AI युग एक नए पहचान विक्रेता की माँग करता है
AI युग एक नए प्रकार के पहचान विक्रेता की माँग करता है
अधिकांश संगठनों में प्रतिभा अधिग्रहण टीमों के लिए, उनका पहचान सत्यापन स्टैक एक अनुपालन समस्या को हल करने के लिए डिज़ाइन किया गया था, न कि सुरक्षा समस्या को: बैकग्राउंड चेक यह जाँचते थे कि क्या किसी ने अपराध किया है और क्या उन्हें काम करने की अनुमति है। बहु-कारक प्रमाणीकरण (Multi-factor authentication) हायरिंग पूरी होने के बाद कर्मचारी एक्सेस को सुरक्षित करने के लिए एक IT समाधान था, और धोखाधड़ी सिग्नल तकनीक का उपयोग केवल उत्पाद उपयोग में विसंगतियों को चिह्नित करने के लिए किया जाता था, भर्ती वर्कफ़्लो में नहीं। इनमें से प्रत्येक उपकरण अपने मूल दायरे में सुसंगत था, और प्रत्येक एक ऐसे खतरे के मॉडल के लिए डिज़ाइन किया गया था जिसे AI-संचालित प्रतिरूपण ने अप्रासंगिक बना दिया है।
जो बदला है वह क्रमिक नहीं है; जैसा कि हमने पहले चर्चा की है, दस्तावेज़ धोखाधड़ी की अर्थव्यवस्था ध्वस्त हो गई है, एक विश्वसनीय फेसस्वैप्ड ID अब $15 में मिलती है और इसके लिए किसी विशेष कौशल की आवश्यकता नहीं है। फिशिंग टूल के लोकतंत्रीकरण के साथ, व्यक्तिगत हमलावर और राज्य-प्रायोजित नेटवर्क इन तकनीकों को हर उद्योग में रिमोट हायरिंग पाइपलाइनों के खिलाफ तैनात करते हैं। संगठनों को विरासत में मिले नियंत्रण AI युग के लिए नहीं बनाए गए थे, और वे विक्रेता जो उन नियंत्रणों को बेच रहे हैं, इसे स्वीकार नहीं कर सकते।
लीगेसी विक्रेता यह बदलाव क्यों नहीं कर सकते
पुरानी दुनिया ने पहचान को दो अलग-अलग डोमेन में व्यवस्थित किया, प्रत्येक एक अलग विक्रेता श्रेणी के स्वामित्व में, और कोई भी श्रेणी उस अंतर को बंद करने की स्थिति में नहीं है जो अब उनके बीच मौजूद है। लीगेसी IDV विक्रेता अजनबियों के लिए बनाए गए थे और अनुपालन के आसपास डिज़ाइन किए गए थे: वे एक बार, एक क्षण के लिए, एक डेटाबेस के खिलाफ पहचान सत्यापित करते हैं। पहचान प्लेटफ़ॉर्म विक्रेता अंदरूनी लोगों के लिए बनाए गए थे और प्रावधान के आसपास डिज़ाइन किए गए थे: वे प्रबंधित उपकरणों पर काम करने वाले ज्ञात कर्मचारियों के लिए एक्सेस को नियंत्रित करते हैं। AI-युग प्रतिरूपण जो समस्या पैदा करता है वह उन दो डोमेन के बीच आती है, जिसके लिए कुछ ऐसी चीज़ की आवश्यकता है जो किसी भी विक्रेता को प्रदान करने के लिए आर्किटेक्चर में नहीं बनाया गया था।
लीगेसी IDV विक्रेताओं ने अपना मूल्य डेटाबेस लुकअप के आसपास बनाया: यह सत्यापित करना कि एक दस्तावेज़ नंबर मौजूद है, कि एक नाम मेल खाता है, कि एक रिकॉर्ड साफ है। उस आर्किटेक्चर में एक महत्वपूर्ण दोष है: DMV डेटाबेस अपने verification APIs के माध्यम से चेहरे की छवियाँ उजागर नहीं करते, जिसका अर्थ है कि वास्तविक अंतर्निहित डेटा का उपयोग करने वाली फेसस्वैप्ड ID हर जाँच को पास कर लेती है। दस्तावेज़ वैध है; उस पर का चेहरा नहीं है।
पहचान प्लेटफ़ॉर्म विक्रेताओं का डोमेन हायर के बाद शुरू होता है, जहाँ कर्मचारी जाने जाते हैं, उपकरण प्रबंधित होते हैं, और एक्सेस को आमंत्रण और प्रावधान वर्कफ़्लो के माध्यम से नियंत्रित किया जाता है। उस मॉडल को असत्यापित उम्मीदवारों — अज्ञात स्थानों से अज्ञान हार्डवेयर प्रस्तुत करने वाले अजनबियों — तक विस्तारित करने के लिए आर्किटेक्चरल मान्यताओं को छोड़ना होगा जिन पर उनके उत्पाद बनाए गए हैं।
धोखाधड़ी पहचान विक्रेता एक तीसरी श्रेणी पर कब्जा करते हैं जो समान रूप से बेमेल है। ये उपकरण व्यवहारिक परिवर्तन की पहचान करने के लिए कैलिब्रेट किए गए हैं — विशेष रूप से वह क्षण जब एक विश्वस्त उपयोगकर्ता कुछ असामान्य करता है — लेकिन धोखाधड़ी पहले दिन से पूरी तरह मौजूद है और कभी नहीं बदलती, जिसका अर्थ है कि व्यवहार विसंगति पहचान उस खतरे अभिनेता के खिलाफ पूरी तरह विफल हो जाती है जिसकी प्राथमिक वित्तीय प्रेरणा अदृश्य रहना है।
नए युग को वास्तव में क्या चाहिए
अंतर को बंद करने के लिए एक अलग आर्किटेक्चरल आधार की आवश्यकता है, जो तीन क्षमताओं के आसपास बनाया गया हो जो मौजूदा श्रेणियों में से किसी को भी प्रदान करने के लिए डिज़ाइन नहीं किया गया था।
पहला है वास्तविक स्थान विशेषज्ञता। स्व-रिपोर्ट किए गए पते और IP-आधारित सिग्नल आश्वासन दावे नहीं हैं, बल्कि फॉर्म फ़ील्ड हैं। लैपटॉप फार्म किसी भी अधिकार क्षेत्र में उपकरण प्रस्तुत कर सकते हैं, और DPRK ऑपरेशन अपने कर्मचारियों को अनट्रेसेबल रखने के लिए ठीक इसी बुनियादी ढाँचे का उपयोग करते हैं। जो स्थान को एक अर्थपूर्ण नियंत्रण में बदलता है वह है भौतिक उपस्थिति के प्रमाण के साथ संयोजन — यह पुष्टि करना कि उम्मीदवार सत्यापन के समय डिवाइस के साथ सह-स्थित था।
दूसरा है हार्डवेयर ट्रस्ट की जड़ें। ब्राउज़र-आधारित सत्यापन — चाहे मोबाइल पर हो या डेस्कटॉप पर — आज के हमलों के लिए आवश्यक आश्वासन स्तर नहीं दे सकता, क्योंकि ब्राउज़र वातावरण स्वयं असत्यापित है। हार्डवेयर अटेस्टेशन पर बना सत्यापन पुष्टि करता है कि डिवाइस के साथ छेड़छाड़ नहीं की गई है और ऑपरेटर शारीरिक रूप से उपस्थित है।
तीसरा है रियल-टाइम, निरंतर ऑपरेशन बिना री-ऑनबोर्डिंग के। जैसा कि हमने पहले कवर किया है, हायरिंग पाइपलाइन में हर सिस्टम हैंडऑफ एक विश्वास सीमा है जहाँ पूर्व दावे सत्यापन से नहीं बल्कि परंपरा से स्वीकार किए जाते हैं, और वर्तमान हायरिंग प्रथाएँ पहचान को एक बार की क्रेडेंशियलिंग घटना के रूप में मानती हैं — ऑनबोर्डिंग पर जाँची जाती है और फिर अनिश्चित काल के लिए वैध मानी जाती है — जब रोजगार संबंध स्वयं वह जगह है जहाँ ये योजनाएँ संचालित होती हैं।
Polyguard स्थान विशेषज्ञता, हार्डवेयर ट्रस्ट की जड़ों, और रियल-टाइम निरंतर सत्यापन के आसपास बनाया गया था — वे तीन क्षमताएँ जो लीगेसी विक्रेता बिना शुरू से पुनर्निर्माण किए नहीं जोड़ सकते।\
अक्सर पूछे जाने वाले प्रश्न
मेरा लीगेसी पहचान विक्रेता AI से क्यों नहीं निपट सकता? लीगेसी IDV उत्पाद एक ऐसी दुनिया के लिए इंजीनियर किए गए थे जहाँ एक विश्वसनीय नकली ID बनाने के लिए विशेषज्ञता और भौतिक उपकरण की आवश्यकता थी। AI ने उच्च-गुणवत्ता वाली दस्तावेज़ धोखाधड़ी को सस्ता और त्वरित बना दिया है, और डेटाबेस मिलान आर्किटेक्चर जो अधिकांश पहचान विक्रेताओं को रेखांकित करता है, इसे पकड़ने के लिए कभी डिज़ाइन नहीं किया गया था।
AI को लीगेसी विक्रेताओं के लिए इतना कठिन क्यों बनाता है? AI-संचालित हायरिंग धोखाधड़ी पहचान, स्थान और कौशल को विभिन्न लोगों में विभाजित करती है, इसलिए कोई भी एकल जाँच पूरी तस्वीर को नहीं पकड़ती। लीगेसी विक्रेताओं में से प्रत्येक को केवल उनमें से एक को अलगाव में सत्यापित करने के लिए बनाया गया था, जो ठीक वह अंतर है जिसके माध्यम से ये हमले फिसलने के लिए डिज़ाइन किए गए हैं।
क्या मुझे अपने मौजूदा विक्रेता के AI के साथ पकड़ने का इंतजार करना चाहिए? एक मध्यम आकार की कंपनी में एकल धोखाधड़ी वाली भर्ती से वित्तीय जोखिम मुकदमेबाजी को शामिल करने से पहले करोड़ों डॉलर में चल सकता है। इसके अलावा, लीगेसी विक्रेताओं के पास अपनी सीमाओं को कितना दृश्यमान बनाना है, इसे कम करने के लिए एक व्यावसायिक प्रोत्साहन है, जो एक सार्थक आर्किटेक्चरल ओवरहाल को असंभव बनाता है।
AI ने नई हायरिंग धोखाधड़ी की समस्याएँ पैदा की हैं। क्या मेरा वर्तमान विक्रेता उन्हें हल कर पाएगा? अधिकांश वर्तमान विक्रेता आपको बता सकते हैं कि कोई दस्तावेज़ वास्तविक है या नहीं। वे आपको नहीं बता सकते कि इसे प्रस्तुत करने वाला व्यक्ति शारीरिक रूप से उपस्थित है, क्या वही व्यक्ति काम करने आता है, या उनका स्थान वही है जो वे दावा करते हैं। ये वे प्रश्न हैं जो अब मायने रखते हैं।
AI ने हायरिंग का खेल बदल दिया है। क्या आपके पास इसे जीतने के लिए सही टीम है? जीतने के लिए पहचान, स्थान और ऑपरेटर निरंतरता को एक साथ — अलग-अलग नहीं — सत्यापित करना आवश्यक है। कोई भी विक्रेता जो एक बार में एक जाँच करता है, स्थान के लिए IP पतों पर निर्भर करता है, या ऑनबोर्डिंग को पहचान पर अंतिम शब्द मानता है, एक ऐसे खेल-पुस्तक के साथ काम कर रहा है जिसे संगठित प्रतिरूपण योजनाएँ विशेष रूप से हराने के लिए डिज़ाइन की गई थीं।
डीपफेक ने हायरिंग स्क्रिप्ट को फिर से लिखा है। क्या आप इसके साथ कदम रख रहे हैं? Liveness detection पुष्टि करती है कि कैमरे के सामने एक वास्तविक व्यक्ति है। यह पुष्टि नहीं करती कि वे जो दस्तावेज़ पकड़े हुए हैं वह वास्तविक है या उनका स्थान वही है जो वे दावा करते हैं। जब दस्तावेज़ को हमलावर के असली चेहरे से मेल खाने के लिए बदल दिया गया है, तो liveness detection बिना किसी डीपफेक वीडियो के साफ-साफ पास हो जाती है।
Polyguard को क्रियान्वित देखना चाहते हैं?
अपनी संचार सुरक्षा के लिए रीयल-टाइम पहचान सत्यापन का अनुभव करें।
