Bizimle iletişime geçin

Röportajlar

Curity'nin CTO'su Jacob Ideskog ile Röportaj Serisi

mm
Yayınlanan

Jacob Ideskog Curity'de Kimlik Uzmanı ve CTO olarak görev yapmaktadır. Zamanının çoğunu API ve Web alanındaki güvenlik çözümleri üzerinde çalışarak geçirmektedir. Hem büyük kurumsal dağıtımlar hem de küçük girişimler için OAuth ve OpenID Connect çözümlerinin tasarımı ve uygulanmasında çalışmıştır.

Merak Curity Kimlik Sunucusu etrafında oluşturulmuş modern bir kimlik ve erişim yönetimi (IAM) platformudur. Bu standart tabanlı çözüm, uygulamalar, API'ler ve dijital hizmetler için büyük ölçekte güvenli kimlik doğrulama ve yetkilendirme sağlamak üzere tasarlanmıştır. Giriş akışlarını merkezileştirmek, ayrıntılı erişim politikalarını uygulamak ve hem insan kullanıcılar hem de makine istemcileri (API'ler ve hizmetler dahil) için güvenli belirteçler oluşturmak üzere OAuth 2.0 ve OpenID Connect gibi protokolleri destekler. Platform, esneklik ve ölçeklenebilirlik için tasarlanmıştır; kuruluşların bulut, hibrit veya şirket içi ortamlara dağıtım yapmasına, mevcut sistemlerle entegre olmasına ve özel olarak oluşturulmuş güvenlik altyapısına bağlı kalmadan güvenli ve sorunsuz kullanıcı deneyimleri sunmasına olanak tanır.

Kariyerinizin büyük bir bölümünü, Curity'nin kurucu ortaklarından biri olmaktan, bulut teknolojisinin ve şimdi de yapay zekanın yükselişi boyunca CTO'su olarak liderlik etmeye kadar, kimlik ve API güvenlik sistemleri geliştirmeye adadınız. Bu yolculuk, yapay zeka ajanlarının sadece bir yazılım parçası olarak değil, birinci sınıf dijital kimlikler olarak ele alınması gerektiği görüşünüzü nasıl şekillendirdi?

Çalıştığım her teknoloji alanında, sürekli olarak tekrar eden bir sorun var. Bulut bilişim veya yapay zeka olsun, eğer bir yazılım bir kişi veya başka bir sistem adına hareket ediyorsa, bir kimlik sorunu ortaya çıkıyor.

Ajan tabanlı yapay zekanın yaygınlaşmasıyla bu sorun daha da karmaşıklaşıyor. Davranışları artık sıkı bir şekilde önceden belirlenmiş değil ve işletmelerin daha önce hiç görmediği bir özerklik seviyesiyle çalışıyorlar. Yapay zeka ajanları kararlar alıyor, API'leri çağırıyor ve sistemler arasında zincirleme eylemler gerçekleştiriyor – genellikle doğrudan insan gözetimi olmadan. Bu davranış, geleneksel yazılımlardan temel olarak farklı kimlik ve erişim sorunları yaratıyor.

Yapay zekâ ajanlarını birinci sınıf dijital kimlikler olarak ele almak, bu sorunu doğru şekilde çözmenin tek yoludur. Kuruluşlar onları sadece başka bir süreç veya hizmet hesabı olarak ele alırlarsa, görünürlüklerini ve kontrollerini çok hızlı bir şekilde kaybederler ve bu da bir güvenlik krizine yol açar.”

Birçok işletme ajan tabanlı yapay zekâ konusunda heyecanlı ancak hâlâ deneme aşamasında takılıp kalmış durumda. Gerçek uygulamalarda gördüklerinize göre, kuruluşların ajanları güvenli bir şekilde ölçeklendirmesini engelleyen en yaygın kimlik ve yönetişim açıkları nelerdir?

Çoğu deneme, büyük ölçekte neler olup bittiğini göz ardı eden izole edilmiş sanal ortamlarda gerçekleşir. İlk pilot uygulamalar sırasında, ekipler genellikle işleri başlatmak için aracılara geniş API anahtarları, paylaşılan kimlik bilgileri veya genel bulut izinleri verir.

Bu yaklaşım, ajanlar pilot uygulamaların ötesine geçtiği anda geçerliliğini yitiriyor. Çünkü güvenlik ekipleri, bir ajanın hangi verilere eriştiğini, eylemlerini veya kazaen ya da kötü niyetle amaçlanan kapsamını aşıp aşmadığını göremiyor. Bu kör noktalar, ajanları güvenli bir şekilde yönetmeyi imkansız hale getiriyor; bu nedenle birçok kuruluş pilot uygulamaların ötesine geçmekte zorlanıyor.”

Yapay zekâ ajanları için sıkı güvenlik önlemlerinin şart olduğunu savundunuz. Peki pratikte yapay zekâ ajanları için "iyi" kimlik tasarımı nasıl görünür ve şirketler genellikle nerede hata yapar?

İyi bir kimlik tasarımı, en az ayrıcalık ilkesi ve açık niyetle bağlantılı izinlerle başlar. Her yapay zeka ajanı kendi kimliğine, dar kapsamlı izinlere ve açıkça tanımlanmış güven ilişkilerine (hangi sistemlerle etkileşim kurmasına izin verildiğine dair açık kurallar) sahip olmalıdır. Temelde, erişim amaca bağlı, zaman sınırlı ve kolayca iptal edilebilir olmalıdır.

Şirketlerin bu konuda yaptığı hata, mevcut hizmet hesaplarını yeniden kullanmaları veya dahili ajanların varsayılan olarak güvenli olduğunu varsaymalarıdır. Bu varsayım, gerçek dünya tehditlerine karşı geçerli değildir. Kötü niyetli aktörler tam olarak bu zayıf noktaları ararlar ve kimlik tasarımı özensiz olduğunda yapay zeka ajanları potansiyel etki alanını önemli ölçüde artırır.”

Curity uzun zamandır OAuth ve OpenID Connect gibi standartlarla çalışıyor. Açık kimlik standartları, karmaşık kurumsal ortamlarda ajan tabanlı yapay zekanın birlikte çalışabilirliğini ve güvenliğini sağlamada ne kadar kritik öneme sahip?

Açık standartlar kesinlikle çok önemlidir. İşletmeler zaten bulut platformlarını, SaaS hizmetlerini ve dahili API'leri kapsayan karmaşık kimlik doğrulama yapıları kullanıyor. Ajan tabanlı yapay zeka ise bu karmaşıklığı daha da artırıyor.

Standartlar olmadan, her ajan kendi entegrasyonu haline gelir ve kalıcı bir güvenlik istisnası oluşturur. OAuth ve OpenID Connect gibi standartlarla, ajanlar tıpkı diğer iş yükleri gibi kimlik doğrulama, yetkilendirme ve denetimden geçirilebilir. Bu, gerçek kurumsal ortamlarda güvenli ölçeklendirmeyi kolaylaştırabilecek tek yaklaşımdır.”

Hizmet hesaplarından makine kimliklerine kadar insan dışı kimlikler giderek yaygınlaşıyor. Yapay zekâ ajanlarını güvenlik açısından önceki insan dışı kimliklerden temel olarak farklı kılan nedir?

Modern yapay zekâ ajanları ile eski insan dışı kimlikler (NHI) arasındaki temel fark özerkliktir. Geleneksel bir hizmet hesabı, kodunun kendisine söylediği her şeyi yapar ve görevine sıkı sıkıya bağlıdır. Yapay zekâ ajanı ise talimatları yorumlar, davranışlarını uyarlar ve açıkça kodlanmamış eylemlerde bulunur; bu da uygun güvenlik önlemleri alınmadığı takdirde potansiyel tehlikeyi artırır.

Küçük bir kimlik doğrulama veya erişim hatası, bir ajanın hızla ve birden fazla sistemde işlem yapabilmesi nedeniyle hızla bir felakete dönüşebilir. Güvenlik açısından bu, büyük bir risk oluşturmaktadır.

Özellikle düzenlemeye tabi sektörlerde, yapay zekâ destekli ajanların yönetimi için denetim kayıtları ve kimlik tabanlı günlük kaydı ne kadar önemlidir?

Denetim kayıtları "olması güzel" bir şey olmamalıdır. Başlangıçtan itibaren entegre edilmelidirler. Düzenlemeye tabi ortamlarda, kuruluşlardan basit ama kritik soruları yanıtlamaları beklenir: Bu aracı neye erişti, ne zaman oldu ve kim yetkilendirdi?

Kimlik tabanlı kayıt tutma, bu düzeyde hesap verebilirliği sağlamanın tek güvenilir yoludur. Ayrıca olay müdahalesinde de önemli bir rol oynar. Net bir kimlik bağlamı olmadan, bir sorunun kötü niyetli bir ajandan mı, ele geçirilmiş bir kimlikten mi yoksa sadece hatalı bir komuttan mı kaynaklandığını bilmek neredeyse imkansızdır.

Üretim ortamlarında aşırı yetkilendirilmiş veya yeterince denetlenmeyen yapay zekâ ajanlarının kullanılması durumunda, gerçek dünyada ne gibi risklerin ortaya çıkacağını düşünüyorsunuz?

Sık karşılaşılan risklerden biri de sessiz veri toplama işlemidir. Aşırı yetkiye sahip bir aracı, birden fazla sistemden (müşteri kayıtları, dahili belgeler, günlükler) hassas bilgileri çekebilir ve ardından bu verileri istemler, özetler veya harici entegrasyonlar aracılığıyla ifşa edebilir.

Bir diğer risk ise, yönetim erişimine sahip yetkililerin makine hızında büyük değişiklikler yaparak, kısa bir süre içinde bir insanın asla yapamayacağı kadar büyük hasara yol açmasıdır. Bu, bulut kaynaklarını değiştirmeyi, güvenlik kontrollerini devre dışı bırakmayı veya denetim olmadan otomatik iş akışlarını tetiklemeyi içerebilir.

Bu olaylar kötü niyetli olabilir, ancak olmak zorunda değiller. Aşırı ayrıcalıklı veya yeterince denetlenmeyen bir ajan, basitçe eski veya yanlış varsayımlara dayanarak hareket edebilir ve kimse fark etmeden önce hataları birden fazla sistemde büyütebilir.

Ancak, bir saldırganın bakış açısından, ele geçirilmiş bir ajan kimliği son derece değerlidir. API'ler ve hizmetler arasında yatay hareket imkanı sağlar ve genellikle hiçbir insan kullanıcısına asla verilmeyecek bir erişim düzeyi sunar. Güçlü kimlik kontrolleri ve izleme olmadan, kuruluşlar genellikle bu başarısızlıkları ancak gerçek hasar meydana geldikten sonra keşfederler.”

Pilot uygulamalardan gerçek ajan tabanlı dağıtımlara geçiş yapan şirketler için, daha sonra maliyetli yeniden tasarımlardan kaçınmak adına hangi kimlik ve erişim kararları erken aşamada alınmalıdır?

Kuruluşlar, temsilcilere kimliklerin nasıl verileceği, izinlerin nasıl onaylanacağı ve erişimin zaman içinde nasıl gözden geçirileceği konusunda erken aşamada karar vermeli ve kimlik sınırlarını önceden tanımlamalıdır.

Kimlik kontrollerini geriye dönük olarak uygulamak neredeyse her zaman sorunludur. Temsilciler genellikle paylaşılan kimlik bilgileri veya geniş roller kullanarak iş akışlarına derinlemesine entegre edilir, bu nedenle erişimi sonradan sıkılaştırmak sistemin dayandığı varsayımları bozar. Bu da nihayetinde iş akışlarının başarısız olmasına ve teknolojiye olan güvenin zedelenmesine neden olur. Doğru kimlikleri, kapsamları ve erişim sınırlarını baştan tasarlamak çok daha ucuz ve çok daha güvenlidir.

Ajan tabanlı yapay zekâ uygulamalarının devreye alınmasında kimlik entegrasyonu en sık hangi noktalarda darboğaza dönüşüyor ve bu sürtünmeyi azaltmaya yardımcı olan en iyi uygulamalar nelerdir?

Kimlik yönetimi, ancak sonradan düşünüldüğünde bir darboğaz haline gelebilir. Ekipler öncelikle etkileyici ajan yetenekleri geliştirmeye odaklanır, ancak daha sonra gerçek anlamda güvenli olabilmeleri için IAM sistemleri, API ağ geçitleri ve kayıt platformlarıyla entegre edilmeleri gerektiğini fark ederler.

En iyi yaklaşım, kimlik platformlarının net bir şekilde anlaşılması ve doğru bir şekilde uygulanmasıyla başlamak ve ardından bu platformlara uyacak şekilde aracılar tasarlamaktır. Kuruluşlar, mevcut standartları ve altyapıyı atlamak yerine yeniden kullanmalıdır; bu kestirme yol kaçınılmaz olarak ilerleyen süreçte sorunlara yol açacaktır. Kimlik baştan itibaren entegre edildiğinde, dağıtımı yavaşlatmak yerine hızlandırır.

Yapay zekâ destekli sistemleri benimsemek isteyen ancak yönetişim ve risk konularında endişeleri olan güvenlik ve mühendislik liderlerine, yol haritalarını planlarken ne gibi tavsiyelerde bulunurdunuz?

Temelleri doğru atmak için yeterince yavaşlayın. Yapay zekâ ajanları kimlik olarak ele alınmalı, bu nedenle insanlar için beklediğiniz aynı yönetişimi uygulamanız ve en başından itibaren şeffaflık konusunda ısrar etmeniz gerekir. Bir kuruluş bunu yaparsa, ajan tabanlı yapay zekânın ölçeklendirilmesi kör ve riskli bir inanç sıçraması değil, bir güvenlik uygulaması haline gelir.

Harika röportaj için teşekkürler, daha fazla bilgi edinmek isteyen okuyucular ziyaret etmelidir. Merak.

İlgili konular:
mm

Antoine, yapay zeka ve robotiğin geleceğini şekillendirme ve tanıtma konusunda sarsılmaz bir tutkuyla hareket eden vizyon sahibi bir lider ve Unite.AI'nin kurucu ortağıdır. Bir seri girişimci olan Antoine, yapay zekanın toplum için elektrik kadar yıkıcı olacağına inanır ve sıklıkla yıkıcı teknolojilerin ve AGI'nin potansiyeli hakkında övgüler yağdırırken yakalanır.

Olarak fütürist, bu yeniliklerin dünyamızı nasıl şekillendireceğini keşfetmeye adamıştır. Ayrıca, kurucusudur menkul kıymetler.ioGeleceği yeniden tanımlayan ve tüm sektörleri yeniden şekillendiren son teknolojiye yatırım yapmaya odaklanan bir platform.