кочан Преодоляване на най-големите предизвикателства пред сигурността на управляваната от AI разработка с нисък код/без код – Unite.AI
Свържете се с нас
   Лидери на мисълта  
Преодоляване на основните предизвикателства пред сигурността на разработката с нисък код/без код, управлявана от AI
 mm
Публикуван
 Преди 2 седмици
 on
   
 
Платформи за разработка с нисък код промениха начина, по който хората създават персонализирани бизнес решения, включително приложения, работни процеси и копилоти. Тези инструменти дават възможност на гражданските разработчици и създават по-гъвкава среда за разработка на приложения. Добавянето на AI към микса само подобри тази способност. Фактът, че в една организация няма достатъчно хора, които имат уменията (и времето) да изградят броя на приложенията, автоматизациите и т.н., които са необходими за придвижване на иновациите напред, доведе до нисък код/без код парадигма. Сега, без да се нуждаят от официално техническо обучение, гражданските разработчици могат да използват удобни за потребителя платформи и Generative AI, за да създават, обновяват и внедряват управлявани от AI решения.
Но колко сигурна е тази практика? Реалността е, че това въвежда множество нови рискове. Ето добрата новина: не е необходимо да избирате между сигурността и ефективността, която предоставят иновациите, водени от бизнеса.
Изместване отвъд традиционните компетенции
Екипите по информационни технологии и сигурност са свикнали да фокусират усилията си върху сканиране и търсене на уязвимости, записани в код. Те са съсредоточени върху това да се уверят, че разработчиците изграждат сигурен софтуер, да гарантират, че софтуерът е защитен и след това – след като е в производство – да го наблюдават за отклонения или за нещо подозрително впоследствие.
С нарастване на нисък код и без код, повече хора от всякога създават приложения и използват автоматизация за създаване на приложения – извън традиционния процес на разработка. Това често са служители с малък или никакъв опит в разработката на софтуер и тези приложения се създават извън сферата на сигурността.
Това създава ситуация, в която ИТ вече не изгражда всичко за организацията и екипът по сигурността няма видимост. В голяма организация може да получите няколкостотин приложения, създадени за една година чрез професионално развитие; с нисък/без код можете да получите много повече от това. Това са много потенциални приложения, които могат да останат незабелязани или ненаблюдавани от екипите по сигурността.
Богатство от нови рискове
 Някои от потенциалните опасения за сигурността, свързани с разработката с нисък код/без код, включват:
  1. Не е в компетенциите на ИТ – както току-що споменахме, гражданските разработчици работят извън линиите на ИТ специалистите, създавайки липса на видимост и разработка на приложения в сянка. Освен това тези инструменти позволяват на безкраен брой хора да създават приложения и автоматизации бързо, само с няколко кликвания. Това означава, че има неизброим брой приложения, които се създават с главоломна скорост от неизброим брой хора, без ИТ отделът да има пълната картина.
  2. Не жизнен цикъл на разработка на софтуер (SDLC) – Разработването на софтуер по този начин означава, че няма въведен SDLC, което може да доведе до непоследователност, объркване и липса на отчетност в допълнение към риска.
  3. Начинаещи разработчици – Тези приложения често се създават от хора с по-малко технически умения и опит, отваряйки вратата за грешки и заплахи за сигурността. Те не мислят непременно за разклоненията на сигурността или развитието по начина, по който би направил професионален разработчик или някой с повече технически опит. И ако бъде открита уязвимост в конкретен компонент, който е вграден в голям брой приложения, тя има потенциал да бъде използвана в множество екземпляри
  4. Лоши практики за идентичност – Управлението на идентичността също може да бъде проблем. Ако искате да дадете възможност на бизнес потребител да създаде приложение, първото нещо, което може да го спре, е липсата на разрешения. Често това може да бъде заобиколено и това, което се случва е, че може да имате потребител, използващ самоличността на някой друг. В този случай няма начин да разберете дали са направили нещо нередно. Ако осъществите достъп до нещо, което ви е забранено, или сте се опитали да направите нещо злонамерено, защитата ще започне да търси самоличността на заетия потребител, защото няма начин да се направи разлика между двете.
  5. Няма код за сканиране – Това причинява липса на прозрачност, която може да попречи на отстраняването на неизправности, отстраняването на грешки и анализа на сигурността, както и възможни опасения за съответствие и регулаторни изисквания.
Всички тези рискове могат да допринесат за потенциално изтичане на данни. Без значение как е изградено едно приложение – дали е изградено с плъзгане и пускане, текстова подкана или с код – то има самоличност, има достъп до данни, може да извършва операции и трябва да комуникира с потребители. Данните се преместват, често между различни места в организацията; това може лесно да наруши границите на данните или бариерите.
Поверителността на данните и съответствието също са застрашени. Чувствителните данни се намират в тези приложения, но те се обработват от бизнес потребители, които не знаят как (и дори не мислят) да ги съхраняват правилно. Това може да доведе до множество допълнителни проблеми, включително нарушения на съответствието.
Възвръщане на видимостта
Както споменахме, един от големи предизвикателства с нисък код/без код е, че не е в обсега на ИТ/сигурността, което означава, че данните преминават през приложенията. Не винаги има ясно разбиране за това кой наистина създава тези приложения и има цялостна липса на видимост какво наистина се случва. И не всяка организация дори е напълно наясно какво се случва. Или смятат, че гражданското развитие не се случва в тяхната организация, но почти сигурно е така.
И така, как лидерите по сигурността могат да получат контрол и да намалят риска? Първата стъпка е да разгледате инициативите за граждански разработчици във вашата организация, да разберете кой (ако има такъв) ръководи тези усилия и да се свържете с тях. Не искате тези отбори да се чувстват наказани или възпрепятствани; като лидер по сигурността, вашата цел трябва да бъде да подкрепите усилията им, но да осигурите обучение и насоки как да направите процеса по-безопасен.
Сигурността трябва да започне с видимостта. Ключът към това е създаването на опис на приложенията и развитието на разбирането за това кой какво изгражда. Наличието на тази информация ще ви помогне да сте сигурни, че ако възникне някакъв вид нарушение, ще можете да проследите стъпките и да разберете какво се е случило.
Създайте рамка за това как изглежда сигурното развитие. Това включва необходимите политики и технически контрол, които ще гарантират, че потребителите правят правилния избор. Дори професионалните разработчици правят грешки, когато става въпрос за чувствителни данни; още по-трудно е да се контролира това с бизнес потребители. Но с правилните контроли на място можете да затрудните допускането на грешка.
Към по-сигурен нисък код/без код
Традиционният процес на ръчно кодиране възпрепятства иновациите, особено в конкурентни сценарии за пускане на пазара. С днешните платформи с ниско съдържание на код и без код, дори хора без опит в разработката могат да създават управлявани от AI решения. Въпреки че това рационализира разработката на приложения, то може също така да застраши безопасността и сигурността на организациите. Това обаче не трябва да е избор между развитието на гражданите и сигурността; лидерите по сигурността могат да си партнират с бизнес потребителите, за да намерят баланс и за двамата.
       
 Свързани теми:
 mm
Майкъл е съосновател и главен технически директор на Зенит. Той е индустриален експерт по киберсигурност, интересуващ се от облак, SaaS и AppSec. Преди Zenity, Майкъл е бил старши архитект в Microsoft Cloud Security CTO Office, където основава и ръководи усилията за продукти за сигурност за IoT, API, IAC и поверителни изчисления. Майкъл ръководи усилията на общността на OWASP за сигурност с нисък код/без код.