Konfrontace s bezpečnostními riziky copilotů

Stále více podniky využívají copiloty a low-code platformy, aby umožnily zaměstnancům – dokonce i těm s malou nebo žádnou technickou odborností – vytvářet výkonné copiloty a obchodní aplikace, jakož i zpracovávat velké množství dat. Nová zpráva od Zenity, Stav podnikových copilotů a low-code vývoje v roce 2024, zjistila, že průměrně podniky mají asi 80 000 aplikací a copilotů, které byly vytvořeny mimo standardní životní cyklus vývoje softwaru (SDLC).

Tento vývoj nabízí nové příležitosti, ale také nová rizika. Mezi těmito 80 000 aplikacemi a copiloty je přibližně 50 000 zranitelností. Zpráva uvedla, že tyto aplikace a copiloti se vyvíjejí rychlým tempem. V důsledku toho vytvářejí obrovské množství zranitelností.

Rizika podnikových copilotů a aplikací

Obvykle software vývojáři vytvářejí aplikace pečlivě podle definovaného SDLC (zabezpečeného životního cyklu vývoje), kde je každá aplikace neustále navrhována, nasazována, měřena a analyzována. Ale dnes tyto zábrany již neexistují. Lidé bez vývojářských zkušeností mohou nyní vytvářet a používat výkonné copiloty a obchodní aplikace v rámci Power Platform, Microsoft Copilot, OpenAI, ServiceNow, Salesforce, UiPath, Zapier a dalších. Tyto aplikace pomáhají s obchodními operacemi, protože přenášejí a ukládají citlivé údaje. Růst v této oblasti byl významný; zpráva zjistila 39% meziroční růst v adopci low-code vývoje a copilotů.

V důsledku obcházení SDLC jsou zranitelnosti všudypřítomné. Mnohé podniky nadšeně přijímají tyto schopnosti, aniž by plně ocenily fakt, že potřebují pochopit, kolik copilotů a aplikací je vytvářeno – a jejich obchodní kontext, také. Například potřebují pochopit, pro koho jsou aplikace a copiloti určeny, s jakými údaji aplikace interagují a jaké jsou jejich obchodní účely. Musí také vědět, kdo je vyvíjí. Protože často neví, a protože standardní vývojové postupy jsou obcházeny, vytváří se nová forma stínového IT.

To staví bezpečnostní týmy do obtížné pozice s mnoha copiloty, aplikacemi, automatizacemi a zprávami, které jsou vytvářeny mimo jejich znalosti obchodními uživateli v různých LoB. Zpráva zjistila, že všechny OWASP (Open Web Application Security Project) Top 10 kategorií rizik jsou všudypřítomné v podnicích. Průměrně má podnik 49 438 zranitelností. To se rovná 62% copilotů a aplikací postavených pomocí low-code, které obsahují bezpečnostní zranitelnost nějakého druhu.

Pochopení různých typů rizik

Copiloti představují tak významné potenciální ohrožení, protože používají přihlašovací údaje, mají přístup k citlivým údajům a mají vrozenou zvědavost, která je činí obtížně ovladatelnými. Skutečně, 63% copilotů postavených s low-code platformami bylo přehošeno s ostatními – a mnohé z nich akceptují neověřenou chat. To umožňuje podstatné riziko pro možné injekční útoky.

Vzhledem k tomu, jak copiloti fungují a jak obecně funguje umělá inteligence, musí být uplatněna přísná bezpečnostní opatření, aby se zabránilo sdílení interakcí koncových uživatelů s copiloty, sdílení aplikací s příliš mnoha nebo nesprávnými lidmi, zbytečnému udělování přístupu k citlivým údajům prostřednictvím umělé inteligence a podobně. Pokud tato opatření nejsou na místě, podniky riskují zvýšenou expozici vůči úniku údajů a zlomyslným injekčním útokům.

Dvě další významná rizika jsou:

Vzdálená výkonnost copilotů (RCE) – Tyto zranitelnosti představují útočnou cestu specifickou pro aplikace umělé inteligence. Tato verze RCE umožňuje externímu útočníkovi získat úplnou kontrolu nad Copilotem pro M365 a vynutit mu, aby splnil jeho příkazy, jednoduše tak, že pošle jednu e-mailovou zprávu, kalendářové pozvánku nebo zprávu v Teams.

Hostující účty: Používáním pouze jednoho hostujícího účtu a zkušební licence pro low-code platformu – obvykle dostupné zdarma napříč několika nástroji – útočník potřebuje pouze přihlásit se k low-code platformě nebo copilotovi podniku. Jakmile je uvnitř, útočník přepne na cílový adresář a poté má oprávnění správce domény na úrovni platformy. V důsledku toho útočníci hledají tyto hostující účty, které vedly k bezpečnostním porušením. Zde je datový bod, který by měl vzbudit strach u lídrů podniků a jejich bezpečnostních týmů: Průměrný podnik má více než 8 641 instancí nedůvěryhodných hostujících uživatelů, kteří mají přístup k aplikacím, které jsou vyvíjeny pomocí low-code a copilotů.

Potřebujete nový bezpečnostní přístup

Co mohou bezpečnostní týmy udělat proti tomuto všudypřítomnému, amorfnímu a kritickému riziku? Musí zajistit, aby měly kontrolní mechanismy na místě, které je upozorní na jakoukoli aplikaci, která má nezabezpečený krok v procesu získání přihlašovacích údajů nebo hardcodovaný tajný klíč. Musí také přidat kontext ke každé vytvářené aplikaci, aby zajistili, že existují odpovídající ověřovací kontroly pro všechny obchodní kritické aplikace, které také mají přístup k citlivým interním údajům.

Když jsou tyto taktiky nasazeny, další prioritou je zajistit, aby byla pro aplikace, které potřebují přístup k citlivým údajům, nastavena odpovídající ověřovací. Poté je nejlepší praxí nastavit přihlašovací údaje tak, aby mohly být zajištěny z přihlašovacího nebo tajného skladu, což zajistí, že hesla nejsou uložena v čitelném nebo prostém textu.

Zabezpečení vaší budoucnosti

 Džin low-code a copilotního vývoje je venku z lahve, takže není realistické se snažit ho vrátit zpět. Místo toho podniky potřebují být si vědomy rizik a nastavit kontrolní mechanismy, které udrží jejich údaje zabezpečené a řádně spravované. Bezpečnostní týmy čelily mnoha výzvám v této nové éře obchodního vývoje, ale dodržováním výše uvedených doporučení budou v nejlepší možné pozici, aby bezpečně přinesly inovace a produktivitu, kterou nabízejí podnikoví copiloti a low-code vývojové platformy, do odvážné nové budoucnosti.