Jacob Ideskog, CTO της Curity – Σειρά Συνεντεύξεων

Τζέικομπ Ιντέσκογκ είναι Ειδικός Ταυτότητας και CTO στην Curity. Τον περισσότερο χρόνο του τον αφιερώνει σε λύσεις ασφαλείας στον χώρο των API και του Ιστού. Έχει εργαστεί τόσο στο σχεδιασμό όσο και στην υλοποίηση λύσεων OAuth και OpenID Connect για μεγάλες επιχειρήσεις καθώς και για μικρές νεοσύστατες επιχειρήσεις.

Ευθύνη είναι μια σύγχρονη πλατφόρμα διαχείρισης ταυτοτήτων και πρόσβασης (IAM) που βασίζεται στον Curity Identity Server, μια λύση βασισμένη σε πρότυπα που έχει σχεδιαστεί για να ασφαλίζει τον έλεγχο ταυτότητας και την εξουσιοδότηση για εφαρμογές, API και ψηφιακές υπηρεσίες σε μεγάλη κλίμακα. Υποστηρίζει πρωτόκολλα όπως το OAuth 2.0 και το OpenID Connect για την κεντρική διαχείριση ροών σύνδεσης, την επιβολή λεπτομερών πολιτικών πρόσβασης και την έκδοση ασφαλών διακριτικών τόσο για ανθρώπινους χρήστες όσο και για υπολογιστές-πελάτες, συμπεριλαμβανομένων των API και των υπηρεσιών. Η πλατφόρμα έχει σχεδιαστεί για ευελιξία και επεκτασιμότητα, επιτρέποντας στους οργανισμούς να αναπτύσσονται σε περιβάλλοντα cloud, υβριδικά ή on-prem, να ενσωματώνονται με υπάρχοντα συστήματα και να παρέχουν ασφαλείς, απρόσκοπτες εμπειρίες χρήστη χωρίς να βασίζονται σε προσαρμοσμένη υποδομή ασφαλείας.

Έχετε αφιερώσει μεγάλο μέρος της καριέρας σας στην ανάπτυξη συστημάτων ασφαλείας ταυτότητας και API, από τη συνίδρυση της Curity έως την ηγεσία της ως CTO κατά την άνοδο του cloud και τώρα της Τεχνητής Νοημοσύνης. Πώς έχει διαμορφώσει αυτό το ταξίδι την άποψή σας ότι οι πράκτορες της Τεχνητής Νοημοσύνης θα πρέπει να αντιμετωπίζονται ως ψηφιακές ταυτότητες πρώτης κατηγορίας και όχι απλώς ως ένα ακόμη λογισμικό;

Σε κάθε τομέα τεχνολογίας με τον οποίο έχω ασχοληθεί, ένα ζήτημα επανέρχεται συνεχώς στην επιφάνεια. Είτε πρόκειται για το cloud computing είτε τώρα για την Τεχνητή Νοημοσύνη, εάν το λογισμικό ενεργεί για λογαριασμό ενός ατόμου ή ενός άλλου συστήματος, τότε υπάρχει πρόβλημα ταυτότητας.

Με τη μαζική υιοθέτηση της τεχνητής νοημοσύνης (Agent AI), το ζήτημα αυτό επιδεινώνεται. Η συμπεριφορά τους δεν είναι πλέον αυστηρά καθορισμένη και λειτουργούν με ένα επίπεδο αυτονομίας που οι επιχειρήσεις δεν έχουν ξαναδεί. Οι πράκτορες τεχνητής νοημοσύνης λαμβάνουν αποφάσεις, καλούν API και αλυσιδώνουν ενέργειες σε όλα τα συστήματα – συχνά χωρίς άμεση ανθρώπινη εποπτεία. Αυτή η συμπεριφορά δημιουργεί προκλήσεις ταυτότητας και πρόσβασης που είναι θεμελιωδώς διαφορετικές από το παραδοσιακό λογισμικό.

Η αντιμετώπιση των πρακτόρων Τεχνητής Νοημοσύνης ως ψηφιακών ταυτοτήτων πρώτης κατηγορίας είναι ο μόνος τρόπος για να αντιμετωπιστεί σωστά αυτό το ζήτημα. Εάν οι οργανισμοί τους αντιμετωπίζουν ως απλώς μια ακόμη διαδικασία ή λογαριασμό υπηρεσίας, χάνουν πολύ γρήγορα την ορατότητα και τον έλεγχο - και αυτή είναι μια συνταγή για μια κρίση ασφάλειας.

Πολλές επιχειρήσεις είναι ενθουσιασμένες με την Τεχνητή Νοημοσύνη (Agent AI), αλλά παραμένουν κολλημένες στον πειραματισμό. Από αυτά που βλέπετε σε πραγματικές εφαρμογές, ποια είναι τα πιο συνηθισμένα κενά ταυτότητας και διακυβέρνησης που εμποδίζουν τους οργανισμούς να αναπτύξουν με ασφάλεια τους πράκτορες;

Οι περισσότεροι πειραματισμοί πραγματοποιούνται σε απομονωμένα sandboxes που αγνοούν τι συμβαίνει σε μεγάλη κλίμακα. Κατά τη διάρκεια των πρώτων πιλοτικών εφαρμογών, οι ομάδες συχνά δίνουν στους πράκτορες ευρεία κλειδιά API, κοινόχρηστα διαπιστευτήρια ή γενικά δικαιώματα cloud απλώς για να ξεκινήσουν τα πράγματα.

Αυτή η προσέγγιση καταρρέει τη στιγμή που οι πράκτορες αναπτύσσονται πέρα ​​από τα πιλοτικά προγράμματα. Αυτό συμβαίνει επειδή οι ομάδες ασφαλείας δεν μπορούν να δουν σε ποια δεδομένα έχει πρόσβαση ένας πράκτορας, τις ενέργειές του ή αν μπορεί ή έχει υπερβεί το προβλεπόμενο πεδίο εφαρμογής του, είτε κατά λάθος είτε κακόβουλα. Αυτά τα τυφλά σημεία καθιστούν αδύνατη την ασφαλή διακυβέρνηση των πρακτόρων, γι' αυτό και πολλοί οργανισμοί δυσκολεύονται να προχωρήσουν πέρα ​​από τα πιλοτικά προγράμματα.

Έχετε υποστηρίξει ότι τα αυστηρά προστατευτικά κιγκλιδώματα είναι απαραίτητα για την Τεχνητή Νοημοσύνη των πρακτόρων. Πώς μοιάζει ο «καλός» σχεδιασμός ταυτότητας για τους πράκτορες Τεχνητής Νοημοσύνης στην πράξη και πού συνήθως κάνουν λάθος οι εταιρείες;

Ο καλός σχεδιασμός ταυτότητας ξεκινά με την αρχή των ελάχιστων προνομίων και των δικαιωμάτων που συνδέονται με σαφή πρόθεση. Κάθε παράγοντας Τεχνητής Νοημοσύνης θα πρέπει να έχει τη δική του ταυτότητα, περιορισμένα δικαιώματα και σαφώς καθορισμένες σχέσεις εμπιστοσύνης (σαφείς κανόνες για τα συστήματα με τα οποία επιτρέπεται να αλληλεπιδρά). Ουσιαστικά, η πρόσβαση θα πρέπει να είναι συγκεκριμένη για τον σκοπό, χρονικά περιορισμένη και εύκολη στην ανάκληση.

Το λάθος που κάνουν οι εταιρείες είναι επειδή επαναχρησιμοποιούν υπάρχοντες λογαριασμούς υπηρεσιών ή υποθέτουν ότι οι εσωτερικοί πράκτορες είναι ασφαλείς εξ ορισμού. Αυτή η υπόθεση δεν ισχύει έναντι των απειλών του πραγματικού κόσμου. Οι κακόβουλοι δράστες αναζητούν ενεργά ακριβώς αυτά τα αδύνατα σημεία και οι πράκτορες τεχνητής νοημοσύνης αυξάνουν δραματικά την πιθανή ακτίνα έκρηξης όταν ο σχεδιασμός ταυτότητας είναι ακατάλληλος.

Η Curity συνεργάζεται εδώ και καιρό με πρότυπα όπως το OAuth και το OpenID Connect. Πόσο κρίσιμα είναι τα πρότυπα ανοιχτής ταυτότητας για να καταστεί η τεχνητή νοημοσύνη (AI) διαλειτουργική και ασφαλής σε πολύπλοκα επιχειρηματικά περιβάλλοντα;

Τα ανοιχτά πρότυπα είναι απολύτως κρίσιμα. Οι επιχειρήσεις ήδη χρησιμοποιούν πολύπλοκα συστήματα ταυτότητας που εκτείνονται σε πλατφόρμες cloud, υπηρεσίες SaaS και εσωτερικά API. Η τεχνητή νοημοσύνη προσθέτει μόνο περισσότερη πολυπλοκότητα.

Χωρίς πρότυπα, κάθε agent γίνεται η δική του ενσωμάτωση και μια μόνιμη εξαίρεση ασφαλείας. Με πρότυπα όπως το OAuth και το OpenID Connect, οι agent μπορούν να πιστοποιηθούν, να εξουσιοδοτηθούν και να ελεγχθούν όπως ακριβώς και κάθε άλλο φόρτο εργασίας. Αυτή είναι η μόνη προσέγγιση που μπορεί να διευκολύνει την ασφαλή κλιμάκωση σε πραγματικά εταιρικά περιβάλλοντα.

Οι μη ανθρώπινες ταυτότητες γίνονται όλο και πιο συνηθισμένες, από λογαριασμούς υπηρεσιών έως ταυτότητες μηχανών. Τι κάνει τους πράκτορες Τεχνητής Νοημοσύνης να διαφέρουν θεμελιωδώς από τις προηγούμενες μη ανθρώπινες ταυτότητες από άποψη ασφάλειας;

Η βασική διαφορά μεταξύ των σύγχρονων πρακτόρων Τεχνητής Νοημοσύνης (ΤΝ) και των παλαιότερων μη ανθρώπινων ταυτοτήτων (ΝΧΙ) είναι η αυτονομία. Ένας παραδοσιακός λογαριασμός υπηρεσίας κάνει ακριβώς αυτό που του λέει ο κώδικά του, δεσμευμένος αυστηρά με την εργασία του. Ένας πράκτορας ΤΝ ερμηνεύει οδηγίες, προσαρμόζει τη συμπεριφορά του και εκτελεί ενέργειες που δεν έχουν ποτέ προβλεφθεί ρητά – όλα αυτά αυξάνουν τον πιθανό κίνδυνο εάν δεν υπάρχουν κατάλληλα προστατευτικά κιγκλιδώματα.

Ένα μικρό σφάλμα ταυτότητας ή πρόσβασης μπορεί γρήγορα να μετατραπεί σε καταστροφή, επειδή ένας πράκτορας μπορεί να ενεργεί με ταχύτητα και σε πολλά συστήματα. Από άποψη ασφάλειας, αυτό αποτελεί σημαντικό κίνδυνο.

Πόσο σημαντικά είναι τα ίχνη ελέγχου και η καταγραφή βάσει ταυτότητας για τη διακυβέρνηση της Τεχνητής Νοημοσύνης των πρακτόρων, ειδικά σε ρυθμιζόμενους κλάδους;

Τα ίχνη ελέγχου δεν θα έπρεπε να είναι «καλό να υπάρχουν». Πρέπει να ενσωματώνονται από την αρχή. Σε ρυθμιζόμενα περιβάλλοντα, οι οργανισμοί αναμένεται να απαντούν σε απλά αλλά κρίσιμα ερωτήματα: σε τι είχε πρόσβαση αυτός ο πράκτορας, πότε συνέβη και ποιος το ενέκρινε;

Η καταγραφή βάσει ταυτότητας είναι ο μόνος αξιόπιστος τρόπος για να επιτευχθεί αυτό το επίπεδο λογοδοσίας. Παίζει επίσης βασικό ρόλο στην αντιμετώπιση περιστατικών. Χωρίς σαφές πλαίσιο ταυτότητας, είναι σχεδόν αδύνατο να γνωρίζουμε εάν ένα πρόβλημα προήλθε από έναν άτακτο παράγοντα, παραβίαση ταυτότητας ή απλώς από μια εσφαλμένη προτροπή.

Ποιους πραγματικούς κινδύνους βλέπετε να αναδύονται όταν οι οργανισμοί αναπτύσσουν υπερβολικά προνομιούχους ή ανεπαρκώς παρακολουθούμενους πράκτορες Τεχνητής Νοημοσύνης στην παραγωγή;

Ένας συνηθισμένος κίνδυνος είναι η σιωπηλή συσσωμάτωση δεδομένων. Ένας παράγοντας με υπερβολικά προνόμια μπορεί να αντλήσει ευαίσθητες πληροφορίες από πολλά συστήματα (αρχεία πελατών, εσωτερικά έγγραφα, αρχεία καταγραφής) και στη συνέχεια να εκθέσει αυτά τα δεδομένα μέσω μηνυμάτων, περιλήψεων ή εξωτερικών ενσωματώσεων.

Ένας άλλος κίνδυνος είναι οι πράκτορες με πρόσβαση διαχειριστή να κάνουν σημαντικές αλλαγές με την ταχύτητα της μηχανής, προκαλώντας πολύ μεγαλύτερη ζημιά από όση θα μπορούσε ποτέ ένας άνθρωπος σε σύντομο χρονικό διάστημα. Αυτό μπορεί να περιλαμβάνει την τροποποίηση πόρων cloud, την απενεργοποίηση των ελέγχων ασφαλείας ή την ενεργοποίηση αυτοματοποιημένων ροών εργασίας χωρίς εποπτεία.

Αυτά τα περιστατικά μπορεί να είναι κακόβουλα, αλλά δεν χρειάζεται να είναι. Ένας υπερβολικά προνομιούχος ή κακώς παρακολουθούμενος παράγοντας θα μπορούσε απλώς να λειτουργεί με βάση ξεπερασμένες ή λανθασμένες υποθέσεις, ενισχύοντας τα λάθη σε πολλά συστήματα πριν καν κάποιος τα προσέξει.

Ωστόσο, από την οπτική γωνία ενός εισβολέα, η ταυτότητα ενός παράγοντα που έχει παραβιαστεί είναι εξαιρετικά πολύτιμη. Επιτρέπει την πλευρική μετακίνηση μεταξύ API και υπηρεσιών, συχνά με ένα επίπεδο πρόσβασης που δεν θα μπορούσε ποτέ να χορηγηθεί σε κανέναν ανθρώπινο χρήστη. Χωρίς ισχυρούς ελέγχους ταυτότητας και παρακολούθηση, οι οργανισμοί συχνά ανακαλύπτουν αυτές τις αποτυχίες μόνο αφού έχει προκληθεί πραγματική ζημιά.

Για τις εταιρείες που μεταβαίνουν από πιλοτικές εφαρμογές σε πραγματικές εφαρμογές πρακτόρων, ποιες αποφάσεις ταυτότητας και πρόσβασης θα πρέπει να ληφθούν νωρίς για να αποφευχθούν οι δαπανηροί επανασχεδιασμοί αργότερα;

Οι οργανισμοί θα πρέπει να αποφασίσουν νωρίς για τον τρόπο με τον οποίο εκδίδονται οι ταυτότητες στους εκπροσώπους, τον τρόπο με τον οποίο εγκρίνονται τα δικαιώματα και τον τρόπο με τον οποίο ελέγχεται η πρόσβαση με την πάροδο του χρόνου, ορίζοντας εκ των προτέρων τα όρια ταυτότητας.

Η αναδρομική εισαγωγή ελέγχων ταυτότητας είναι σχεδόν πάντα προβληματική. Οι πράκτορες συχνά ενσωματώνονται βαθιά στις ροές εργασίας χρησιμοποιώντας κοινόχρηστα διαπιστευτήρια ή ευρείς ρόλους, επομένως η αυστηροποίηση της πρόσβασης εκ των υστέρων καταρρίπτει τις υποθέσεις στις οποίες βασίζεται το σύστημα. Αυτό τελικά προκαλεί την αποτυχία των ροών εργασίας και υπονομεύει την εμπιστοσύνη στην τεχνολογία. Είναι πολύ φθηνότερο, για να μην αναφέρουμε ότι είναι πολύ ασφαλέστερο, να σχεδιάζονται σωστές ταυτότητες, πεδία εφαρμογής και όρια πρόσβασης από την αρχή.

Πού η ενσωμάτωση ταυτότητας γίνεται συχνότερα εμπόδιο κατά την ανάπτυξη της τεχνητής νοημοσύνης (Agent AI) και ποιες βέλτιστες πρακτικές συμβάλλουν στη μείωση των τριβών;

Η διαχείριση ταυτοτήτων μπορεί να αποτελέσει εμπόδιο, αλλά μόνο όταν αντιμετωπίζεται ως δεύτερη σκέψη. Οι ομάδες επικεντρώνονται πρώτα στην ανάπτυξη εντυπωσιακών δυνατοτήτων των πρακτόρων, για να συνειδητοποιήσουν αργότερα ότι πρέπει να ενσωματωθούν με συστήματα IAM, πύλες API και πλατφόρμες καταγραφής για να είναι πραγματικά ασφαλείς.

Η καλύτερη προσέγγιση είναι να ξεκινήσετε με μια σαφή κατανόηση και σωστή εφαρμογή των πλατφορμών ταυτότητας και στη συνέχεια να σχεδιάσετε πράκτορες που να ταιριάζουν σε αυτές. Οι οργανισμοί θα πρέπει να επαναχρησιμοποιούν τα υπάρχοντα πρότυπα και υποδομές αντί να τα παρακάμπτουν. Η αποφυγή αυτού του προβλήματος αναπόφευκτα θα προκαλέσει προβλήματα στο μέλλον. Όταν η ταυτότητα ενσωματώνεται από την αρχή, επιταχύνει την ανάπτυξη αντί να την επιβραδύνει.

Για τους ηγέτες ασφάλειας και μηχανικής που θέλουν να υιοθετήσουν την τεχνητή νοημοσύνη αλλά ανησυχούν για τη διακυβέρνηση και τον κίνδυνο, ποιες συμβουλές θα δίνατε καθώς σχεδιάζουν τον οδικό τους χάρτη;

Επιβραδύνετε όσο χρειάζεται για να θέσετε σωστά τα θεμέλια. Οι πράκτορες της Τεχνητής Νοημοσύνης πρέπει να αντιμετωπίζονται ως ταυτότητες και επομένως πρέπει να εφαρμόσετε την ίδια διακυβέρνηση που περιμένετε από τους ανθρώπους και να επιμείνετε στην ορατότητα από την αρχή. Εάν ένας οργανισμός το κάνει αυτό, τότε η κλιμάκωση της πρακτικής Τεχνητής Νοημοσύνης γίνεται μια άσκηση ασφάλειας και όχι ένα τυφλό και επικίνδυνο άλμα πίστης.

Σας ευχαριστούμε για την υπέροχη συνέντευξη, οι αναγνώστες που επιθυμούν να μάθουν περισσότερα πρέπει να το επισκεφτούν Ευθύνη.