Liity verkostomme!

Haastattelut

Jacob Ideskog, Curityn teknologiajohtaja – Haastattelusarja

mm
Julkaistu

Jacob Ideskog on identiteettiasiantuntija ja teknologiajohtaja Curitylla. Hän työskentelee suurimman osan ajastaan ​​API- ja web-avaruustietoturvaratkaisujen parissa. Hän on työskennellyt sekä OAuth- että OpenID Connect -ratkaisujen suunnittelussa ja toteutuksessa niin suurille yrityksille kuin pienille startup-yrityksillekin.

Kuriteetti on moderni identiteetin ja pääsynhallintajärjestelmän (IAM) alusta, joka on rakennettu Curity Identity Serverin ympärille. Se on standardeihin perustuva ratkaisu, joka on suunniteltu suojaamaan sovellusten, API-rajapintojen ja digitaalisten palveluiden todennusta ja valtuutusta laajassa mittakaavassa. Se tukee protokollia, kuten OAuth 2.0 ja OpenID Connect, kirjautumisvirtojen keskittämiseksi, tarkkojen käyttöoikeuskäytäntöjen valvomiseksi ja suojattujen tokeneiden myöntämiseksi sekä ihmiskäyttäjille että koneasiakkaille, mukaan lukien API-rajapinnat ja palvelut. Alusta on suunniteltu joustavaksi ja skaalautuvaksi, minkä ansiosta organisaatiot voivat ottaa käyttöön ratkaisuja pilvi-, hybridi- tai paikallisissa ympäristöissä, integroida olemassa oleviin järjestelmiin ja tarjota turvallisia ja saumattomia käyttökokemuksia ilman, että heidän tarvitsee luottaa räätälöityyn tietoturvainfrastruktuuriin.

Olet käyttänyt suuren osan urastasi identiteetin ja API-tietoturvajärjestelmien rakentamiseen, Curityn perustamisesta sen johtamiseen teknologiajohtajana pilvipalveluiden ja nyt tekoälyn nousun ajan. Miten tämä matka on muokannut näkemystäsi siitä, että tekoälyagentteja tulisi kohdella ensiluokkaisina digitaalisina identiteetteinä pikemminkin kuin vain yhtenä ohjelmistona?

Jokaisella teknologian alalla, jolla olen työskennellyt, yksi ongelma nousee jatkuvasti pintaan. Olipa kyseessä sitten pilvipalvelut tai tekoäly, jos ohjelmisto toimii henkilön tai toisen järjestelmän puolesta, ilmenee identiteettiongelma.

Agenttien tekoälyn massakäytön myötä tämä ongelma pahenee. Niiden toiminta ei ole enää tiukasti käsikirjoitettua, ja ne toimivat autonomialla, jota yritykset eivät ole koskaan ennen nähneet. Tekoälyagentit tekevät päätöksiä, kutsuvat API-rajapintoja ja ketjuttavat toimintoja järjestelmien välillä – usein ilman suoraa ihmisen valvontaa. Tämä toiminta luo identiteetti- ja käyttöoikeushaasteita, jotka poikkeavat perustavanlaatuisesti perinteisistä ohjelmistoista.

Ainoa tapa puuttua tähän on kohdella tekoälyagentteja ensiluokkaisina digitaalisina identiteetteinä. Jos organisaatiot kohtelevat heitä vain yhtenä prosessina tai palvelutilinä, ne menettävät näkyvyyden ja hallinnan hyvin nopeasti – ja se on resepti tietoturvakriisille.

Monet yritykset ovat innoissaan agenttipohjaisesta tekoälystä, mutta ovat jumissa kokeiluvaiheessa. Mitkä ovat yleisimmät identiteetti- ja hallintoaukot, jotka estävät organisaatioita skaalaamasta agentteja turvallisesti sen perusteella, mitä olet havainnut todellisissa käyttöönotoissa?

Suurin osa kokeiluista tapahtuu erillisissä hiekkalaatikoissa, jotka jättävät huomiotta skaalautuvan kehityksen. Varhaisissa pilottivaiheissa tiimit antavat usein agenteille laajoja API-avaimia, jaettuja tunnistetietoja tai yleisiä pilvikäyttöoikeuksia vain päästäkseen alkuun.

Tämä lähestymistapa murenee heti, kun agentteja otetaan käyttöön pilottihankkeiden jälkeen. Tämä johtuu siitä, että tietoturvatiimit eivät näe, mihin tietoihin agentti on päässyt käsiksi, sen toimia tai onko se ylittänyt tarkoitetun toiminta-alueensa, joko vahingossa tai tahallisesti. Nämä sokeat pisteet tekevät agenttien turvallisen hallinnan mahdottomaksi, minkä vuoksi monilla organisaatioilla on vaikeuksia siirtyä pilottihankkeiden jälkeen.

Olet väittänyt, että agenttisen tekoälyn on noudatettava tiukkoja suojakaiteita. Miltä "hyvä" identiteettisuunnittelu näyttää tekoälyagenteille käytännössä, ja missä yritykset tyypillisesti tekevät virheitä?

Hyvä identiteettisuunnittelu alkaa periaatteella, jossa oikeudet ovat mahdollisimman vähäisiä ja käyttöoikeudet on sidottu nimenomaiseen tarkoitukseen. Jokaisella tekoälyagentilla tulisi olla oma identiteettinsä, kapeasti rajatut käyttöoikeudet ja selkeästi määritellyt luottamussuhteet (nimenomaiset säännöt siitä, minkä järjestelmien kanssa se saa olla vuorovaikutuksessa). Pohjimmiltaan käyttöoikeuksien tulisi olla käyttötarkoitukseen sidottuja, aikarajoitettuja ja helposti peruutettavissa.

Yritykset tekevät tässä virheen käyttämällä uudelleen olemassa olevia palvelutilejä tai olettamalla, että sisäiset agentit ovat oletusarvoisesti turvassa. Tämä oletus ei kestä tosielämän uhkia. Haitalliset toimijat etsivät aktiivisesti juuri näitä heikkoja kohtia, ja tekoälyagentit lisäävät dramaattisesti mahdollista hyökkäyksen sädettä, jos identiteetin suunnittelu on huolimatonta.

Curity on pitkään työskennellyt standardien, kuten OAuth ja OpenID Connect, kanssa. Kuinka tärkeitä avoimen identiteetin standardit ovat agenttisen tekoälyn yhteentoimivuuden ja turvallisuuden varmistamiseksi monimutkaisissa yritysympäristöissä?

Avoimet standardit ovat ehdottoman tärkeitä. Yritykset käyttävät jo monimutkaisia ​​identiteettirakenteita, jotka kattavat pilvialustat, SaaS-palvelut ja sisäiset API:t. Agenttinen tekoäly vain lisää monimutkaisuutta.

Ilman standardeja jokaisesta agentista tulee oma integraationsa ja pysyvä tietoturvapoikkeus. Standardien, kuten OAuthin ja OpenID Connectin, avulla agentit voidaan todentaa, valtuuttaa ja auditoida aivan kuten mikä tahansa muu työkuorma. Tämä on ainoa lähestymistapa, joka voi mahdollistaa turvallisen skaalautumisen todellisissa yritysympäristöissä.

Ei-inhimilliset identiteetit yleistyvät palvelutileistä koneidentiteetteihin. Mikä tekee tekoälyagenteista perustavanlaatuisesti erilaisia ​​kuin aiemmat ei-inhimilliset identiteetit turvallisuuden näkökulmasta?

Keskeinen ero nykyaikaisten tekoälyagenttien ja vanhempien ei-inhimillisten identiteettien (NHI) välillä on autonomia. Perinteinen palvelutili tekee juuri sen, mitä sen koodi käskee, tiukasti tehtäväänsä sidottuna. Tekoälyagentti tulkitsee ohjeita, mukauttaa toimintaansa ja suorittaa toimia, joita ei ole koskaan erikseen käsikirjoitettu – kaikki tämä lisää mahdollista vaaraa, jos asianmukaisia ​​​​kaiteita ei ole.

Pieni identiteetti- tai käyttöoikeusvirhe voi nopeasti muuttua katastrofiksi, koska agentti voi toimia nopeasti ja useiden järjestelmien välillä. Turvallisuuden näkökulmasta tämä on merkittävä riski.

Kuinka tärkeitä auditointilokit ja identiteettipohjainen lokikirjaus ovat hallintoa tukevalle agenttiselle tekoälylle, erityisesti säännellyillä toimialoilla?

Auditointipolkujen ei pitäisi olla "kiva lisä". Ne on oltava sisäänrakennettuja alusta alkaen. Säännellyissä ympäristöissä organisaatioiden odotetaan vastaavan yksinkertaisiin mutta kriittisiin kysymyksiin: mihin tämä agentti pääsi käsiksi, milloin se tapahtui ja kuka sen valtuutti?

Identiteettiin perustuva lokikirjaus on ainoa luotettava tapa saavuttaa tuo vastuullisuustaso. Sillä on myös keskeinen rooli tapauksiin reagoinnissa. Ilman selkeää identiteettikontekstia on lähes mahdotonta tietää, johtuiko ongelma väärin toimivasta agentista, vaarantuneesta identiteetistä vai yksinkertaisesti huonosta kehotteesta.

Mitä todellisia riskejä näet syntyvän, kun organisaatiot ottavat käyttöön yli-etuoikeutettuja tai huonosti valvottuja tekoälyagentteja tuotannossa?

Yksi yleinen riski on hiljainen tiedonkeruu. Ylioikeuksien omaava agentti voi hakea arkaluonteisia tietoja useista järjestelmistä (asiakastiedot, sisäiset asiakirjat, lokit) ja sitten paljastaa nämä tiedot kehotteiden, yhteenvetojen tai ulkoisten integraatioiden avulla.

Toinen riski on se, että järjestelmänvalvojan oikeudet omaavat agentit voivat tehdä suuria muutoksia koneen nopeudella ja aiheuttaa paljon enemmän vahinkoa kuin ihminen koskaan voisi lyhyessä ajassa. Tähän voi sisältyä pilviresurssien muokkaaminen, tietoturvakontrollien poistaminen käytöstä tai automatisoitujen työnkulkujen käynnistäminen ilman valvontaa.

Nämä tapaukset voivat olla ilkivaltaisia, mutta niiden ei tarvitse olla. Yliedullinen tai huonosti valvottu agentti voi yksinkertaisesti toimia vanhentuneiden tai virheellisten oletusten perusteella ja vahvistaa virheitä useissa järjestelmissä ennen kuin kukaan huomaa niitä.

Hyökkääjän näkökulmasta vaarantunut agenttiidentiteetti on kuitenkin erittäin arvokas. Se mahdollistaa sivuttaisen liikkumisen API-rajapintojen ja palveluiden välillä, usein käyttöoikeudella, jota ihmiskäyttäjälle ei koskaan myönnettäisi. Ilman vahvaa identiteetin hallintaa ja valvontaa organisaatiot usein huomaavat nämä viat vasta, kun todellista vahinkoa on jo tapahtunut.

Yritysten, jotka siirtyvät pilottihankkeista todellisiin agenttikäyttöönottoihin, tulisi tehdä identiteetti- ja käyttöoikeuspäätöksiä ajoissa, jotta vältetään kalliit uudelleensuunnittelut myöhemmin?

Organisaatioiden tulisi päättää jo varhaisessa vaiheessa, miten agenteille myönnetään identiteetit, miten käyttöoikeudet hyväksytään ja miten käyttöoikeuksia tarkastellaan ajan kuluessa, määrittämällä identiteettien rajat etukäteen.

Identiteettihallinnan käyttöönotto takautuvasti on lähes aina ongelmallista. Agentit ovat usein syvällä työnkuluissa jaettuja tunnistetietoja tai laajoja rooleja käyttäen, joten käyttöoikeuksien rajoittaminen jälkikäteen rikkoo järjestelmän perustana olevia oletuksia. Tämä lopulta johtaa työnkulkujen epäonnistumiseen ja heikentää luottamusta teknologiaan. On paljon halvempaa ja turvallisempaa suunnitella asianmukaiset identiteetit, käyttöoikeudet ja käyttöoikeusrajat alusta alkaen.

Missä identiteetin integraatiosta tulee useimmiten pullonkaula agenttisen tekoälyn käyttöönotossa, ja mitkä parhaat käytännöt auttavat vähentämään kitkaa?

Identiteetinhallinnasta voi tulla pullonkaula, mutta vain silloin, kun sitä käsitellään jälkikäteen. Tiimit keskittyvät ensin vaikuttavien agenttiominaisuuksien rakentamiseen, vain myöhemmin tajutakseen, että ne on integroitava IAM-järjestelmiin, API-yhdyskäytäviin ja lokikirjausalustoihin ollakseen todella turvallisia.

Paras lähestymistapa on aloittaa selkeällä ymmärryksellä ja asianmukaisella toteutuksella identiteettialustoista ja sitten suunnitella agentit niihin sopiviksi. Organisaatioiden tulisi käyttää uudelleen olemassa olevia standardeja ja infrastruktuuria sen sijaan, että ne ohitettaisiin; tämän kulman ohittaminen aiheuttaa väistämättä ongelmia myöhemmin. Kun identiteetti on sisäänrakennettu alusta alkaen, se nopeuttaa käyttöönottoa hidastamisen sijaan.

Mitä neuvoja antaisit turvallisuus- ja suunnittelualan johtajille, jotka haluavat omaksua agenttisen tekoälyn, mutta ovat huolissaan hallinnosta ja riskeistä?

Hidasta vauhtia juuri sen verran, että perusasiat ovat kunnossa. Tekoälyagentteja on kohdeltava identiteetteinä, joten sinun on sovellettava samaa hallintoa kuin odotat ihmisiin ja vaadittava näkyvyyttä alusta alkaen. Jos organisaatio tekee näin, agenttisen tekoälyn skaalaamisesta tulee turvallisuusharjoitus, ei sokea ja riskialtis uskonhyppy.

Kiitos upeasta haastattelusta, lukijoiden, jotka haluavat tietää lisää, kannattaa käydä Kuriteetti.

Liittyvät aiheet:
mm

Antoine on Unite.AI:n visionäärinen johtaja ja perustajakumppani, jota ohjaa horjumaton intohimo tekoälyn ja robotiikan tulevaisuuden muotoiluun ja edistämiseen. Sarjayrittäjänä hän uskoo, että tekoäly on yhtä tuhoisa yhteiskunnalle kuin sähkö, ja hänet jää usein raivoamaan häiritsevien teknologioiden ja AGI:n mahdollisuuksista.

Kuten futurist, hän on omistautunut tutkimaan, kuinka nämä innovaatiot muokkaavat maailmaamme. Lisäksi hän on perustaja Securities.io, foorumi, joka keskittyy investoimaan huipputeknologiaan, joka määrittelee uudelleen tulevaisuuden ja muokkaa kokonaisia ​​toimialoja.