Open Group და MIT ექსპერტები დეტალურად აღწერენ ახალ მიღწევებს პირადობის მოწმობის მენეჯმენტში, რათა შემცირდეს კიბერრისკები

ღია ჯგუფის პანელი იკვლევს, თუ როგორ სწრაფად მიიწევდა წინსვლა ID-ის მართვის საუკეთესო პრაქტიკის ტექნიკური და იურიდიული მხარდაჭერა.

მისმინე რომ პოდკასტი. იპოვეთ იგი iTunes/iPod. წაიკითხეთ ა სრული ჩანაწერი ან ჩამოტვირთვა კოპიო. სპონსორი: ღია ჯგუფი.

რეგისტრაცია ამისთვის ღია ჯგუფის კონფერენცია
16-18 ივლისს ვაშინგტონში, D.C. უყურეთ პირდაპირ ეთერში.

თმისი BriefingsDirect აზრის ხელმძღვანელობის ინტერვიუ უკავშირდება ღია ჯგუფის კონფერენცია ვაშინგტონში, 16 ივლისს. კონფერენციაზე ყურადღება გამახვილდება საწარმოს არქიტექტურა (EA), საწარმოს ტრანსფორმაცია, და გლობალური უზრუნველყოფა მიწოდების ჯაჭვები.
ჩვენ წინასწარ შემოგვიერთდა ზოგიერთი მთავარი მომხსენებელი 16 ივლისის კონფერენციაზე, რათა გამოვიკვლიოთ კავშირი კონტროლირებად ციფრულ იდენტობებს შორის კიბერში რისკების მართვა. ჩვენი პანელი შეისწავლის, თუ როგორ სწრაფად მიიწევდა წინსვლა ID-ის მართვის საუკეთესო პრაქტიკის ტექნიკური და იურიდიული მხარდაჭერა. და ჩვენ დავინახავთ, თუ როგორ შეუძლიათ ინდივიდებსა და ორგანიზაციებს უკეთესად დაიცვან თავი თავიანთი ონლაინ იდენტობის უკეთ გააზრებისა და მართვის გზით.

პანელისტები არიან ჯიმ ჰიეტალა, The Open Group-ის უსაფრთხოების ვიცე პრეზიდენტი; თომას ჰარჯონო, ტექნიკური ხელმძღვანელი და აღმასრულებელი დირექტორი MIT Kerberos კონსორციუმი, და დაზა გრინვუდი, პრეზიდენტის CIVICS.com კონსულტაცია და ლექტორი MIT მედია ლაბორატორია. დისკუსიას უძღვება დანა გარდნერი, მთავარი ანალიტიკოსი Interarbor Solutions. [გამჟღავნება: Open Group არის BriefingsDirect პოდკასტების სპონსორი.]
აქ არის რამდენიმე ამონარიდი:

გარდნერი: რა არის ID მენეჯმენტი და როგორ აყალიბებს ის კიბერუსაფრთხოების ფუნდამენტურ კომპონენტს?
ჰietala: ID მენეჯმენტი ნამდვილად არის იმ ადამიანების იდენტიფიცირების პროცესი, რომლებიც შედიან კომპიუტერულ სერვისებზე, აფასებენ მათ ვინაობას, ეძებენ მათ ავთენტიფიკაციას და აძლევენ ავტორიზაციას.m სისტემაში სხვადასხვა სერვისებზე წვდომისათვის. ეს არის ის, რაც IT-ში იყო გამოთვლის გარიჟრაჟიდან მოყოლებული, და ეს არის ის, რაც განაგრძობს განვითარებას ახალი მოთხოვნებისა და ახალი საკითხების თვალსაზრისით, რომელიც ინდუსტრიამ უნდა გადაჭრას.
განსაკუთრებით როცა ვუყურებთ ღრუბლის გაჩენას და პროგრამული უზრუნველყოფა როგორც სერვისი (SaaS) სერვისებზე, თქვენ გაქვთ ახალი პრობლემები მომხმარებლებისთვის იდენტურობის თვალსაზრისით, რადგან ჩვენ ყველამ უნდა შევქმნათ მრავალი იდენტობა თითოეული სერვისისთვის, რომელსაც ჩვენ ვწვდებით.
თქვენ გაქვთ პრობლემები ღრუბლოვანი და SaaS სერვისების პროვაიდერებთან დაკავშირებით, თუ როგორ უზრუნველყოფენ ისინი, სად იღებენ ავტორიტეტს საიდენტიფიკაციო ინფორმაცია მომხმარებლებისთვის და იმ საწარმოებისთვისაც კი, რომლებმაც უნდა დაათვალიერონ ფედერაციის იდენტობა ქსელებში პარტნიორები. მათთვისაც ბევრი გამოწვევაა.
ძირითადი თემა
ფიმის გარკვევა, თუ ვინ არის ამ კავშირის მეორე ბოლოში, ფუნდამენტურია მთელი კიბერუსაფრთხოებისთვის. როდესაც ვუყურებთ კონფერენციას, რომელსაც ამ თვეში ვატარებთ ვაშინგტონში, მთავარი თემა კიბერუსაფრთხოებაა - და იდენტობა ამის ფუნდამენტური ნაწილია.
თქვენ შეგიძლიათ შეხედოთ იმას, რაც ახლა ხდება ტროიანები, საბანკო თაღლითები, თაღლითები და თავდამსხმელები, კომპანიის საბანკო ანგარიშებიდან ფულის გადარიცხვა და სხვა რამ, რაზეც შეგიძლიათ მიუთითოთ.
არის წარუმატებლობები მათი კლიენტის უსაფრთხოებაში და კლიენტის უსაფრთხოების მექანიზმებში კლიენტის მოწყობილობებზე, მაგრამ, ვფიქრობ, არის ასევე პირადობის წარუმატებლობა. მათ სჭირდებათ ახალი მიდგომები ფინანსური ინსტიტუტებისთვის, რათა თავიდან აიცილონ მსგავსი რამ. არ ვიცი, გამოვიყენებ თუ არა სიტყვას "გავრცელებული", მაგრამ ისინი აშკარად ხდება ახლა მთელ ადგილზე. ასე რომ, მე ვფიქრობ, რომ არსებობს დიდი საჭიროება სწრაფად გადავიდეს ზოგიერთ საკითხზე.
მათ სჭირდებათ ახალი მიდგომები ფინანსური ინსტიტუტებისთვის, რათა თავიდან აიცილონ მსგავსი რამ.

გარდნერი: პლატოზე ვართ? ან ID მენეჯმენტი იყო უწყვეტი პროგრესი ბოლო ათწლეულის განმავლობაში?
ჰარჯონო: ასე რომ, მინიმუმ ათი წელი გავიდა მას შემდეგ, რაც ინდუსტრია იყოგანიხილება იდენტობისა და იდენტობის ფედერაციაზე. აუდიტორიაში ვიღაცამ შეიძლება გაიხსენოს თავისუფლების ალიანსი, პროექტი თავისუფლება ადრეულ დღეებში.
ინდუსტრიის შესახებ ერთი საყურადღებო რამ არის ის, რომ ძალისხმევა იყო ცალმხრივი და ინდუსტრია, მთლიანობაში, არის ახლა მიაღწია იმ დონეს, სადაც ჭეშმარიტი სწორი იდენტურობა აბსოლუტურად საჭიროა ახლა ტრანზაქციებში ამდენი დროის დროს ე. წ ინტერნეტ თაღლითები.
გარდნერი: დაზა, არის თუ არა ამ მხრივ შემთხვევითი მიდგომა, თუ პროფესიული საჭიროება? ამით ვგულისხმობ იმას, რომ ჩვენ ვხედავთ უამრავ აქტივობას სოციალურ მედიაში, ფეისბუქი მაგალითად, სადაც ადამიანებს შეუძლიათ ჰქონდეთ ვინაობა და შეიძლება იყოს ან არ იყოს გადამოწმებული. ეს ერთგვარი ჩვეულებრივი მხარეა, მაგრამ, როგორც ჩანს, ის, რაზეც ჩვენ რეალურად ვსაუბრობთ, უფრო პროფესიონალური ბიზნესისთვისაა ან ელექტრონული კომერცია ტრანზაქციები, სადაც გადამოწმება მნიშვნელოვანია. სხვა სიტყვებით რომ ვთქვათ, არის თუ არა დაყოფა ამ ორ სფეროს შორის, რომელიც უნდა გავითვალისწინოთ, სანამ მას უფრო ღრმად შევეხებით?
გრეინვუდი: იმის ნაცვლად, რომ მასზე დაყოფად ვიფიქროთ, სპექტრი უფრო სასარგებლო გზა იქნებოდა შეხედე. ერთის მხრივ, თქვენ გაქვთ, როგორც აღნიშნეთ, იდენტობის ძალიან შემთხვევითი გამოყენება ონლაინ, სადაც ის შეიძლება იყოს თვითდამტკიცებული. შესაძლოა, ხელი მოაწერე პოსტს ან ელ.წერილს.
მეორე მხრივ, რა თქმა უნდა, ინტერნეტი და სხვა ონლაინ სერვისები გამოიყენება ძალიან მაღალი ღირებულების, ძალიან მგრძნობიარე ან მისიის კრიტიკული ინტერაქცია და ტრანზაქციები ყოველთვის. როდესაც მიდიხარ ამ სპექტრისკენ, საჭიროა კიდევ ბევრი ინფორმაცია იდენტობის ავთენტიფიკაციის შესახებ, რომ ეს ნამდვილად არის ის ადამიანი, როგორც თომასი იწყებდა წინასწარმეტყველებას. ავტორიზაცია, სამუშაო პროცესის ნებართვები და წვდომა ასევე წარმოუდგენლად მნიშვნელოვანია.
შუაში, თქვენ გაქვთ ბევრი გრადაცია, ნაწილობრივ დაფუძნებული იმის მგრძნობელობაზე, რაც ხდება, ნაწილობრივ დაფუძნებულია კულტურასა და კონტექსტზეც. როდესაც გყავთ ადამიანები, რომლებიც მუშაობენ ორგანიზაციებში ან კონტექსტში, რომლებიც კარგად არის ცნობილი და გასაგები -- ან სადაც უკვე ბევრია არა მხოლოდ ტექნიკური, არამედ საქმიანი, სამართლებრივი და კულტურული გაგება იმისა, თუ რა ხდება -- თუ რამე არასწორედ წარიმართება, არსებობს შესაბამისი სახის მხარდაჭერა და რისკების მართვა პროცესები.
ამის გათამაშების სხვადასხვა გზა არსებობს. ეს ყოველთვის არ არის მხოლოდ უმაღლესი უსაფრთხოების საკითხი. ეს მართლაც უფრო მაღალი ნდობაა და მეტი ნდობა სხვადასხვა ფაქტორზე დაყრდნობით. მაგრამ თქვენი ფორმულირება კარგი გზაა ამ თემაში შესასვლელად, ანუ ჩვენ გვაქვს იდენტობის სპექტრი, რომელიც ხდება ონლაინ, და მისი დიდი ნაწილი საკმარისზე მეტია ძალიან ჩვეულებრივი ან ზოგიერთი სოციალური აქტივობისთვის ხდება.
უფრო მაღალი რისკი
ბროდესაც ჩვენს საზოგადოებაში ეკონომიკა გადადის ციფრულ ეპოქაში, უფრო სრულად და უფრო მაღალი სიჩქარით, ხდება ბევრად უფრო მნიშვნელოვანი, მაღალი რისკის, მაღალი ღირებულების ურთიერთქმედება. ასე რომ, ჩვენ უნდა გადავხედოთ, თუ როგორ მივმართეთ იდენტობას - და მივცეთ მას მეტი ყურადღება და უფრო ფრთხილად დიზაინი, ნაცვლად არქიტექტურისა და წესების გარშემო. მაშინ ჩვენ შევძლებთ ამ გადასვლას უფრო მოხდენილად და ნაკლები გირაო ზიანით მივაღწიოთ და რეალურად მივიღოთ ონლაინ შესვლის სარგებელი.
გარდნერი: რა ხდება ამის გასამყარებლად და გასამყარებლად? მოდით გადავხედოთ რამდენიმე დიდ სიახლეს.
ჰietala: ვფიქრობ, ბოლო დროს ყველაზე დიდი სიახლე არის აშშ კიბერ სივრცეში სანდო პირადობის ეროვნული სტრატეგია (NSTIC) ინიციატივა. ეს ნათლად აჩვენებს, რომ დიდი მთავრობა, შეერთებული შტატების მთავრობა, ორიენტირებულია ამ საკითხზე და მზადაა დაუთმოს რესურსები ID-ის მართვის ეკოსისტემის გაღრმავებას და ააშენოს მომავალი. ჩემთვის ეს არის ყველაზე დიდი ბოლო სიახლე.
გზაჯვარედინზე
გრეინვუდი: ჩვენ ახლა ვიმყოფებით გზაჯვარედინზე, სადაც საბოლოოდ ინდუსტრია, მთავრობა და ზოგადად მოსახლეობა სულ უფრო მეტად ხვდება, რომ არსებობს განსხვავებული სათამაშო მოედანი. როგორ ვურთიერთობთ, როგორ ვმუშაობთ, როგორ ვაკეთებთ ჯანდაცვას, როგორ ვაკეთებთ განათლებას, როგორ ხდება ჩვენი სოციალური ჯგუფების შერწყმა და კომუნიკაცია, დიდი ნაწილი ხდება ონლაინ რეჟიმში.
ზოგიერთ შემთხვევაში, ეს ხდება ონლაინ რეჟიმში მთელი ცხოვრების ციკლის განმავლობაში. რაც ახლა ნიშნავს იმას, რომ საჭიროა უფრო ღრმა მიდგომა. ჯიმმა მოიხსენია NSTIC, როგორც ერთ-ერთი ასეთი მაგალითი. არის რამდენიმე მათგანი, რომელთა შეხებაც ხდება, რაც ხდება ღრმა გადასვლის გამო, რომელიც მოითხოვს უფრო ღრმა მკურნალობას.
NSTIC არის აშშ-ს მთავრობის საგზაო რუკა მისი ცალმხრივი მიდგომიდან შეერთებული შტატების იდენტობის თანმიმდევრული არქიტექტურისა და ინფრასტრუქტურისკენ. ეს შეიძლება იყოს შესანიშნავი მოდელი სხვა ქვეყნებისთვისაც.
ადამიანებს შეუძლიათ ხელახლა გამოიყენონ თავიანთი იდენტობა და ჩვენ შეგვიძლია დავიწყოთ იმის განხილვა, რაზეც თქვენ საუბრობთ იდენტობით და სხვა ადამიანები იღებენ თქვენს პირადობის მოწმობას და უფრო მეტიც, თუ როგორ უნდა დაამტკიცოთ, რომ ხართ ის, ვინც თქვით, რომ ეს პირადობის მოწმობა მიიღეთ უკან. ეს ყოველთვის ასე ადვილი არ არის პირადობის მოპარვის შემდეგ, რადგან ჩვენ ჯერ არ გვაქვს იდენტობის ძირითადი ეფექტური სტრუქტურა შეერთებულ შტატებში.
მე ახლახან დავბრუნდი გაერთიანებული სამეფოდან ა მსოფლიო ეკონომიკური ფორუმიშეხვედრა. მე დიდი შთაბეჭდილება მოახდინა იმაზე, თუ რას აკეთებენ მათი კაბინეტის ოფიცრები პირადობის უზრუნველყოფის სქემით ფართომასშტაბიანი შესყიდვებით. ეს ძალიან შეესაბამება NSTIC მიდგომას შეერთებულ შტატებში. მათ შეუძლიათ მიიღონ ათობით მილიონი მათი მოქალაქე უსაფრთხო კარგად დამოწმებული პირადობის გამოყენებით ტრანზაქციების რაოდენობა, ყოველთვის დაცულია კონფიდენციალურობა, უსაფრთხოება და ასევე ინდივიდუალური ავტონომია წინა პლანზე.
პრაქტიკულად ყველგან, სადაც არ უნდა გაიხედოთ, ხედავთ ამბებს და ნიშნებს ამ გარდამავალის შესახებ, რომელიც ხდება, საინტერესო დრო იდენტობით დაინტერესებული ადამიანებისთვის.

ასევე არსებობს მრავალი ტექნოლოგია და ბიზნეს ეტაპები. ღია პირადობის გაცვლა (OIX) არის დიდი ჯგუფი, რომელიც იწყებს მრეწველობისა და სხვა სექტორების გაერთიანებას მათი მიდგომებისა და ტექნოლოგიების შესასწავლად. გვქონდა უსაფრთხოების დამტკიცების მარკირების ენა (SAML). თომასი არის PC-ის თანათავმჯდომარე და ეს სახეზეა.
რომ მიდგომა იყო მოყვანილი შესატყვისი მასშტაბით OpenID დაკავშირება, რაც არის OpenID და OAuth. არსებობს უამრავი ტექნოლოგიური ინოვაცია, რომელიც შემოდის ონლაინ.
იურიდიულად, ასევე არის რამდენიმე ძალიან საინტერესო სიახლე. ზოგიერთი მათგანი ნამდვილად არის მხოლოდ რამდენიმე წლის წინ მიღებული წესდების უფრო ღრმა გამოყენება -- ერთიანი ელექტრონული ტრანზაქციების აქტი, ელექტრონული ხელმოწერები გლობალურ და ეროვნულ კომერციის აქტშისხვათა შორის, აშშ-ში.
Იქ არის ელექტრონული ხელმოწერის დირექტივა და სხვები ევროპაში და დანარჩენ მსოფლიოში, რომლებმაც საშუალება მისცეს გამოიყენონ ონლაინ ინტერაქცია და განიხილეს ვინაობა და ხელმოწერები, მაგრამ დარჩა კერძო სექტორისა და კულტურისთვის, რომელიც ტექნოლოგიებს, მიდგომებს და გადაწყვეტილებებს ჩვენ გამოვიყენებთ.
ახლა ჩვენ ვიღებთ არა მხოლოდ ერთჯერად გადაწყვეტილებებს, არამედ არქიტექტურას სხვადასხვა გადაწყვეტილებისთვის, რათა ეკონომიკის მთელმა სექტორებმა და საზოგადოების სეგმენტებმა შეძლონ უფრო სრულად ინტერნეტში გადასვლა. პრაქტიკულად ყველგან, სადაც არ უნდა გაიხედოთ, ხედავთ ამბებს და ნიშნებს ამ გარდამავალის შესახებ, რომელიც ხდება, საინტერესო დრო იდენტობით დაინტერესებული ადამიანებისთვის.

გარდნერი: რა არის ყველაზე ახალი და საინტერესო თქვენი პერსპექტივიდან იმის შესახებ, თუ რა ხდება ამ პრობლემასთან დაკავშირებით, განსაკუთრებით ტექნოლოგიის თვალსაზრისით?
ორი განზომილება

ჰარჯონო: ის ორ განზომილებაშია. პირველი არის ფარგლებში კერბეროსი კონსორციუმი. ჩვენ გვყავს ბევრი ადამიანი ფინანსური ინდუსტრიიდან. მათ ყველას ერთი და იგივე სურვილი აქვთ და ეს არის მათი სერვისების გლობალურ ბაზარზე გაფართოება, ძირითადად ახალი მომხმარებლების დარეგისტრირება საზღვარგარეთ, შეერთებული შტატების ფარგლებს გარეთ. ამის სურვილით, ისინი პირადობის საკითხის წინაშე დგანან. როგორ დავამტკიცოთ, რომ ქვეყანაში ვიღაც ნამდვილად არის ის, ვინც ამბობს.
მეორე, წარმოგიდგენთ უამრავ რთულ ტექნიკურ პრობლემას. სახლთან უფრო ახლოს და შესაძლოა უფრო მცირე მასშტაბით, შემდეგი დიდი რამ არის მომხმარებლის თანხმობა. OpenID-ის გაცვლისა და OpenID Connect-ის სპეციფიკაციები დასრულებულია და ადამიანებს შეუძლიათ ერთჯერადი შესვლა ტექნოლოგიის გამოყენებით, როგორიცაა OAuth 2.0.
შემდეგი მნიშვნელოვანი ისაა, თუ როგორ შეუძლია ატრიბუტის პროვაიდერს, ბანკებს, ტელეკომპანიებს და ა.შ. სხვა პარტნიორებთან ინდუსტრიაში და ინდუსტრიის სხვადასხვა სექტორში ჩემი გამოთქმული თანხმობით ციფრულ ფორმატში მანერა.
გარდნერი: გვიამბეთ ცოტას შესახებ MIT Core ID მიდგომა და როგორ უკავშირდება ეს იერიხოს ფორუმი მიდგომა.
გრეინვუდი: მე გადავდებ ჯიმს The Open Group-დან, რომ უფრო ავტორიტეტული ისაუბროს Jericho Forum-ზე, რომელიც არის Open Group-ის ნაწილი. მაგრამ, ზოგადად, იერიხოს ფორუმიარის უსაფრთხოების სფეროს ექსპერტთა ჯგუფი ინდუსტრიიდან და, უფრო ფართოდ, რომლებმაც წარსულში დიდი სამუშაო შეასრულეს დეპერიმეტრულ უსაფრთხოებაზე და სხვა ფუნდამენტურ სამუშაოებზე.
ბაზარზე არსებული მრავალი გადაწყვეტის შემთხვევაში, თქვენი ცხოვრების სხვადასხვა ასპექტები, უნებლიეთ ზოგჯერ ან თუნდაც საწინააღმდეგო განზრახ, გაერთიანდება.

ბოლო რამდენიმე წლის განმავლობაში ისინი ნამდვილად იყვნენ ფოკუსირებულნი იდენტობაზე და გააცნობიერეს, რომ იდენტობა არის იმის ცენტრში, რისი გადაჭრაც საჭიროა უსაფრთხოების მიმართ ეფექტური მიდგომის არსებობისთვის. ეს აუცილებელია, მაგრამ არა საკმარისი უსაფრთხოებისთვის. ჩვენ ეს სწორად უნდა მივიღოთ.
მათ საპატიოდ, მათ შექმნეს მარტივი გასაგები პრინციპების საოცრად კარგი სია, რომელსაც ისინი უწოდებენ იერიხოს ფორუმის პირადობის მცნებები, რომლის წაკითხვას ვურჩევ ყველას.
ის წარმოაჩენს იდენტობისადმი მიდგომის ხედვას, რომელიც ძალიან მუდმივია იმ მიდგომით, რომელსაც მე ვიკვლევ აქ MIT-ში რამდენიმე წელია. ადამიანს ექნებოდა ძირითადი პირადობის იდენტიფიკაცია, ძირითადი პირადობის მოწმობა და ამით შეეძლო შექმნას ერთზე მეტი პიროვნება. შეიძლება გქონდეთ სამუშაო პერსონა, ელექტრონული კომერციის პერსონა, შესაძლოა სოციალური და აქტივობა სოციალურ ქსელში პერსონა და ასე შემდეგ. ზოგიერთ ადამიანს შეიძლება სურდეს ცალკე პოლიტიკური პერსონა.
თქვენ შეგიძლიათ დაჯგუფოთ ყველა ანგარიში, ურთიერთქმედება, სერვისი, ატრიბუტი და ა.შ. იმ ინდივიდუალურ პერსონებს, მაგრამ არ იყოთ ისეთ სიტუაციაში, როდესაც ჩვენ თითქმის ბრმად ვუჭერთ მხარს სიმართლეს ახლა. ბაზარზე არსებული მრავალი გადაწყვეტის შემთხვევაში, თქვენი ცხოვრების სხვადასხვა ასპექტები, უნებლიეთ ზოგჯერ ან თუნდაც საწინააღმდეგო განზრახ, გაერთიანდება.
კარგი არქიტექტურა
სზოგჯერ, ეს კარგია. ზოგჯერ, ფაქტობრივად, ჩვენ უნდა შეგვეძლოს ცხოვრების სხვადასხვა ნაწილის გამიჯვნის უნარი. ეს არის კონფიდენციალურობის ნაწილი და შეიძლება იყოს უსაფრთხოების ნაწილი. ეს ასევე მხოლოდ ავტონომიის ნაწილია. კარგი არქიტექტურაა. ასე რომ, იერიხოს ფორუმს აქვს მცნებები.
მრავალი წლის წინ, MIT-ში, ჩვენ გვქონდა პროექტი სახელწოდებით Identity Embassy აქ, მედია ლაბორატორიაში, სადაც წამოვაყენეთ რამდენიმე მარტივი პროტოტიპი და იდეა, როგორ შეგეძლოთ ამის გაკეთება. ახლა, ყველა იმ ბოლოდროინდელ აქტივობასთან ერთად, რომელიც ადრე აღვნიშნეთ, არქიტექტურის სრულმასშტაბიანი გამოყენების კუთხით იდენტობისთვის აშშ-ში NSTIC-თან და მთელ მსოფლიოში, ჩვენ უფრო ძლიერად, უფრო ღრმად ვუყურებთ ამ პრობლემას.
მე და თომასი ვთანამშრომლობთ MIT-ის სხვადასხვა ნაწილში. მე გამოვაქვეყნებ იმას, რაც ჩვენი აზრით არის ძალიან საინტერესო და ეფექტური გზა, რომლითაც შეგიძლიათ მაღალი უსაფრთხოების წესით, მაგრამ ასევე საკმაოდ გამოსაყენებლად, გქონდეთ ეს ძირითადი იდენტიფიკატორები ან ინდივიდები და განუყოფლად დააკავშირეთ ისინი პერსონებთან, მაგრამ თავიდან აიცილეთ ეს ლინკი ძირითადი ID-ს და სხვადასხვა პერსონებისგან, ასე რომ თქვენ შეგიძლიათ მიიღოთ სარგებელი, როცა გსურთ, შეინარჩუნოთ პერსონები ცალკე.
ასევე, ის იძლევა მრავალი მოქნილი ბიზნეს მოდელის და სხვა პერსონალიზაციისა და კონფიდენციალურობის სერვისების განხორციელების საშუალებას, მაგრამ ჩვენ შეგვიძლია უფრო მეტი ჩავწვდეთ ამას დროის სისრულეში. მაგრამ, ზოგადად, ეს არის ის, რაც ახლა ხდება და ამაზე მეტად ვერ ვიქნებით აღელვებული.
ჰარჯონო: იმისათვის, რომ ძირითადი იდენტობების გლობალური ინფრასტრუქტურა განვითარდეს, ჩვენ ნამდვილად გვჭირდება თანამშრომლობა მსოფლიოს მთავრობებსა და კერძო სექტორს შორის. ამ პრობლემის შემხედვარე, ჩვენ ისტორიაში ვეძებდით ანალოგიის საპოვნელად და საუკეთესო ანალოგია, რაც შეგვეძლო, იყო DNS ინფრასტრუქტურა და IP მისამართი დავალება.
რეგისტრაცია ამისთვის ღია ჯგუფის კონფერენცია
16-18 ივლისს ვაშინგტონში, D.C. უყურეთ პირდაპირ ეთერში.
მეეს არ არის სრულყოფილი და მას აქვს თავისი კრიტიკოსები, მაგრამ იდეა ისაა, რომ თქვენ შეგიძლიათ გაყოთ IP მისამართების ბლოკები და მიიღოთ იგი გაყიდული და გადაყიდული კერძო ინდუსტრიის მიერ, ნამდვილად მისცა ინტერნეტს მასშტაბირება, დარტყმის შეზღუდვები, მაგრამ რა თქმა უნდა IPv6 ჰორიზონტზეა. ეს არის აქ დღეს.
ასე რომ, ჩვენ ვფიქრობდით იმავე ფილოსოფიაზე, სადაც ძირითადი იდენტიფიკატორები შეიძლება განლაგებულიყო ბლოკებად და გადაეცათ კერძო პირებს სექტორში, რათა მათ შეძლონ დანიშნონ, გაყიდონ ან მართონ ის ადამიანების სახელით, რომლებიც ფლობენ ინტერნეტს და შესაძლოა არა, როგორიცაა ჩემი დედა. ასე რომ, ჩვენ გვაქვს მთელი რიგი გამოწვევები ამ ეტაპზე.
გარდნერი: ეს ეხება MIT-ს მოდელის ნდობის ჩარჩო სისტემის წესის პროექტი?
გრეინვუდი: მოდელი Trust Framework System Rules პროექტი, რომელსაც ჩვენ ვახორციელებთ MIT-ში, არის ძალიან მნიშვნელოვანი ასპექტი იმისა, რაზეც ჩვენ ვსაუბრობთ. მე და თომასმა გარკვეულწილად ვისაუბრეთ ძირითადი იდენტიფიკატორებისა და ძირითადი იდენტობების ტექნიკურ და პრაქტიკულ ასპექტებზე. ძალიან მნიშვნელოვანი საქმიანი და იურიდიული ფენაა იქაც.
ასე რომ, ეს ნდობის ჩარჩო სისტემის წესები არის გზები, რათა დაიწყოთ მიახლოება სრულ ურთიერთდაკავშირებულ კომპლექტთან განზომილებები, რომლებიც აუცილებელია ამ ტიპის სქემების დასანერგად იურიდიულ, ბიზნეს და ტექნიკურ სფეროში ფენები.
რაც ნამდვილად აკლია არის ბიზნეს მოდელები, ბიზნეს საქმეები და, რა თქმა უნდა, სამართლებრივი მხარე.

ისინი მომდინარეობენ წარსულში ძალიან წარმატებული მაგალითებიდან, სადაც ორგანიზაციებმა დააკავშირეს ID უფრო ტრადიციული მიდგომებით, როგორიცაა SAML და სხვა მიდგომები. არსებობს ნდობის ჩარჩო სისტემის წესების რამდენიმე მაგალითი ბიზნეს, იურიდიულ და ტექნიკურ დონეზე.
ახლა ეს არის CIVICS.com და მალე, როდესაც ჩვენ გვაქვს ჩვენი მოდელი MIT Creative Commons მიდგომით, ჩვენ ავიღებთ რაციონალურად კოდირებულ უამრავ საუკეთესოს. საქმიანი, იურიდიული და ტექნიკური წესები მართლაც შეიძლება იყოს უფრო გრანულურად გასწორებული, რათა კარგად მოერგოს და გამოაქვეყნოს მოდელი, რომელიც ჩვენ ვფიქრობ, ძალიან სასარგებლო იქნება დღევანდელი იდენტობის გადაწყვეტილებებისთვის, რომლებიც განიხილება ფედერაციაზე NSTIC-ის და მსგავსის მიხედვით მოდელები. ეს აბსოლუტურად გამოსადეგი იქნებოდა, თუ როგორ შეიძლება წარმოიშვას არქიტექტურისა და ინფრასტრუქტურის საფუძველში მყოფი პიროვნების იდენტურობა, რომელსაც თომას, მე და ჯერიხო ფორუმის პოსტულაციას ვადგენთ.
ჰარჯონო: 10-15 წლის უკან რომ გადავხედოთ, ჩვენ ინჟინრებმა გამოვიმუშავეთ ყველა სახის გადაწყვეტა და მოვახდინეთ მათი სტანდარტიზება. რაც ნამდვილად აკლია არის ბიზნეს მოდელები, ბიზნეს საქმეები და, რა თქმა უნდა, სამართლებრივი მხარე.
როგორ შეუძლია ბიზნესს მიიღოს შემოსავალი იდენტობასთან დაკავშირებული ასპექტების მენეჯმენტით, მენეჯმენტით ატრიბუტები და ა.შ. და როგორ შეუძლიათ ამის გაკეთება ისე, რომ ეს არ დაარღვიოს მომხმარებლის კონფიდენციალურობა. მაგრამ ის მაინც მომხმარებელზე ორიენტირებულია იმ გაგებით, რომ მომხმარებელს სჭირდება თანხმობის გაცემა და შეუძლია თანხმობის გაუქმება და ა.შ. და ცდილობს განავითაროს ინფრასტრუქტურა, სადაც ყველა დაცულია.
გარდნერი: Open Group, როგორც გლობალური ორგანიზაცია, რომელიც ორიენტირებულია სტანდარტების დადგენის მიღმა თანამშრომლობის პროცესზე, როგორც ჩანს, ეს არის რამდენიმე მნიშვნელოვანი ასპექტები, რომლებიც შეგიძლიათ გააცნოთ თქვენს აუდიტორიას და დაიწყოთ იმ თანამშრომლობისა და დისკუსიის შექმნა, რომელიც შეიძლება გამოიწვიოს უფრო სრულყოფილი განხორციელება. არის თუ არა ეს გეგმა და არის ის, რის შესახებაც ჩვენ ველით, რომ მოვისმინოთ მეტი კონფერენციაზე მომავალ თვეში?
ჰietala: ეს არის გეგმა და ჩვენ ვიღებთ კარგ ნაზავს ჩვენს კონფერენციებსა და ღონისძიებებზე ხალხის მთელი მსოფლიოდან, ასევე სამთავრობო ორგანიზაციებიდან და მსხვილი საწარმოებიდან. ასე რომ, ეს, როგორც წესი, არის აზრებისა და იდეების კარგი შერევა მთელი მსოფლიოდან ნებისმიერ თემაზე, რაზეც ჩვენ ვსაუბრობთ - ამ შემთხვევაში იდენტობა და კიბერუსაფრთხოება.
ზე ვაშინგტონის კონფერენცია, ჩვენ გვაქვს დისკუსიების ნაზავი. დამწყები არის თანამემამულე სახელით ჯოელ ბრენერი რომელმაც დაწერა წიგნი, ამერიკა დაუცველი, რომელსაც მე გირჩევდი. ის შიგნით იყო ეროვნული უსაფრთხოების სააგენტო (NSA) და ის ჩართული იყო უამრავ კიბერშეტევასთან ბრძოლაში. მას აქვს ძალიან კარგი წარმოდგენა იმაზე, თუ რა ხდება რეალურად საფრთხის მხარეს და იცავს საფრთხის მხარეს. ასე რომ, ეს იქნება ძალიან საინტერესო დისკუსია. [წაიკითხე ინტერვიუ ჯოელ ბრენერთან.]
შემდეგ, ორშაბათს, დღის მეორე ნახევარში გვაქვს კონფერენციის პრეზენტაციები, რომლებიც განვიხილავთ კიბერუსაფრთხოებასა და პირადობას, მათ შორის თომას და დაზას პრეზენტაციები მათ მიერ ნახსენები რამდენიმე პროექტის შესახებ.
მულტფილმის ვიდეოები
თმაშ, ჩვენ ასევე პირველად შემოგთავაზებთ ამ ღონისძიებაზე მულტფილმების სერიებს, რომლებიც შეიქმნა იერიხოს ფორუმისთვის. ისინი აღწერენ უამრავ მცნებას, რომლებიც დაზამ ახსენა უფრო ხელმისაწვდომი გზით. ასე რომ, ისინი, იმედია, გასაგებია ერისკაცებისთვის და იმ ადამიანებისთვის, რომლებსაც არც ისე კარგად ესმით ყველა იდენტობის მექანიზმი, რომელიც არსებობს. ასე რომ, დიახ, ეს არის ის, რის გაკეთებასაც ვიმედოვნებთ.
გარდნერი: იქნებ ახლა უკეთ განვმარტოთ, რა არის და რას აკეთებს NSTIC?
გრეინვუდი:საუკეთესო ადამიანი, ვინც ახლა შეერთებულ შტატებში NSTIC-ზე ისაუბრებს, ალბათ პრეზიდენტი ბარაკ ობამაა, რადგან ის არის ის ადამიანი, ვინც ხელი მოაწერა პოლიტიკას. ჩვენმა პრეზიდენტმა და ადმინისტრაციამ მიიღეს საჭირო და, ვფიქრობ, ძალიან კარგად გააზრებული მიდგომა ინდუსტრიის სხვა დაინტერესებულ მხარეებთან ჩართვისთვის. არქიტექტურის შექმნა, რომელიც საჭირო იქნება შეერთებული შტატების იდენტობისთვის და როგორც მოდელი მსოფლიოსთვის, ასევე, თუ როგორ უნდა ვიმოქმედოთ სხვა ადამიანებთან მოდელები.
ზოგადად, NSTIC არის სტრატეგიული დოკუმენტი და საგზაო რუკა, თუ როგორ შეიძლება წარმოიქმნას ეროვნული ეკოსისტემა.

ჯერემი გრანტი ხელმძღვანელობს პროგრამის ოფისს და ის არის ძალიან ხელმისაწვდომი. ასე რომ, თუ ადამიანებს სურთ მეტი ინფორმაცია, მათ შეუძლიათ იპოვონ ჯერემი ონლაინში მარტივად nist.gov/nstic. და nstic.us ასევე აქვს მეტი ინფორმაცია.
ზოგადად, NSTIC არის სტრატეგიული დოკუმენტი და საგზაო რუკა, თუ როგორ შეიძლება წარმოიქმნას ეროვნული ეკოსისტემა, რომელიც შედგება მმართველი ორგანოსგან. ისინი იწყებენ ამის შეკრებას ამ ზაფხულს, 13 სხვადასხვა დაინტერესებულ ჯგუფთან ერთად, რომელთაგან თითოეული თვითორგანიზებას და აირჩევს ან დანიშნე ადამიანი -- ინდუსტრია, მთავრობა, სახელმწიფო და ადგილობრივი ხელისუფლება, აკადემია, კონფიდენციალურობის ჯგუფები, ინდივიდები -- რაც შესანიშნავია -- და ა.შ. მეოთხე.
მმართველობითი ჯგუფი შეიმუშავებს უფრო მეტ დეტალს, თუ როგორ გამოიყურება აკრედიტაციისა და ნდობის ნიშნები, ტიპები ტექნოლოგიებისა და მიდგომების, რომლებიც უპირატესობას ანიჭებენ ზოგადი პრინციპების მიხედვით, იმედი მაქვს, რომ ყველა წაიკითხავს NSTIC-ში დოკუმენტი.
უფრო დაბალ დონეზე, კონგრესმა გამოყო 10 მილიონ დოლარზე მეტი თეთრ სახლთან სამუშაოდ რამდენიმე პილოტისთვის, რომელთა ღირებულებაც მილიონ ნახევარ დოლარზე ნაკლები იქნება. ერთი ან ორი წლის განმავლობაში, სადაც პილოტირება მოხდება კონცეფციის, ტექნოლოგიების ან მიდგომების ინდივიდუალური მტკიცებულება ნდობის ჩარჩოების მიმართ და განთავსდება იქ, სადაც მათი გამოყენება შესაძლებელია ბაზარი.
ზოგადად, ამ დროიდან ორი თვის შემდეგ, ჩვენ ბევრად მეტი გვეცოდინება მმართველი ორგანოს შესახებ, როგორც კი მოწვეული იქნა და პილოტების შესახებ, როდესაც ეს კონტრაქტები გაფორმდება და გრანტები გაიცემა დაასკვნა. რისი თქმაც ახლა შეგვიძლია, არის ის, რომ გზა გაერთიანდება არის ნდობის ჩარჩო სისტემის წესები, ზუსტად იგივე ტიპის ერთეული, რომელსაც ჩვენ ვაკეთებთ მოდელს ხელი შეუწყოს ხალხის გაგებას, შაბლონებს და კარგად გააზრებულ სტრუქტურებს, რომლებიც მათ შეუძლიათ ჩამოაგდონ და, თავის მხრივ, გამოიყენონ საწყისად. წერტილი.
ნდობის წრე

სo ინდუსტრიის მიხედვით, სექტორის მიხედვით, მაგრამ ასევე რასაც ჩვენ ვუწოდებთ ნდობის წრეს ნდობის წრეში. ხალხი შეიმუშავებს საკუთარ სპეციფიკურ წესებს, რათა განისაზღვროს ზუსტად როგორ დააკმაყოფილებს ისინი ამ მოთხოვნებს. მათ შეუძლიათ მიიღონ ნდობის ნიშანი, იყოს ურთიერთთანამშრომლობა სხვა ნდობის ჩარჩოს თანმიმდევრულ წესებთან და საბოლოოდ თქვენ მიიღებთ მათ კლასტერირებას, რაც გამოიწვევს ეკოსისტემას.
ეკოსისტემა არ არის ერთი ზომა ყველასთვის. ეს არის მრავალი სისტემა, რომლებიც ურთიერთქმედებენ ჯანსაღად და შეუძლიათ ადაპტირება და ჩართვა დროთა განმავლობაში. ბევრი სხვა, როგორც ვთქვი, ხელმისაწვდომია nstic.us და nist.gov/nsticდა ეს საინტერესო დროა. ეს, რა თქმა უნდა, საუკეთესო სამთავრობო დოკუმენტია, რაც კი ოდესმე წამიკითხავს. ძალიან აღფრთოვანებული ვიქნები ვნახო როგორ გამოვა.
გარდნერი: რა მოდის იმ პაიკზე, რომელიც ამას კიდევ უფრო მნიშვნელოვანს გახდის?
ჰietala: მე მივმართავდი დისკუსიის მუქარისა და თავდასხმის მხარეს და ვიტყოდი, რომ, სამწუხაროდ, ჩვენ სავარაუდოა სანახავად მეტი სათაურები ორგანიზაციების დარღვევის, იდენტობების დაკარგვის, მოპარვისა და კომპრომეტირების შესახებ. ვფიქრობ, ეს უფრო ცუდი ამბავი იქნება, რომელიც ამ დისკუსიას წინ წაიყვანს. ეს არის ჩემი მოსაზრება, რომელიც ეფუძნება ინდუსტრიაში მუშაობას და სად არის ის ახლა.
ჰარჯონო: მე აღვნიშნე მომხმარებლის თანხმობა შემდგომში. მე ვფიქრობ, რომ ეს სულ უფრო და უფრო ხდება მნიშვნელოვანი პატარა ნაბიჯი გადასაჭრელად და მოსაგვარებლად ინდუსტრიაში და მცდელობებში, როგორიცაა მომხმარებლის მართული წვდომა (UMA) სამუშაო ჯგუფის ფარგლებში ქანთარა ინიციატივა.
ხალხი ცდილობს გადაჭრას პრობლემა, თუ როგორ უნდა გაიზიაროთ რესურსები. როგორ შემიძლია ლეგიტიმურად არა მარტო გავუზიარო ჩემი ფოტოები Flickr-ზე მონაცემებით, არამედ როგორ მივცე ჩემს ბანკს ჩემი თანხმობით ჩემი ზოგიერთი ატრიბუტის გაზიარება ბანკის პარტნიორებთან. ეს პატარა ნაბიჯია, მაგრამ საკმაოდ მნიშვნელოვანი ნაბიჯი.
გრეინვუდი: თვალი ადევნეთ UMA-ს ქანტარას გარეთ. განაგრძეთ ყურება OASIS, ასევე, და სამუშაო, რომელიც მოდის SAML-თან და Model Trust Framework სისტემის წესებთან.
ყველაზე მთავარი
მეჩემი აზრით, ყველაზე სტრატეგიულად მნიშვნელოვანი, რაც მოხდება, არის OpenID Connect. ისინი ახლა ასრულებენ სტანდარტს და არის რამდენიმე მითითების განხორციელება. ძალიან მიხარია MIT-თან მუშაობა, ჩვენს მეგობრებთან და პარტნიორებთან ერთად კორპორაცია MITER და სხვაგან.
ეს საშუალებას მისცემს ინდივიდების მასობრივ მასშტაბებს ჰქონდეთ უფრო მზა წვდომა იდენტურობაზე, რომელიც მათ შეუძლიათ ხელახლა გამოიყენონ უამრავ ადგილას. ამჟამად, ეს არის ცოტა დაჭერა-როგორც-დაჭერა-შეიძლება. თქვენ გაქვთ თქვენი Google ID ან Facebook და რამდენიმე სხვა. ეს არ არის ის, რისი გაგებაც ბევრ ინდუსტრიას ან სხვას ნამდვილად სურს.
მათ გააკეთეს სრული გადახედვა და გამოიყენეს SAML-დან მიღებული საუკეთესო გაკვეთილები და სხვა ფედერაციული ტექნოლოგიების მიდგომები. მე მჯერა, რომ ეს შეცვლის იმას, თუ როგორ ხდება იდენტობა და რა არის შესაძლებელი.
მათ შეასრულეს ისეთი შესანიშნავი სამუშაო, მე შეიძლება დავამატო, რომ ეს შეესაბამება მოდელის Trust Framework System Rules მიდგომების ტიპებს, UMA-ს ფენას თავზე, და სრულად შეესაბამება არქიტექტურის უფლებებს, მომავალ ინფრასტრუქტურას, სადაც ადამიანებს ექნებათ Core ID და ერთზე მეტი პერსონა, რომელიც შეიძლება გამოიხატოს, როგორც OpenID Connect რწმუნებათა სიგელები, რომლებიც განმეორებით შეიძლება გამოყენებულ იქნას დიზაინის მიხედვით, დიდი რაოდენობით დამყარებულ მხარეებს შორის, სადაც ჩვენ გვინდა ვიყოთ შესვლა.
ასე რომ, საინტერესო დროა. თუ ეს არის ერთი რამ, რაც უნდა გადახედოთ, მე ვიტყოდი, რომ მოძებნეთ Google-ში და მიიღეთ განახლებები OpenID Connect-ზე და უყურეთ როგორ განვითარდება ეს.

თქვენ ასევე შეიძლება დაგაინტერესოთ:

ღია ჯგუფის კონფერენციის სპიკერის თქმით, კორპორატიული მონაცემები, მიწოდების ჯაჭვები რჩება დაუცველი კიბერდანაშაულის შეტევების მიმართ
ღია ჯგუფის კონფერენციის მომხსენებლები განიხილავენ ღრუბელს: მაღალი რისკი თუ უკეთესი უსაფრთხოება?
Capgemini-ის CTO იმის შესახებ, თუ რატომ ავლენს Cloud Computing ორმაგობას IT-სა და ბიზნესს შორის
სან-ფრანცისკოს კონფერენციის დაკვირვებები: საწარმოს ტრანსფორმაცია, საწარმოს არქიტექტურა, SOA და ღრუბლოვანი გამოთვლის ნაპერწკალი
MIT-ის როსი იმის შესახებ, თუ როგორ იწვევს საწარმოს არქიტექტურა და IT უფრო მეტად, ვიდრე ოდესმე ბიზნესის ტრანსფორმაციას
კრიმინალური და სახელმწიფო საფრთხეების გადაფარვა მზარდი კიბერუსაფრთხოების საფრთხეს უქმნის გლობალურ ინტერნეტ კომერციას, ამბობს Open Group-ის სპიკერი
საწარმოს არქიტექტორები მთავარ როლს ასრულებენ ტრანსფორმაციაში, მონაცემთა ანალიტიკის ღირებულებაში - მაგრამ მათ უნდა იმოქმედონ სწრაფად, ამბობენ Open Group-ის დინამიკები.

კატეგორიები

არქივი