výhonek Překonání nejvyšších bezpečnostních výzev vývoje s nízkým/žádným kódem řízeným umělou inteligencí – Unite.AI
Spojte se s námi
   Myšlenkové vůdce  
Překonání hlavních bezpečnostních výzev vývoje s nízkým/žádným kódem řízeným umělou inteligencí
 mm
Zveřejněno
 Před 2 týdnů
 on
   
 
Nízkokódové vývojové platformy změnily způsob, jakým lidé vytvářejí vlastní obchodní řešení, včetně aplikací, pracovních postupů a kopilotů. Tyto nástroje umožňují vývojářům občanů a vytvářejí agilnější prostředí pro vývoj aplikací. Přidání umělé inteligence do mixu tuto schopnost jen vylepšilo. Skutečnost, že v organizaci není dostatek lidí, kteří by měli dovednosti (a čas) na vybudování množství aplikací, automatizací a tak dále, které jsou potřebné k tomu, aby se inovace posunuly vpřed, dala vzniknout nízkému kódu/žádnému kódu. paradigma. Nyní, aniž by potřebovali formální technické školení, mohou občanští vývojáři využívat uživatelsky přívětivé platformy a generativní umělou inteligenci k vytváření, inovaci a nasazení řešení řízených umělou inteligencí.
Ale jak bezpečná je tato praxe? Realita je taková, že to přináší řadu nových rizik. Zde je dobrá zpráva: nemusíte si vybírat mezi zabezpečením a efektivitou, kterou inovace vedené podnikáním poskytují.
Posun za tradiční působnost
IT a bezpečnostní týmy jsou zvyklé soustředit své úsilí na skenování a hledání zranitelností zapsaných do kódu. Zaměřili se na to, aby vývojáři stavěli bezpečný software, aby zajistili, že software je bezpečný, a poté – jakmile je ve výrobě – sledují, zda nedochází k odchylkám nebo k něčemu podezřelému.
S vzestup nízkého kódu a žádného kódu, více lidí než kdy jindy vytváří aplikace a používá automatizaci k vytváření aplikací – mimo tradiční proces vývoje. Často se jedná o zaměstnance s malým nebo žádným pozadím vývoje softwaru a tyto aplikace jsou vytvářeny mimo dosah zabezpečení.
Vzniká tak situace, kdy IT již nevytváří vše pro organizaci a bezpečnostní tým postrádá viditelnost. Ve velké organizaci můžete získat několik stovek aplikací vytvořených za rok prostřednictvím profesionálního rozvoje; s nízkým/žádným kódem můžete získat mnohem více. To je spousta potenciálních aplikací, které by bezpečnostní týmy mohly zůstat nepovšimnuty nebo nemonitorovány.
Množství nových rizik
 Některé z potenciálních bezpečnostních problémů souvisejících s vývojem s nízkým/žádným kódem zahrnují:
  1. Není to v kompetenci IT – jak bylo právě zmíněno, občanští vývojáři pracují mimo linie IT profesionálů, což způsobuje nedostatek viditelnosti a stínového vývoje aplikací. Tyto nástroje navíc umožňují nekonečnému počtu lidí rychle vytvářet aplikace a automatizace pomocí pouhých několika kliknutí. To znamená, že existuje nevýslovné množství aplikací, které jsou vytvářeny závratným tempem nesčetným počtem lidí, aniž by IT mělo úplný obraz.
  2. Ne životní cyklus vývoje softwaru (SDLC) – Vývoj softwaru tímto způsobem znamená, že neexistuje žádné SDLC, což může kromě rizika vést k nekonzistentnosti, zmatku a nedostatku odpovědnosti.
  3. Začínající vývojáři – Tyto aplikace často vytvářejí lidé s menšími technickými dovednostmi a zkušenostmi, což otevírá dveře chybám a bezpečnostním hrozbám. Nepřemýšlejí nutně o bezpečnostních nebo vývojových důsledcích tak, jak by to myslel profesionální vývojář nebo někdo s více technickými zkušenostmi. A pokud je chyba zabezpečení nalezena v konkrétní komponentě, která je zabudována do velkého počtu aplikací, má potenciál být zneužita ve více instancích.
  4. Špatné praktiky identity – Problémem může být i správa identit. Pokud chcete dát obchodnímu uživateli možnost vytvořit aplikaci, první věcí, která by ho mohla zastavit, je nedostatek oprávnění. Často se to dá obejít a stane se, že můžete mít uživatele, který používá identitu někoho jiného. V tomto případě neexistuje způsob, jak zjistit, zda udělali něco špatně. Pokud přistupujete k něčemu, k čemu nemáte povoleno, nebo jste se pokusili udělat něco škodlivého, zabezpečení začne hledat identitu vypůjčeného uživatele, protože neexistuje způsob, jak mezi nimi rozlišit.
  5. Žádný kód ke skenování – To způsobuje nedostatek transparentnosti, který může bránit řešení problémů, ladění a analýze zabezpečení, stejně jako možnému dodržování předpisů a regulačním problémům.
Všechna tato rizika mohou přispět k potenciálnímu úniku dat. Bez ohledu na to, jak je aplikace sestavena – ať už je sestavena přetažením, textovou výzvou nebo kódem – má identitu, má přístup k datům, může provádět operace a potřebuje komunikovat. s uživateli. Data se přesouvají, často mezi různými místy v organizaci; to může snadno prolomit datové hranice nebo bariéry.
V sázce je také ochrana osobních údajů a dodržování předpisů. V těchto aplikacích žijí citlivá data, ale nakládají s nimi firemní uživatelé, kteří nevědí, jak je (a ani si to nemyslí) správně uložit. To může vést k řadě dalších problémů, včetně porušení předpisů.
Znovu získat viditelnost
Jak bylo zmíněno, jeden z Velkým problémem s nízkým/žádným kódem je, že to není v kompetenci IT/bezpečnosti, což znamená, že data procházejí aplikacemi. Ne vždy je jasné, kdo tyto aplikace skutečně vytváří, a celkově chybí přehled o tom, co se skutečně děje. A ne každá organizace si je plně vědoma toho, co se děje. Nebo si myslí, že v jejich organizaci nedochází k rozvoji občanů, ale téměř jistě ano.
Jak tedy mohou bezpečnostní lídři získat kontrolu a zmírnit rizika? Prvním krokem je podívat se na občanské vývojářské iniciativy ve vaší organizaci, zjistit, kdo (pokud někdo) vede tyto snahy, a spojit se s nimi. Nechcete, aby se tyto týmy cítily penalizovány nebo bráněny; vaším cílem jakožto vedoucího pracovníka v oblasti bezpečnosti by mělo být podporovat jejich úsilí, ale poskytovat jim vzdělání a pokyny, jak učinit proces bezpečnější.
Bezpečnost musí začít viditelností. Klíčem k tomu je vytvoření inventáře aplikací a rozvoj porozumění tomu, kdo co vytváří. Tyto informace vám pomohou zajistit, že pokud k nějakému narušení dojde, budete schopni vysledovat kroky a zjistit, co se stalo.
Vytvořte rámec pro to, jak vypadá bezpečný vývoj. To zahrnuje nezbytné zásady a technické kontroly, které uživatelům zajistí správná rozhodnutí. I profesionální vývojáři dělají chyby, pokud jde o citlivá data; ještě těžší je to ovládat u podnikových uživatelů. Se správnými ovládacími prvky ale můžete udělat chybu jen obtížně.
Směrem k bezpečnějšímu nízkému/žádnému kódu
Tradiční proces ručního kódování bránil inovaci, zejména v konkurenčních scénářích, které se týkají doby uvedení na trh. S dnešními platformami s nízkým a žádným kódem mohou i lidé bez zkušeností s vývojem vytvářet řešení řízená umělou inteligencí. I když to zjednodušilo vývoj aplikací, může to také ohrozit bezpečnost a zabezpečení organizací. Nemusí to však být volba mezi občanským rozvojem a bezpečností; bezpečnostní lídři mohou spolupracovat s firemními uživateli, aby našli rovnováhu pro oba.
       
 Související témata:
 mm
Michael je spoluzakladatelem a CTO společnosti zeity. Je odborníkem na kybernetickou bezpečnost a zajímá se o cloud, SaaS a AppSec. Před příchodem do Zenity byl Michael hlavním architektem v Microsoft Cloud Security CTO Office, kde založil a vedl úsilí o bezpečnostní produkty pro IoT, API, IaC a důvěrné výpočty. Michael stojí v čele úsilí komunity OWASP o zabezpečení s nízkým/žádným kódem.