Myšlenkové vůdce
Překonání hlavních bezpečnostních výzev vývoje s nízkým/žádným kódem řízeným umělou inteligencí
Nízkokódové vývojové platformy změnily způsob, jakým lidé vytvářejí vlastní obchodní řešení, včetně aplikací, pracovních postupů a kopilotů. Tyto nástroje umožňují vývojářům občanů a vytvářejí agilnější prostředí pro vývoj aplikací. Přidání umělé inteligence do mixu tuto schopnost jen vylepšilo. Skutečnost, že v organizaci není dostatek lidí, kteří by měli dovednosti (a čas) na vybudování množství aplikací, automatizací a tak dále, které jsou potřebné k tomu, aby se inovace posunuly vpřed, dala vzniknout nízkému kódu/žádnému kódu. paradigma. Nyní, aniž by potřebovali formální technické školení, mohou občanští vývojáři využívat uživatelsky přívětivé platformy a generativní umělou inteligenci k vytváření, inovaci a nasazení řešení řízených umělou inteligencí.
Ale jak bezpečná je tato praxe? Realita je taková, že to přináší řadu nových rizik. Zde je dobrá zpráva: nemusíte si vybírat mezi zabezpečením a efektivitou, kterou inovace vedené podnikáním poskytují.
Posun za tradiční působnost
IT a bezpečnostní týmy jsou zvyklé soustředit své úsilí na skenování a hledání zranitelností zapsaných do kódu. Zaměřili se na to, aby vývojáři stavěli bezpečný software, aby zajistili, že software je bezpečný, a poté – jakmile je ve výrobě – sledují, zda nedochází k odchylkám nebo k něčemu podezřelému.
S vzestup nízkého kódu a žádného kódu, více lidí než kdy jindy vytváří aplikace a používá automatizaci k vytváření aplikací – mimo tradiční proces vývoje. Často se jedná o zaměstnance s malým nebo žádným pozadím vývoje softwaru a tyto aplikace jsou vytvářeny mimo dosah zabezpečení.
Vzniká tak situace, kdy IT již nevytváří vše pro organizaci a bezpečnostní tým postrádá viditelnost. Ve velké organizaci můžete získat několik stovek aplikací vytvořených za rok prostřednictvím profesionálního rozvoje; s nízkým/žádným kódem můžete získat mnohem více. To je spousta potenciálních aplikací, které by bezpečnostní týmy mohly zůstat nepovšimnuty nebo nemonitorovány.
Množství nových rizik
Některé z potenciálních bezpečnostních problémů souvisejících s vývojem s nízkým/žádným kódem zahrnují:
- Není to v kompetenci IT – jak bylo právě zmíněno, občanští vývojáři pracují mimo linie IT profesionálů, což způsobuje nedostatek viditelnosti a stínového vývoje aplikací. Tyto nástroje navíc umožňují nekonečnému počtu lidí rychle vytvářet aplikace a automatizace pomocí pouhých několika kliknutí. To znamená, že existuje nevýslovné množství aplikací, které jsou vytvářeny závratným tempem nesčetným počtem lidí, aniž by IT mělo úplný obraz.
- Ne životní cyklus vývoje softwaru (SDLC) – Vývoj softwaru tímto způsobem znamená, že neexistuje žádné SDLC, což může kromě rizika vést k nekonzistentnosti, zmatku a nedostatku odpovědnosti.
- Začínající vývojáři – Tyto aplikace často vytvářejí lidé s menšími technickými dovednostmi a zkušenostmi, což otevírá dveře chybám a bezpečnostním hrozbám. Nepřemýšlejí nutně o bezpečnostních nebo vývojových důsledcích tak, jak by to myslel profesionální vývojář nebo někdo s více technickými zkušenostmi. A pokud je chyba zabezpečení nalezena v konkrétní komponentě, která je zabudována do velkého počtu aplikací, má potenciál být zneužita ve více instancích.
- Špatné praktiky identity – Problémem může být i správa identit. Pokud chcete dát obchodnímu uživateli možnost vytvořit aplikaci, první věcí, která by ho mohla zastavit, je nedostatek oprávnění. Často se to dá obejít a stane se, že můžete mít uživatele, který používá identitu někoho jiného. V tomto případě neexistuje způsob, jak zjistit, zda udělali něco špatně. Pokud přistupujete k něčemu, k čemu nemáte povoleno, nebo jste se pokusili udělat něco škodlivého, zabezpečení začne hledat identitu vypůjčeného uživatele, protože neexistuje způsob, jak mezi nimi rozlišit.
- Žádný kód ke skenování – To způsobuje nedostatek transparentnosti, který může bránit řešení problémů, ladění a analýze zabezpečení, stejně jako možnému dodržování předpisů a regulačním problémům.
Všechna tato rizika mohou přispět k potenciálnímu úniku dat. Bez ohledu na to, jak je aplikace sestavena – ať už je sestavena přetažením, textovou výzvou nebo kódem – má identitu, má přístup k datům, může provádět operace a potřebuje komunikovat. s uživateli. Data se přesouvají, často mezi různými místy v organizaci; to může snadno prolomit datové hranice nebo bariéry.
V sázce je také ochrana osobních údajů a dodržování předpisů. V těchto aplikacích žijí citlivá data, ale nakládají s nimi firemní uživatelé, kteří nevědí, jak je (a ani si to nemyslí) správně uložit. To může vést k řadě dalších problémů, včetně porušení předpisů.
Znovu získat viditelnost
Jak bylo zmíněno, jeden z Velkým problémem s nízkým/žádným kódem je, že to není v kompetenci IT/bezpečnosti, což znamená, že data procházejí aplikacemi. Ne vždy je jasné, kdo tyto aplikace skutečně vytváří, a celkově chybí přehled o tom, co se skutečně děje. A ne každá organizace si je plně vědoma toho, co se děje. Nebo si myslí, že v jejich organizaci nedochází k rozvoji občanů, ale téměř jistě ano.
Jak tedy mohou bezpečnostní lídři získat kontrolu a zmírnit rizika? Prvním krokem je podívat se na občanské vývojářské iniciativy ve vaší organizaci, zjistit, kdo (pokud někdo) vede tyto snahy, a spojit se s nimi. Nechcete, aby se tyto týmy cítily penalizovány nebo bráněny; vaším cílem jakožto vedoucího pracovníka v oblasti bezpečnosti by mělo být podporovat jejich úsilí, ale poskytovat jim vzdělání a pokyny, jak učinit proces bezpečnější.
Bezpečnost musí začít viditelností. Klíčem k tomu je vytvoření inventáře aplikací a rozvoj porozumění tomu, kdo co vytváří. Tyto informace vám pomohou zajistit, že pokud k nějakému narušení dojde, budete schopni vysledovat kroky a zjistit, co se stalo.
Vytvořte rámec pro to, jak vypadá bezpečný vývoj. To zahrnuje nezbytné zásady a technické kontroly, které uživatelům zajistí správná rozhodnutí. I profesionální vývojáři dělají chyby, pokud jde o citlivá data; ještě těžší je to ovládat u podnikových uživatelů. Se správnými ovládacími prvky ale můžete udělat chybu jen obtížně.
Směrem k bezpečnějšímu nízkému/žádnému kódu
Tradiční proces ručního kódování bránil inovaci, zejména v konkurenčních scénářích, které se týkají doby uvedení na trh. S dnešními platformami s nízkým a žádným kódem mohou i lidé bez zkušeností s vývojem vytvářet řešení řízená umělou inteligencí. I když to zjednodušilo vývoj aplikací, může to také ohrozit bezpečnost a zabezpečení organizací. Nemusí to však být volba mezi občanským rozvojem a bezpečností; bezpečnostní lídři mohou spolupracovat s firemními uživateli, aby našli rovnováhu pro oba.