Connect with us

जैकब आइडेस्कोग, सीटीओ ऑफ़ क्यूरिटी – साक्षात्कार श्रृंखला

साक्षात्कार

जैकब आइडेस्कोग, सीटीओ ऑफ़ क्यूरिटी – साक्षात्कार श्रृंखला

mm
Published
Updated

जैकब आइडेस्कोग एक पहचान विशेषज्ञ और क्यूरिटी में सीटीओ हैं। अधिकांश समय वह एपीआई और वेब स्पेस में सुरक्षा समाधानों पर काम करते हैं। उन्होंने बड़े उद्यम वितरण और छोटे स्टार्टअप दोनों के लिए ओएथ और ओपनआईडी कनेक्ट समाधानों को डिज़ाइन और लागू करने के साथ काम किया है।

क्यूरिटी एक आधुनिक पहचान और पहुंच प्रबंधन (आईएएम) प्लेटफ़ॉर्म है, जो क्यूरिटी पहचान सर्वर के आसपास बनाया गया है, जो एक मानक-आधारित समाधान है जो एप्लिकेशन, एपीआई और डिजिटल सेवाओं के लिए प्रमाणीकरण और प्राधिकरण को सुरक्षित करने के लिए डिज़ाइन किया गया है। यह ओएथ 2.0 और ओपनआईडी कनेक्ट जैसे प्रोटोकॉल का समर्थन करता है ताकि लॉगिन प्रवाह को केंद्रीकृत किया जा सके, महीन-दाने वाली पहुंच नीतियों को लागू किया जा सके और मानव उपयोगकर्ताओं और मशीन क्लाइंट,包括 एपीआई और सेवाओं के लिए सुरक्षित टोकन जारी किए जा सकें। प्लेटफ़ॉर्म को लचीलापन और स्केलेबिलिटी के लिए डिज़ाइन किया गया है, जिससे संगठनों को क्लाउड, हाइब्रिड या ऑन-प्रीमिसेस वातावरण में तैनात करने, मौजूदा प्रणालियों के साथ एकीकृत करने और सुरक्षित, निर्बाध उपयोगकर्ता अनुभव प्रदान करने की अनुमति मिलती है बिना कस्टम-निर्मित सुरक्षा बुनियादी ढांचे पर निर्भर हुए।

आपने अपने करियर का अधिकांश भाग पहचान और एपीआई सुरक्षा प्रणालियों को बनाने में बिताया है, क्यूरिटी की सह-स्थापना से लेकर सीटीओ के रूप में इसका नेतृत्व करने तक, बादल और अब एआई के उदय के माध्यम से। यह यात्रा आपके दृष्टिकोण को कैसे आकार देती है कि एआई एजेंटों को पहले दर्जे की डिजिटल पहचान के रूप में माना जाना चाहिए, न कि केवल एक और सॉफ़्टवेयर?

प्रौद्योगिकी के हर क्षेत्र में जहां मैंने काम किया है, एक मुद्दा बार-बार सामने आता है। चाहे वह बादल कंप्यूटिंग हो या अब एआई, यदि सॉफ़्टवेयर किसी व्यक्ति या अन्य प्रणाली की ओर से कार्य कर रहा है, तो आपके पास एक पहचान समस्या है।

एजेंटिक एआई के बड़े पैमाने पर अपनाने के साथ, यह मुद्दा और भी जटिल हो जाता है। उनका व्यवहार अब कड़ाई से निर्धारित नहीं है और वे एक स्तर की स्वायत्तता के साथ कार्य करते हैं जिसे उद्यमों ने पहले कभी नहीं देखा है। एआई एजेंट निर्णय लेते हैं, एपीआई को कॉल करते हैं और प्रणालियों के पार कार्रवाई को श्रृंखला में रखते हैं – अक्सर मानव पर्यवेक्षण के बिना। यह व्यवहार पहचान और पहुंच चुनौतियां पैदा करता है जो पारंपरिक सॉफ़्टवेयर से मूल रूप से अलग हैं।

एआई एजेंटों को पहले दर्जे की डिजिटल पहचान के रूप में मानना ​​ही इसे ठीक से संबोधित करने का एकमात्र तरीका है। यदि संगठन उन्हें केवल एक और प्रक्रिया या सेवा खाते के रूप में मानते हैं, तो वे जल्दी से दृश्यता और नियंत्रण खो देते हैं – और यह एक सुरक्षा संकट के लिए एक नुस्खा है।”

कई उद्यम एजेंटिक एआई के बारे में उत्साहित हैं, लेकिन प्रयोग में फंसे हुए हैं। वास्तविक तैनाती में से क्या आप देख रहे हैं, पहचान और शासन के सबसे सामान्य अंतराल क्या हैं जो संगठनों को एजेंटों को सुरक्षित रूप से स्केल करने से रोकते हैं?

अधिकांश प्रयोग अलग-थलग रेतीले तटों में होते हैं जो पैमाने पर क्या होता है उसे नजरअंदाज करते हैं। शुरुआती पायलटों के दौरान, टीमें अक्सर एजेंटों को व्यापक एपीआई कुंजी, साझा क्रेडेंशियल या कंबल बादल अनुमतियां देती हैं बस इसे जमीन पर उतारने के लिए।

यह दृष्टिकोण पायलटों से परे तैनाती के क्षण में टूट जाता है। इसका कारण यह है कि सुरक्षा टीमें यह नहीं देख सकती हैं कि एजेंट ने कौन सा डेटा एक्सेस किया है, उसकी क्रियाएं, या क्या यह अपने इरादे के दायरे से अधिक या अधिक हो गया है; दुर्भावनापूर्ण रूप से या अनजाने में। ये अंधे धब्बे एजेंटों को सुरक्षित रूप से शासन करना असंभव बना देते हैं, जो कई संगठनों को पायलटों से परे जाने के लिए संघर्ष करने का कारण बनता है।”

आप यह तर्क देते हैं कि एजेंटिक एआई के लिए सख्त गार्डरेल आवश्यक हैं। एआई एजेंटों के लिए “अच्छा” पहचान डिज़ाइन व्यवहार में कैसा दिखता है, और कंपनियां आमतौर पर इसे गलत कहां करती हैं?

अच्छा पहचान डिजाइन न्यूनतम विशेषाधिकार और स्पष्ट इरादे से जुड़े अनुमतियों के सिद्धांत से शुरू होता है। प्रत्येक एआई एजेंट की अपनी पहचान होनी चाहिए, संकीर्ण दायरे वाली अनुमतियां और स्पष्ट रूप से परिभाषित विश्वास संबंध (जो प्रणालियों के साथ बातचीत करने की अनुमति दी जाती है)। मूल रूप से, पहुंच उद्देश्य से बंधी होनी चाहिए, समय से सीमित होनी चाहिए और रद्द करना आसान होना चाहिए।

कंपनियां इसे गलत समझती हैं जहां वे मौजूदा सेवा खातों का पुन: उपयोग करती हैं या मानती हैं कि आंतरिक एजेंट डिफ़ॉल्ट रूप से सुरक्षित हैं। यह धारणा वास्तविक दुनिया के खतरों के खिलाफ नहीं टिकती है। दुर्भावनापूर्ण अभिनेता सटीक रूप से इन कमजोर बिंदुओं की तलाश में रहते हैं, और एआई एजेंट पहचान डिज़ाइन को ढीला करने पर संभावित विस्फोट क्षेत्र को नाटकीय रूप से बढ़ा देते हैं।”

क्यूरिटी ने ओएथ और ओपनआईडी कनेक्ट जैसे मानकों के साथ लंबे समय से काम किया है। जटिल उद्यम वातावरण में एजेंटिक एआई को इंटरऑपरेबल और सुरक्षित बनाने के लिए खुले पहचान मानक कितने महत्वपूर्ण हैं?

खुले मानक बिल्कुल महत्वपूर्ण हैं। उद्यमों में पहले से ही जटिल पहचान के कपड़े हैं जो क्लाउड प्लेटफ़ॉर्म, सास सेवाओं और आंतरिक एपीआई को शामिल करते हैं। एजेंटिक एआई केवल अधिक जटिलता जोड़ता है।

मानकों के बिना, प्रत्येक एजेंट अपनी खुद की एकीकरण और एक स्थायी सुरक्षा अपवाद बन जाता है। ओएथ और ओपनआईडी कनेक्ट जैसे मानकों के साथ, एजेंटों को किसी अन्य कार्यभार की तरह प्रमाणित, अधिकृत और audited किया जा सकता है। यह वास्तविक उद्यम वातावरण में सुरक्षित स्केलिंग को सुविधाजनक बनाने के लिए एकमात्र दृष्टिकोण है।”

गैर-मानव पहचान अधिक सामान्य होती जा रही है, सेवा खातों से लेकर मशीन पहचान तक। एआई एजेंटों को पिछली गैर-मानव पहचानों से सुरक्षा के दृष्टिकोण से मूल रूप से क्या अलग करता है?

आधुनिक एआई एजेंटों और पुराने गैर-मानव पहचान (एनएचआई) के बीच मुख्य अंतर स्वायत्तता है। एक पारंपरिक सेवा खाता सिर्फ वही करता है जो उसका कोड उसे बताता है, सख्ती से उसके कार्य से बंधा होता है। एक एआई एजेंट निर्देशों की व्याख्या करता है, अपने व्यवहार को अनुकूलित करता है और ऐसी क्रियाएं करता है जो कभी भी स्पष्ट रूप से लिखी नहीं गईं – जो सभी खतरे को बढ़ाते हैं यदि उपयुक्त गार्डरेल नहीं हैं।

एक छोटी सी पहचान या पहुंच त्रुटि जल्दी से एक आपदा में बदल सकती है, क्योंकि एक एजेंट तेजी से और कई प्रणालियों में कार्य कर सकता है। सुरक्षा के दृष्टिकोण से, यह एक प्रमुख जोखिम प्रस्तुत करता है।”

एजेंटिक एआई को शासन करने के लिए ऑडिट ट्रेल्स और पहचान-आधारित लॉगिंग कितनी महत्वपूर्ण है, विशेष रूप से नियंत्रित उद्योगों में?

ऑडिट ट्रेल्स को “नाइस टू हैव” नहीं होना चाहिए। उन्हें शुरू से ही बनाया जाना चाहिए। नियंत्रित वातावरण में, संगठनों को सरल लेकिन महत्वपूर्ण प्रश्नों का उत्तर देने की अपेक्षा की जाती है: इस एजेंट ने क्या एक्सेस किया, यह कब हुआ, और किसने इसकी अनुमति दी?

पहचान-आधारित लॉगिंग ही विश्वसनीय तरीका है जिससे उस स्तर की जवाबदेही मिल सकती है। यह घटना प्रतिक्रिया में भी एक प्रमुख भूमिका निभाता है। स्पष्ट पहचान संदर्भ के बिना, यह लगभग असंभव है कि क्या समस्या एक दुर्भावनापूर्ण एजेंट, समझौता की गई पहचान, या बस एक खराब प्रेरणा से उत्पन्न हुई थी।”

जब संगठन उत्पादन में अधिक विशेषाधिकार प्राप्त या खराब निगरानी वाले एआई एजेंटों को तैनात करते हैं, तो आप किन वास्तविक जोखिमों को उभरते हुए देखते हैं?

एक सामान्य जोखिम चुप डेटा संग्रह है। एक अधिक विशेषाधिकार प्राप्त एजेंट कई प्रणालियों (ग्राहक रिकॉर्ड, आंतरिक दस्तावेज, लॉग) से संवेदनशील जानकारी खींच सकता है और फिर प्रोम्प्ट, सारांश या बाहरी एकीकरण के माध्यम से उस डेटा को उजागर कर सकता है।

एक और जोखिम यह है कि प्रशासकीय पहुंच वाले एजेंट प्रशासनिक पहुंच के साथ बड़े पैमाने पर परिवर्तन करते हैं, जो एक छोटी अवधि में एक मानव द्वारा की जा सकने वाली तुलना में बहुत अधिक नुकसान का कारण बनता है। इसमें क्लाउड संसाधनों को संशोधित करना, सुरक्षा नियंत्रणों को अक्षम करना या पर्यवेक्षण के बिना स्वचालित कार्य प्रवाह को ट्रिगर करना शामिल हो सकता है।

इन घटनाओं को दुर्भावनापूर्ण होने की आवश्यकता नहीं है। एक अधिक विशेषाधिकार प्राप्त या खराब निगरानी वाला एजेंट सिर्फ पुराने या गलत धारणाओं पर काम कर सकता है, कई प्रणालियों में गलतियों को बढ़ाता है इससे पहले कि कोई ध्यान दे।

लेकिन, एक हमलावर के दृष्टिकोण से, एक समझौता की गई एजेंट पहचान बहुत मूल्यवान है। यह एपीआई और सेवाओं में लेटरल मूवमेंट को सक्षम बनाता है, अक्सर किसी मानव उपयोगकर्ता को कभी भी दी जाने वाली पहुंच के स्तर के साथ। मजबूत पहचान नियंत्रण और निगरानी के बिना, संगठन अक्सर वास्तविक नुकसान होने के बाद ही इन विफलताओं का पता लगाते हैं।”

पायलट से वास्तविक एजेंटिक तैनाती में जाने वाली कंपनियों के लिए, पहचान और पहुंच निर्णय क्या हैं जो बाद में महंगी पुनः डिज़ाइन से बचने के लिए जल्दी से किए जाने चाहिए?

संगठनों को यह तय करना चाहिए कि एजेंटों को पहचान कैसे जारी की जाती है, अनुमतियां कैसे अनुमोदित की जाती हैं और पहुंच की समय-समय पर समीक्षा कैसे की जाती है, पहचान सीमाओं को पहले से परिभाषित करना होगा।

पहचान नियंत्रणों को पीछे की ओर लाना लगभग luôn समस्याग्रस्त है। एजेंट अक्सर साझा क्रेडेंशियल या व्यापक भूमिकाओं का उपयोग करके कार्यप्रवाह में गहराई से निहित होते हैं, इसलिए पहुंच को बाद में कस करने से कार्यप्रवाह टूट जाता है और प्रौद्योगिकी में विश्वास को कमजोर करता है। यह पहचान, दायरे और पहुंच सीमाओं को शुरू से ही डिज़ाइन करना बहुत सस्ता है, साथ ही साथ सुरक्षित भी।”

एजेंटिक एआई को रोल आउट करते समय पहचान एकीकरण सबसे अधिक बार बोतलनेक कहां बन जाता है, और कौन से सर्वोत्तम अभ्यास घर्षण को कम करने में मदद करते हैं?

पहचान प्रबंधन एक बोतलनेक बन सकता है लेकिन chỉ जब यह एक बाद के विचार के रूप में माना जाता है। टीमें पहले प्रभावशाली एजेंट क्षमताओं का निर्माण पर ध्यान केंद्रित करती हैं और बाद में महसूस करती हैं कि उन्हें वास्तव में सुरक्षित होने के लिए आईएएम प्रणालियों, एपीआई गेटवे और लॉगिंग प्लेटफ़ॉर्म के साथ एकीकृत करने की आवश्यकता है।

सर्वोत्तम दृष्टिकोण पहचान मंचों और बुनियादी ढांचे की स्पष्ट समझ के साथ शुरू करना है और फिर एजेंटों को उनमें फिट करने के लिए डिज़ाइन करना है। संगठनों को मौजूदा मानकों और बुनियादी ढांचे का पुन: उपयोग करना चाहिए; इस कोने को काटने से अंततः समस्याएं पैदा होंगी। जब पहचान शुरू से ही निर्मित होती है, तो यह तैनाती को तेज करती है, इसे धीमा नहीं करती है।”

सुरक्षा और इंजीनियरिंग नेताओं के लिए जो एजेंटिक एआई को अपनाना चाहते हैं लेकिन शासन और जोखिम के बारे में चिंतित हैं, आप अपने रोडमैप की योजना बनाते समय क्या सलाह देंगे?

बस इतना धीमा हो जाओ कि नींव सही हो। एआई एजेंटों को पहचान के रूप में माना जाना चाहिए और इसलिए आपको मानवों के लिए जिस शासन की अपेक्षा करते हैं, उसकी मांग करनी चाहिए, और शुरू से ही दृश्यता पर जोर देना चाहिए। यदि एक संगठन ऐसा करता है, तो एजेंटिक एआई को स्केल करना सुरक्षा का अभ्यास बन जाता है, एक अंधे और जोखिम भरे विश्वास का कार्य नहीं।

साक्षात्कार के लिए धन्यवाद, पाठक जो और जानना चाहते हैं उन्हें क्यूरिटी पर जाना चाहिए।

Related Topics:
mm

एंटोनी एक दूरदर्शी नेता और Unite.AI के संस्थापक भागीदार हैं, जो कि एआई और रोबोटिक्स के भविष्य को आकार देने और बढ़ावा देने के लिए एक अटूट जुनून से प्रेरित हैं। एक श्रृंखला उद्यमी, वह मानता है कि एआई समाज के लिए उतना ही विघटनकारी होगा जितना कि बिजली, और अक्सर विघटनकारी प्रौद्योगिकियों और एजीआई की संभावना के बारे में उत्साहित होता है।

एक फ्यूचरिस्ट के रूप में, वह इन नवाचारों के माध्यम से हमारी दुनिया को आकार देने की खोज में समर्पित है। इसके अलावा, वह सिक्योरिटीज़.io के संस्थापक हैं, एक मंच जो भविष्य को फिर से परिभाषित करने और पूरे क्षेत्रों को फिर से आकार देने वाली अत्याधुनिक प्रौद्योगिकियों में निवेश पर केंद्रित है।

विज्ञापन प्रकटीकरण: Unite.AI सटीक जानकारी और समाचार प्रदान करने के लिए कठोर संपादकीय मानकों के प्रति प्रतिबद्ध है। जब आप उन उत्पादों के लिंक पर क्लिक करते हैं जिनकी हमने समीक्षा की है, तो हमें मुआवजा मिल सकता है।

Copyright © 2026 Unite.AI