رطم التغلب على أهم التحديات الأمنية المتعلقة بتطوير التعليمات البرمجية المنخفضة/عدم وجود تعليمات برمجية تعتمد على الذكاء الاصطناعي - Unite.AI
اتصل بنا للحصول على مزيد من المعلومات
   قاده التفكير  
التغلب على أهم التحديات الأمنية التي تواجه تطوير التعليمات البرمجية المنخفضة/عدم وجود تعليمات برمجية تعتمد على الذكاء الاصطناعي
 mm
تم النشر
 قبل أسابيع 2
 on
   
 
منصات تطوير ذات كود منخفض لقد غيرت الطريقة التي ينشئ بها الأشخاص حلول أعمال مخصصة، بما في ذلك التطبيقات ومسارات العمل ومساعدي الطيارين. تعمل هذه الأدوات على تمكين المطورين المواطنين وإنشاء بيئة أكثر مرونة لتطوير التطبيقات. وقد أدت إضافة الذكاء الاصطناعي إلى هذا المزيج إلى تعزيز هذه القدرة فقط. إن حقيقة عدم وجود عدد كافٍ من الأشخاص في المؤسسة الذين لديهم المهارات (والوقت) لبناء عدد من التطبيقات والأتمتة وما إلى ذلك اللازمة لدفع الابتكار للأمام قد أدت إلى ظهور الكود المنخفض/عدم وجود كود نموذج. الآن، دون الحاجة إلى تدريب فني رسمي، يمكن للمطورين المواطنين الاستفادة من المنصات سهلة الاستخدام والذكاء الاصطناعي التوليدي لإنشاء وابتكار ونشر حلول تعتمد على الذكاء الاصطناعي.
ولكن ما مدى أمان هذه الممارسة؟ والحقيقة هي أنها تقدم مجموعة من المخاطر الجديدة. إليك الأخبار الجيدة: ليس عليك الاختيار بين الأمان والكفاءة التي يوفرها الابتكار الذي تقوده الأعمال.
تحول خارج النطاق التقليدي
اعتادت فرق تكنولوجيا المعلومات والأمن على تركيز جهودها على المسح والبحث عن نقاط الضعف المكتوبة في التعليمات البرمجية. لقد ركزوا على التأكد من أن المطورين يقومون ببناء برامج آمنة، والتأكد من أن البرامج آمنة، وبعد ذلك - بمجرد دخولها مرحلة الإنتاج - مراقبتها بحثًا عن أي انحرافات أو أي شيء مريب بعد حدوثها.
مع صعود رمز منخفض ولا يوجد رمز، أصبح عدد الأشخاص الذين يقومون ببناء التطبيقات ويستخدمون الأتمتة لإنشاء التطبيقات أكثر من أي وقت مضى - خارج عملية التطوير التقليدية. غالبًا ما يكون هؤلاء موظفين لديهم خلفية قليلة أو معدومة في مجال تطوير البرامج، ويتم إنشاء هذه التطبيقات خارج نطاق الأمان.
وهذا يخلق موقفًا حيث لم تعد تكنولوجيا المعلومات تقوم ببناء كل شيء للمؤسسة، ويفتقر فريق الأمان إلى الرؤية. في مؤسسة كبيرة، قد تحصل على بضع مئات من التطبيقات التي تم إنشاؤها خلال عام من خلال التطوير المهني؛ مع رمز منخفض/بدون رمز، يمكنك الحصول على أكثر من ذلك بكثير. هناك الكثير من التطبيقات المحتملة التي يمكن أن تمر دون أن يلاحظها أحد أو لا تتم مراقبتها من قبل فرق الأمان.
ثروة من المخاطر الجديدة
 تتضمن بعض المخاوف الأمنية المحتملة المرتبطة بتطوير التعليمات البرمجية المنخفضة/بدون تعليمات برمجية ما يلي:
  1. ليس من اختصاص تكنولوجيا المعلومات - كما ذكرنا للتو، يعمل المطورون المواطنون خارج خطوط متخصصي تكنولوجيا المعلومات، مما يؤدي إلى نقص في الرؤية وتطوير تطبيقات الظل. بالإضافة إلى ذلك، تتيح هذه الأدوات لعدد لا حصر له من الأشخاص إنشاء التطبيقات وعمليات التشغيل الآلي بسرعة، ببضع نقرات فقط. وهذا يعني أن هناك عددًا لا يحصى من التطبيقات التي يتم إنشاؤها بسرعة فائقة بواسطة عدد لا يحصى من الأشخاص دون أن يكون لدى تكنولوجيا المعلومات الصورة الكاملة.
  2. لا دورة حياة تطوير البرمجيات (SDLC) - تطوير البرمجيات بهذه الطريقة يعني عدم وجود SDLC، مما قد يؤدي إلى عدم الاتساق والارتباك وانعدام المساءلة بالإضافة إلى المخاطر.
  3. المطورون المبتدئون – غالبًا ما يتم إنشاء هذه التطبيقات بواسطة أشخاص يتمتعون بمهارات وخبرة تقنية أقل، مما يفتح الباب أمام الأخطاء والتهديدات الأمنية. إنهم لا يفكرون بالضرورة في التداعيات الأمنية أو التنموية بالطريقة التي يفكر بها المطور المحترف أو أي شخص يتمتع بخبرة تقنية أكبر. وإذا تم العثور على ثغرة أمنية في مكون معين مضمن في عدد كبير من التطبيقات، فمن المحتمل استغلالها عبر مثيلات متعددة
  4. ممارسات الهوية السيئة - يمكن أن تكون إدارة الهوية مشكلة أيضًا. إذا كنت ترغب في تمكين مستخدم الأعمال من إنشاء تطبيق، فإن الشيء الأول الذي قد يمنعه هو عدم وجود الأذونات. في كثير من الأحيان، يمكن التحايل على ذلك، وما يحدث هو أنه قد يكون لديك مستخدم يستخدم هوية شخص آخر. في هذه الحالة، لا توجد طريقة لمعرفة ما إذا كانوا قد فعلوا شيئًا خاطئًا. إذا قمت بالوصول إلى شيء غير مسموح لك به أو حاولت القيام بشيء ضار، فسوف يأتي الأمن للبحث عن هوية المستخدم المستعار لأنه لا توجد طريقة للتمييز بين الاثنين.
  5. لا توجد تعليمات برمجية لمسحها - يؤدي هذا إلى نقص الشفافية الذي يمكن أن يعيق استكشاف الأخطاء وإصلاحها وتصحيح الأخطاء والتحليل الأمني، بالإضافة إلى الامتثال المحتمل والمخاوف التنظيمية.
يمكن أن تساهم جميع هذه المخاطر في احتمالية تسرب البيانات. بغض النظر عن كيفية إنشاء التطبيق - سواء تم إنشاؤه باستخدام السحب والإفلات، أو موجه يستند إلى نص، أو باستخدام تعليمات برمجية - فهو يتمتع بهوية، ويمكنه الوصول إلى البيانات، ويمكنه تنفيذ العمليات، ويحتاج إلى التواصل مع المستخدمين. يتم نقل البيانات، غالبًا بين أماكن مختلفة في المؤسسة؛ وهذا يمكن أن يكسر حدود أو حواجز البيانات بسهولة.
خصوصية البيانات والامتثال لها أيضًا على المحك. توجد بيانات حساسة داخل هذه التطبيقات، ولكن يتم التعامل معها من قبل مستخدمي الأعمال الذين لا يعرفون (ولا حتى يفكرون) في كيفية تخزينها بشكل صحيح. يمكن أن يؤدي ذلك إلى مجموعة من المشكلات الإضافية، بما في ذلك انتهاكات الامتثال.
استعادة الرؤية
كما ذكر أحد تتمثل التحديات الكبيرة ذات التعليمات البرمجية المنخفضة أو المعدومة في أنها لا تقع ضمن اختصاص تكنولوجيا المعلومات/الأمنمما يعني أن البيانات تعبر التطبيقات. لا يوجد دائمًا فهم واضح لمن يقوم بالفعل بإنشاء هذه التطبيقات، وهناك نقص عام في رؤية ما يحدث بالفعل. وليس كل منظمة على علم تام بما يحدث. أو يعتقدون أن تنمية المواطن لا تحدث في مؤسستهم، ولكن من المؤكد أنها تحدث.
إذن، كيف يمكن لقادة الأمن السيطرة وتخفيف المخاطر؟ الخطوة الأولى هي النظر في مبادرات المطورين المواطنين داخل مؤسستك، ومعرفة من (إن وجد) الذي يقود هذه الجهود والتواصل معهم. لا تريد أن تشعر هذه الفرق بالعقاب أو الإعاقات؛ باعتبارك قائدًا أمنيًا، يجب أن يكون هدفك هو دعم جهودهم مع توفير التعليم والتوجيه حول جعل العملية أكثر أمانًا.
يجب أن يبدأ الأمن بالرؤية. والمفتاح لذلك هو إنشاء قائمة جرد للتطبيقات وتطوير فهم لمن يقوم ببناء ماذا. سيساعد الحصول على هذه المعلومات على ضمان أنه في حالة حدوث نوع من الانتهاك، فستتمكن من تتبع الخطوات ومعرفة ما حدث.
إنشاء إطار لما تبدو عليه التنمية الآمنة. يتضمن ذلك السياسات والضوابط الفنية اللازمة التي تضمن قيام المستخدمين بالاختيار الصحيح. حتى المطورين المحترفين يرتكبون أخطاء عندما يتعلق الأمر بالبيانات الحساسة؛ ومن الصعب التحكم في ذلك مع مستخدمي الأعمال. ولكن مع وجود الضوابط الصحيحة، يمكنك أن تجعل من الصعب ارتكاب الأخطاء.
نحو رمز منخفض/بدون رمز أكثر أمانًا
لقد أعاقت العملية التقليدية للترميز اليدوي الابتكار، خاصة في سيناريوهات وقت الوصول إلى السوق التنافسية. مع الأنظمة الأساسية منخفضة التعليمات البرمجية والتي لا تحتوي على تعليمات برمجية اليوم، يمكن حتى للأشخاص الذين ليس لديهم خبرة في التطوير إنشاء حلول تعتمد على الذكاء الاصطناعي. وفي حين أن هذا قد أدى إلى تبسيط عملية تطوير التطبيقات، فإنه يمكن أيضًا أن يعرض سلامة المؤسسات وأمنها للخطر. ومع ذلك، لا ينبغي أن يكون الاختيار بين تنمية المواطن والأمن؛ يمكن لقادة الأمن الشراكة مع مستخدمي الأعمال لإيجاد التوازن لكليهما.
       
 مواضيع ذات صلة:
 mm
مايكل هو المؤسس المشارك والرئيس التنفيذي للتكنولوجيا في زينتي. وهو خبير في مجال الأمن السيبراني ومهتم بالسحابة وSaaS وAppSec. قبل انضمامه إلى Zenity، كان مايكل مهندسًا أول في Microsoft Cloud Security CTO Office، حيث أسس وترأس جهود المنتجات الأمنية لإنترنت الأشياء وواجهات برمجة التطبيقات وIaC والحوسبة السرية. يقود مايكل جهود مجتمع OWASP فيما يتعلق بأمان الكود المنخفض/بدون كود.