί στις ροές ταυτοποίησης μας, τα CAPTCHAs μας, την ευρωσυστημική ασφαλείας μας και ακόμη και τη γλώσσα μας. Αλλά αυτή η υπόθεση σπάει. Σήμερα, μερικοί από τους πιο ουσιώδεις παράγοντες στα συστήματα λογισμικού δεν είναι καθόλου άνθρωποι. είναι πράκτορες: κεφάλια, αυτοματοποιημένα, πιστοποιητικά κομμάτια λογισμικού που κάνουν τα πάντα από την ανάκτηση δεδομένων μισθοδοσίας για τη συμφιλίωση ασφαλιστικών απαιτήσεων για την επεξεργασία δικαιωμάτων σε κλίμακα. είναι βαθιά ενσωματωμένα στις υπηρεσίες που βασιζόμαστε κάθε μέρα, και παρόλα αυτά, πολλές πλατφόρμες τις αντιμετωπίζουν ως παρεμβολές. «Είναι καιρός να σταματήσουμε να συγχέουμε την αυτοματοποίηση με τους αντιπάλους», λέει ο Laurent Léveillé, Community Manager της Deck. «Πολλοί από αυτούς τους bots δεν είναι επιτιθέμενοι. Η κληρονομιά των ανθρωποκεντρικών μοντέλων εμπιστοσύνης Η κληρονομιά των ανθρωποκεντρικών μοντέλων εμπιστοσύνης Οι ομάδες ασφαλείας έχουν από καιρό βασιστεί σε μια δυαδική ευριστική: οι άνθρωποι είναι καλοί, οι μηχανές είναι κακές.Αυτό οδήγησε σε μια εξάπλωση των CAPTCHA, των φίλτρων bot, των περιοριστών ποσοστώσεων και των sniffers χρήστη-agent που δεν κάνουν καμία διάκριση μεταξύ αντιπάλων αυτοματισμού και παραγωγικών πράκτορες. Αυτά τα μοντέλα λειτούργησαν για κάποιο χρονικό διάστημα.Αλλά το σύγχρονο Διαδίκτυο τρέχει με API, προγραμματισμένες εργασίες και ενεργοποιητές χωρίς διακομιστή.Οι εσωτερικοί πράκτορες και οι εξωτερικές ενσωματώσεις συμπεριφέρονται ακριβώς όπως τα bots, επειδή είναι. «Αυτό που βλέπουμε τώρα είναι ότι οι ίδιες ευριστικές που έχουν σχεδιαστεί για να κρατήσουν τους κακούς ηθοποιούς έξω σπάζουν τις νόμιμες περιπτώσεις χρήσης μέσα», λέει ο YG Leboeuf, συνιδρυτής της Deck. Από τις ανταμοιβές των αεροπορικών εταιρειών στους παρόχους ασφάλισης υγείας " Καλύτερος ορισμός του «πραγματικού» Καλύτερος ορισμός του «πραγματικού» Πώς να διακρίνετε τα επιβλαβή bots από τα χρήσιμα; Ο Deck προτείνει μια αλλαγή: από τα πρώτα μοντέλα του ανθρώπου στα πρώτα πλαίσια της πρόθεσης.Οι πραγματικοί χρήστες δεν ορίζονται από τη βιολογία τους, αλλά από τη συμπεριφορά τους. Ένας πραγματικός χρήστης είναι: Αυθεντικοί: Είναι αυτοί που ισχυρίζονται ότι είναι. Επιτρέπεται: Έχουν πρόσβαση σε αυτό που υποτίθεται ότι είναι. Σκοπός: Οι ενέργειές τους είναι συνεπείς με μια γνωστή και επιτρεπόμενη περίπτωση χρήσης. Σκεφτείτε έναν προγραμματισμένο πράκτορα που αντλεί δεδομένα δαπανών από 150 λογαριασμούς υπαλλήλων στο τέλος κάθε μήνα. είναι διαπιστευμένο, στοχευμένο και ελεγχόμενο. αλλά τα περισσότερα συστήματα το σηματοδοτούν ως ύποπτο απλά επειδή συνδέεται πολύ γρήγορα ή αποκτά υπερβολική πρόσβαση. Εν τω μεταξύ, ένας πραγματικός άνθρωπος θα μπορούσε να συμμετάσχει σε ασταθή ή κακόβουλη δραστηριότητα που πετάει κάτω από το ραντάρ απλά και μόνο επειδή χρησιμοποιεί ένα πρόγραμμα περιήγησης. Αυτό είναι ένα ελαττωματικό πρότυπο.Πρέπει να το ανατρέψουμε. Το κρυφό κόστος του να κάνεις λάθος Το κρυφό κόστος του να κάνεις λάθος Η λανθασμένη ταξινόμηση των παραγόντων ως απειλών δεν οδηγεί μόνο σε κακή UX. Αποτυχία προϊόντος: Οι αυτοματοποιημένες ροές διακόπτονται σιωπηλά. η καταγραφή μισθών δεν εκτελείται. οι αναφορές δεν υποβάλλονται. τα δεδομένα χάνονται. Οι χρήστες φταίνε για το προϊόν, όχι για τους κανόνες ασφαλείας. Μηχανικό χρέος: Οι προγραμματιστές αναγκάζονται να δημιουργήσουν ad hoc εξαιρέσεις. Σημεία ασφαλείας: Οι εξαιρέσεις αποδυναμώνουν τα συστήματα, ανοίγοντας δρόμους για πραγματικές καταχρήσεις. Στο Deck, ένας πελάτης είχε δημιουργήσει μια ροή εργασίας πολλαπλών βημάτων που βασιζόταν σε έναν εσωτερικό πράκτορα που συγχρονίζει τα δεδομένα EOB τη νύχτα.Όταν ο παροχέας ασφαλείας της κληρονομιάς τους άρχισε να περιορίζει το ποσοστό του πράκτορα, δημιούργησε ένα φάσμα αποτυχιών προς τα κάτω. Σχεδιασμός για την υβριδική ταυτότητα Σχεδιασμός για την υβριδική ταυτότητα Τα σύγχρονα συστήματα πρέπει να φιλοξενήσουν τόσο ανθρώπους όσο και μη ανθρώπους στα μοντέλα εμπιστοσύνης τους. Ξεχωριστά διαπιστευτήρια: Μην επαναχρησιμοποιείτε ανθρώπινα tokens για πράκτορες. Περιμένετε από τους πράκτορες να κινούνται γρήγορα και να λειτουργούν 24/7. Auditability: Οι πράκτορες θα πρέπει να καταγράφουν τις ενέργειές τους. Διαχείριση κύκλου ζωής: Παρακολουθήστε την ιδιοκτησία του πράκτορα, περιστρέψτε τα μυστικά και αφαιρέστε τις ξεπερασμένες διαδικασίες. Βασικές γραμμές συμπεριφοράς: Παρακολούθηση του τι φαίνεται «κανονικό» για κάθε ταυτότητα. Πολιτιστική αλλαγή στην ασφάλεια Πολιτιστική αλλαγή στην ασφάλεια Η ασφάλεια δεν είναι μόνο για να πείτε "όχι".Είναι για να επιτρέψετε στα συστήματα να λειτουργούν όπως προορίζονται, με ασφάλεια. «Οι ομάδες που κερδίζουν δεν είναι αυτές με τις πιο άκαμπτες άμυνες», λέει ο Léveillé. «Είναι αυτές που σχεδιάζουν υποδομές που κατανοούν τη διαφορά μεταξύ κινδύνου και τριβής». Αυτό σημαίνει : Μετακίνηση από τη διατήρηση της πόρτας στην ενίσχυση Αντικατάσταση των κανόνων άμεσης ανίχνευσης με την ανάλυση περιβάλλοντος Χτίζοντας όχι μόνο για την πρόληψη, αλλά για την ανθεκτικότητα Μην φοβάστε τους πράκτορες, μάθετε από αυτούς. Μην φοβάστε τους πράκτορες, μάθετε από αυτούς. Δεν είναι κάθε χρήστης άνθρωπος, δεν είναι απειλή, είναι πραγματικότητα και όλο και περισσότερο είναι ευκαιρία. Αναγνωρίζοντας και σεβόμενοι την αυτοματοποίηση ως μέρος της βάσης χρηστών, αποκλείουμε καλύτερη αξιοπιστία, ταχύτερη κλίμακα και ισχυρότερα συστήματα. Είναι καιρός να σταματήσουμε να ρωτάμε: «Είναι αυτό ένα bot;» και να αρχίσουμε να ρωτάμε: «Είναι αυτό αξιόπιστο;»
