Connect with us

Συνεντεύξεις

Jacob Ideskog, CTO της Curity – Σειρά Συνεντεύξεων

mm
Published
Updated

Jacob Ideskog είναι ειδικός στην ταυτότητα και CTO στην Curity. Το μεγαλύτερο μέρος του χρόνου του αφιερώνεται στην εργασία με λύσεις ασφαλείας στον χώρο API και Web. Έχει εργαστεί με την σχεδίαση και την υλοποίηση λύσεων OAuth και OpenID Connect για μεγάλες επιχειρηματικές αναπτύξεις, καθώς και για μικρές startups.

Curity είναι μια σύγχρονη πλατφόρμα διαχείρισης ταυτότητας και πρόσβασης (IAM) που βασίζεται στον Curity Identity Server, μια λύση που βασίζεται σε προτυποποίηση για την ασφάλεια της αυθεντικοποίησης και της εξουσιοδότησης για εφαρμογές, APIs και ψηφιακές υπηρεσίες σε κλίμακα. Υποστηρίζει πρωτόκολλα όπως το OAuth 2.0 και το OpenID Connect για την κεντρική διαχείριση των ροών σύνδεσης, την επιβολή λεπτομερών πολιτικών πρόσβασης και την έκδοση ασφαλών token για ανθρώπινους χρήστες και μηχανικούς πελάτες, συμπεριλαμβανομένων των API και των υπηρεσιών. Η πλατφόρμα σχεδιάστηκε για ευελιξία και κλιμάκωση, επιτρέποντας στις οργανώσεις να αναπτύσσουν σε cloud, υβριδικά ή τοπικά περιβάλλοντα, να ενσωματώνουν με υπάρχοντα συστήματα και να παρέχουν ασφαλείς, ομαλές εμπειρίες χρήστη χωρίς να βασίζονται σε προσαρμοσμένες υποδομές ασφαλείας.

Έχετε περάσει μεγάλο μέρος της καριέρας σας xây dựng συστήματα ταυτότητας και ασφαλείας API, από την συν-ίδρυση της Curity έως την ηγεσία της ως CTO μέσω της άνοδος του cloud και τώρα του AI. Πώς έχει διαμορφώσει αυτό το ταξίδι την άποψή σας ότι οι πράκτορες AI πρέπει να αντιμετωπίζονται ως πρώτης τάξης ψηφιακές ταυτότητες και όχι απλώς ως άλλο ένα κομμάτι λογισμικού;

Σε κάθε πεδίο της τεχνολογίας που έχω εργαστεί, ένα ζήτημα συνεχίζει να ανακύπτει. Ανεξάρτητα από το αν πρόκειται για cloud computing ή τώρα για AI, αν το λογισμικό ενεργεί για λογαριασμό ενός ατόμου ή ενός άλλου συστήματος, υπάρχει ένα ζήτημα ταυτότητας.

Με τη μαζική υιοθέτηση των πράκτορων AI, αυτό το ζήτημα ενισχύεται. Η συμπεριφορά τους δεν είναι πλέον στενά προγραμματισμένη και λειτουργούν με ένα επίπεδο αυτονομίας που οι επιχειρήσεις δεν έχουν δει ποτέ πριν. Οι πράκτορες AI λαμβάνουν αποφάσεις, καλούν APIs και αλυσίδες ενεργειών σε διάφορα συστήματα – συχνά χωρίς άμεση εποπτεία ανθρώπων. Αυτή η συμπεριφορά δημιουργεί προκλήματα ταυτότητας και πρόσβασης που είναι θεμελιωδώς διαφορετικά από το παραδοσιακό λογισμικό.

Η αντιμετώπιση των πράκτορων AI ως πρώτης τάξης ψηφιακών ταυτότητων είναι ο μόνος τρόπος για να αντιμετωπιστούν σωστά. Αν οι οργανώσεις τους αντιμετωπίσουν απλώς ως άλλο ένα διαδικασία ή υπηρεσία, χάνουν τη видимость και τον έλεγχο πολύ γρήγορα – και αυτό είναι μια συνταγή για κρίση ασφαλείας.”

Πολυάριθμες επιχειρήσεις είναι ενθουσιασμένες με τους πράκτορες AI αλλά παραμένουν κολλημένες στην πειραματική φάση. Από ό,τι βλέπετε σε πραγματικές αναπτύξεις, ποια είναι τα πιο κοινά κενά ταυτότητας και διακυβέρνησης που εμποδίζουν τις οργανώσεις από το να κλιμακώσουν τους πράκτορες με ασφάλεια;

Η πλειονότητα των πειραμάτων πραγματοποιείται σε απομονωμένα sandbox που αγνοούν τι συμβαίνει σε κλίμακα. Κατά τη διάρκεια των πρώτων πιλότων, οι ομάδες συχνά παρέχουν στους πράκτορες ευρείες API κλειδιά, κοινά διαπιστευτήρια ή ολοκληρωμένες άδειες cloud απλώς για να ξεκινήσουν τα πράγματα.

Αυτή η προσέγγιση καταρρέει τη στιγμή που οι πράκτορες αναπτύσσονται πέρα από τους πιλότους. Αυτό συμβαίνει επειδή οι ομάδες ασφαλείας δεν μπορούν να δουν ποια δεδομένα έχει πρόσβαση ένας πράκτορας, τις ενέργειές του, ή αν μπορεί ή έχει υπερβεί τον προβλεπόμενο σκοπό του· είτε偶ώς είτε με κακόβουλη πρόθεση. Αυτά τα τυφλά σημεία καθιστούν αδύνατο να κυβερνήσουν τους πράκτορες με ασφάλεια, και αυτό είναι ο λόγος για τον οποίο πολλές οργανώσεις αγωνίζονται να προχωρήσουν πέρα από τους πιλότους.”

Έχετε υποστηρίξει ότι οι αυστηροί φραγμοί είναι απαραίτητοι για τους πράκτορες AI. Τι μοιάζει η “καλή” σχεδίαση ταυτότητας για τους πράκτορες AI στην πράξη, και όπου οι εταιρείες συνήθως κάνουν λάθος;

Η καλή σχεδίαση ταυτότητας ξεκινά από το αρχή του ελάχιστου προνομίου και των εξουσιοδοτήσεων που συνδέονται με την ρητή πρόθεση. Κάθε πράκτορας AI πρέπει να έχει τη δική του ταυτότητα, στενά περιορίζοντας τις εξουσιοδοτήσεις και καθορισμένα σχέδια εμπιστοσύνης (ρητές κανόνες για ποια συστήματα επιτρέπεται να αλληλεπιδρά). Βασικά, η πρόσβαση πρέπει να είναι δεσμευμένη σε σκοπό, περιορισμένη σε χρόνο και εύκολη να ανακληθεί.

Όπου οι εταιρείες κάνουν λάθος είναι όταν επαναχρησιμοποιούν υπάρχοντες λογαριασμούς υπηρεσιών ή υποθέτουν ότι οι εσωτερικοί πράκτορες είναι ασφαλείς από προεπιλογή. Αυτή η υπόθεση δεν ισχύει ενάντια σε πραγματικές απειλές. Οι κακόβουλοι παράγοντες ψάχνουν ακριβώς αυτά τα αδύναμα σημεία, και οι πράκτορες AI αυξάνουν δραματικά την πιθανή ακτίνα ζημιάς όταν η σχεδίαση ταυτότητας είναι χαλαρή.”

Η Curity έχει εργαστεί για πολύ καιρό με προτυποποιήσεις όπως το OAuth και το OpenID Connect. Πόσο κρίσιμο είναι οι ανοιχτές προτυποποιήσεις ταυτότητας για να κάνουν τους πράκτορες AI διαλειτουργικούς και ασφαλείς σε σύνθετα επιχειρηματικά περιβάλλοντα;

Οι ανοιχτές προτυποποιήσεις είναι απολύτως κρίσιμες. Οι επιχειρήσεις ήδη τρέχουν σύνθετα υφάσματα ταυτότητας που καλύπτουν cloud πλατφόρμες, υπηρεσίες SaaS και εσωτερικές APIs. Οι πράκτορες AI προσθέτουν ακόμη περισσότερη复잡ικότητα.

Χωρίς προτυποποιήσεις, κάθε πράκτορας γίνεται η δική του ενοποίηση και μια μόνιμη εξαίρεση ασφαλείας. Με προτυποποιήσεις όπως το OAuth και το OpenID Connect, οι πράκτορες μπορούν να αυθεντικοποιηθούν, να εξουσιοδοτηθούν και να ελεγχθούν όπως και κάθε άλλη εργασία. Αυτή είναι η μόνη προσέγγιση που μπορεί να διευκολύνει την ασφαλή κλιμάκωση σε πραγματικά επιχειρηματικά περιβάλλοντα.”

Τι κάνει τους πράκτορες AI θεμελιωδώς διαφορετικούς από τις προηγούμενες μη ανθρώπινες ταυτότητες από την άποψη ασφαλείας;

Η βασική διαφορά μεταξύ των σύγχρονων πρακτόρων AI και των παλαιότερων μη ανθρώπινων ταυτότητων (NHIs) είναι η αυτονομία. Ένας παραδοσιακός λογαριασμός υπηρεσίας κάνει ακριβώς αυτό που του λέει ο κώδικας, δεσμευμένος στενά στο καθήκον του. Ένας πράκτορας AI ερμηνεύει οδηγίες, προσαρμόζει τη συμπεριφορά του και λαμβάνει ενέργειες που δεν είχαν προγραμματιστεί ποτέ ρητά – αυξάνοντας τον potεντιαλικό κίνδυνο αν δεν υπάρχουν κατάλληλοι φραγμοί.

Ένα μικρό λάθος ταυτότητας ή πρόσβασης μπορεί να γίνει γρήγορα καταστροφή, επειδή ένας πράκτορας μπορεί να ενεργήσει με ταχύτητα και σε πολλά συστήματα. Από την άποψη ασφαλείας, αυτό παρουσιάζει einen μεγάλο κίνδυνο.”

Πόσο σημαντικά είναι τα ίχνη ελέγχου και η καταγραφή ταυτότητας για τη διακυβέρνηση των πρακτόρων AI, ιδιαίτερα σε ρυθμιζόμενους τομείς;

Τα ίχνη ελέγχου δεν πρέπει να είναι “ωραία να έχεις”. Πρέπει να χτιστούν από την αρχή. Σε ρυθμιζόμενους περιβάλλοντες, οι οργανώσεις αναμένεται να απαντήσουν σε απλές αλλά κρίσιμες ερωτήσεις: τι είχε πρόσβαση αυτός ο πράκτορας, πότε συνέβη και ποιος το εξουσιοδότησε;

Η καταγραφή ταυτότητας είναι ο μόνος αξιόπιστος τρόπος για να ληφθεί αυτό το επίπεδο ευθύνης. Παίζει επίσης κρίσιμο ρόλο στην ανταπόκριση σε περιστατικά. Χωρίς σαφή контекστό ταυτότητας, είναι σχεδόν αδύνατο να γνωρίζουμε αν ένα πρόβλημα προέρχεται από έναν δυσλειτουργικό πράκτορα, έναν παραβιασμένο λογαριασμό ταυτότητας ή απλώς μια κακή πρόκληση.”

Τι πραγματικά κίνδυνοι βλέπετε να αναδύονται όταν οι οργανώσεις αναπτύσσουν υπερ-εξουσιοδοτημένους ή κακώς παρακολουθούμενους πράκτορες AI σε παραγωγή;

Ένας κοινός κίνδυνος είναι η σιωπηλή συλλογή δεδομένων. Ένας υπερ-εξουσιοδοτημένος πράκτορας μπορεί να τραβήξει ευαίσθητα στοιχεία από πολλά συστήματα (εγγραφές πελατών, εσωτερικά έγγραφα, καταγραφές) και στη συνέχεια να εκθέσει αυτά τα δεδομένα μέσω προκλήσεων, περιλήψεων ή εξωτερικών ενσωματώσεων.

Ένας άλλος κίνδυνος είναι οι πράκτορες με διοικητική πρόσβαση να κάνουν μεγάλες αλλαγές με ταχύτητα μηχανής, προκαλώντας πολύ μεγαλύτερη ζημία από ό,τι ένας άνθρωπος θα μπορούσε σε σύντομο χρονικό διάστημα. Αυτό μπορεί να περιλαμβάνει την τροποποίηση cloud πόρων, την απενεργοποίηση ελέγχων ασφαλείας ή την ενεργοποίηση αυτοματοποιημένων εργασιών χωρίς εποπτεία.

Αυτά τα περιστατικά μπορεί να είναι κακόβουλα, αλλά δεν πρέπει να είναι. Ένας υπερ-εξουσιοδοτημένος ή κακώς παρακολουθούμενος πράκτορας θα μπορούσε απλώς να λειτουργεί με παλιές ή λανθασμένες υποθέσεις, ενισχύοντας λάθη σε πολλά συστήματα πριν κανείς το συνειδητοποιήσει.

Αλλά, από την άποψη ενός επιτιθέμενου, μια παραβιασμένη ταυτότητα πράκτορα είναι εξαιρετικά πολύτιμη. Επιτρέπει την οριζόντια κίνηση σε APIs και υπηρεσίες, συχνά με ένα επίπεδο πρόσβασης που δεν θα είχε ποτέ ένας άνθρωπος. Χωρίς ισχυρούς ελέγχους ταυτότητας και παρακολούθηση, οι οργανώσεις συχνά ανακαλύπτουν αυτές τις αποτυχίες μόνο μετά από πραγματική ζημία έχει γίνει.”

Για τις εταιρείες που μεταβαίνουν από πιλότους σε πραγματικές αναπτύξεις πρακτόρων AI, ποια αποφάσεις ταυτότητας και πρόσβασης πρέπει να ληφθούν νωρίς για να αποφευχθούν δαπανηρές ανασχεδιασμοί αργότερα;

Οι οργανώσεις πρέπει να αποφασίσουν νωρίς πώς οι πράκτορες θα εκδοθούν ταυτότητες, πώς θα εγκριθούν οι εξουσιοδοτήσεις και πώς θα ελεγχθεί η πρόσβαση με τον καιρό, ορίζοντας τα όρια ταυτότητας από την αρχή.

Η εισαγωγή ελέγχων ταυτότητας αναδρομικά είναι σχεδόν πάντα προβληματική. Οι πράκτορες είναι συχνά ενσωματωμένοι βαθιά σε ροές εργασιών χρησιμοποιώντας κοινά διαπιστευτήρια ή ευρείες ρόλους, οπότε η στενότερη πρόσβαση μετά την πραγματοποίηση σπάει τις υποθέσεις που βασίζεται το σύστημα. Αυτό τελικά προκαλεί την αποτυχία των ροών εργασιών και υπονόμευε την εμπιστοσύνη στην τεχνολογία. Είναι πολύ φθηνότερο, όχι μόνο ασφαλέστερο, να σχεδιαστούν σωστά ταυτότητες, πεδία και όρια πρόσβασης από την αρχή.”

Πού η ενοποίηση ταυτότητας γίνεται πιο συχνά ένα μπουκάλι όταν αναπτύσσεται ο πράκτορας AI, και ποίες mejores πρακτικές βοηθούν στην μείωση της τριβής;

Η διαχείριση ταυτότητας μπορεί να γίνει ένα μπουκάλι, αλλά μόνο όταν αντιμετωπίζεται ως μια μετάνοια. Οι ομάδες εστιάζουνまず στην κατασκευή εντυπωσιακών ικανοτήτων πρακτόρων και στη συνέχεια να συνειδητοποιήσουν ότι πρέπει να ενσωματωθούν με συστήματα IAM, πύλες API και πλατφόρμες καταγραφής για να είναι真正 ασφαλείς.

Η καλύτερη προσέγγιση είναι να ξεκινήσετε με μια σαφή κατανόηση και σωστή υλοποίηση πλατφορμών ταυτότητας και στη συνέχεια να σχεδιάσετε τους πράκτορες να ταιριάζουν μέσα σε αυτές. Οι οργανώσεις πρέπει να επαναχρησιμοποιήσουν τις υπάρχουσες προτυποποιήσεις και υποδομές αντί να τις παρακάμπτουν· το κόψιμο αυτής της γωνίας θα προκαλέσει αναπόφευκτα προβλήματα στο μέλλον. Όταν η ταυτότητα χτιστεί από την αρχή, επιταχύνει την ανάπτυξη αντί να την επιβραδύνει.”

Για τους ηγέτες ασφαλείας και μηχανικής που θέλουν να υιοθετήσουν τους πράκτορες AI αλλά είναι ανήσυχοι για τη διακυβέρνηση και τον κίνδυνο, ποια συμβουλή θα δώσετε καθώς σχεδιάζουν το δρόμο τους;

Σταματήστε μόνο αρκετά για να πάρτε τις βάσεις σωστά. Οι πράκτορες AI πρέπει να αντιμετωπίζονται ως ταυτότητες και έτσι πρέπει να εφαρμόσετε τη mesma διακυβέρνηση που αναμένετε για τους ανθρώπους και να επιμένετε στην ορατότητα από την αρχή. Αν μια οργάνωση κάνει αυτό, τότε η κλιμάκωση των πρακτόρων AI γίνεται ένα άσκηση ασφαλείας, όχι ένα τυφλό και επικίνδυνο βήμα πίστης.

Ευχαριστούμε για τη μεγάλη συνέντευξη, οι αναγνώστες που θέλουν να μάθουν περισσότερα πρέπει να επισκεφθούν Curity.

Related Topics:
mm

Ο Antoine είναι ένας οραματιστής ηγέτης και συνιδρυτής του Unite.AI, οδηγείται από μια αμετάβλητη страсть για το σχήμα και την προώθηση του μέλλοντος του AI και της ρομποτικής. Ένας σειριακός επιχειρηματίας, πιστεύει ότι το AI θα είναι τόσο διαταρακτικό για την κοινωνία όσο η ηλεκτρική ενέργεια, και συχνά πιάνεται να μιλάει για το δυναμικό των διαταρακτικών τεχνολογιών και του AGI.

Ως futurist, είναι αφοσιωμένος στο να εξερευνήσει πώς αυτές οι καινοτομίες θα σχήματίσουν τον κόσμο μας. Επιπλέον, είναι ο ιδρυτής του Securities.io, μια πλατφόρμα που επικεντρώνεται στις επενδύσεις σε τεχνολογίες που αναedefinουν το μέλλον και ανασχήματίσουν ολόκληρους τομείς.