Stummel Bewältigung der größten Sicherheitsherausforderungen der KI-gesteuerten Low-Code/No-Code-Entwicklung – Unite.AI
Vernetzen Sie sich mit uns
   Vordenker  
Bewältigung der größten Sicherheitsherausforderungen der KI-gesteuerten Low-Code/No-Code-Entwicklung
 mm
Veröffentlicht
 2 Wochen her
 on
   
 
Low-Code-Entwicklungsplattformen haben die Art und Weise verändert, wie Menschen individuelle Geschäftslösungen erstellen, einschließlich Apps, Workflows und Copiloten. Diese Tools unterstützen Bürgerentwickler und schaffen eine agilere Umgebung für die App-Entwicklung. Das Hinzufügen von KI hat diese Fähigkeit nur verbessert. Die Tatsache, dass es in einem Unternehmen nicht genügend Leute gibt, die über die Fähigkeiten (und die Zeit) verfügen, um die Anzahl der Apps, Automatisierungen usw. zu entwickeln, die erforderlich sind, um Innovationen voranzutreiben, hat zur Entstehung von Low-Code/No-Code geführt Paradigma. Jetzt können Bürgerentwickler benutzerfreundliche Plattformen und generative KI nutzen, um KI-gesteuerte Lösungen zu erstellen, zu innovieren und bereitzustellen, ohne dass eine formelle technische Schulung erforderlich ist.
Doch wie sicher ist diese Praxis? Die Realität ist, dass es eine Vielzahl neuer Risiken mit sich bringt. Hier ist die gute Nachricht: Sie müssen sich nicht zwischen Sicherheit und der Effizienz entscheiden, die geschäftsorientierte Innovationen bieten.
Eine Verschiebung über den traditionellen Zuständigkeitsbereich hinaus
IT- und Sicherheitsteams sind es gewohnt, ihre Bemühungen auf Folgendes zu konzentrieren Scannen und Suchen nach im Code geschriebenen Schwachstellen. Sie haben sich darauf konzentriert, sicherzustellen, dass Entwickler sichere Software entwickeln, sicherzustellen, dass die Software sicher ist, und sie dann – sobald sie in Produktion ist – im Nachhinein auf Abweichungen oder verdächtige Dinge zu überwachen.
Mit der Aufstieg von Low Code und No Code, mehr Menschen als je zuvor erstellen Anwendungen und nutzen die Automatisierung zur Erstellung von Anwendungen – außerhalb des traditionellen Entwicklungsprozesses. Dabei handelt es sich oft um Mitarbeiter mit wenig oder gar keinem Hintergrund in der Softwareentwicklung, und diese Apps werden außerhalb des Sicherheitsbereichs erstellt.
Dadurch entsteht eine Situation, in der die IT nicht mehr alles für das Unternehmen aufbaut und es dem Sicherheitsteam an Transparenz mangelt. In einem großen Unternehmen können durch professionelle Weiterentwicklung in einem Jahr einige Hundert Apps erstellt werden. Mit wenig/keinem Code könnten Sie weit mehr erreichen. Das sind viele potenzielle Apps, die von Sicherheitsteams unbemerkt bleiben oder nicht überwacht werden könnten.
Eine Fülle neuer Risiken
 Zu den potenziellen Sicherheitsbedenken im Zusammenhang mit der Low-Code-/No-Code-Entwicklung gehören:
  1. Nicht im Zuständigkeitsbereich der IT – wie bereits erwähnt, arbeiten Bürgerentwickler außerhalb der Grenzen von IT-Fachleuten, was zu mangelnder Transparenz und Schattenanwendungsentwicklung führt. Darüber hinaus ermöglichen diese Tools einer unendlichen Anzahl von Menschen, mit nur wenigen Klicks schnell Apps und Automatisierungen zu erstellen. Das bedeutet, dass unzählige Apps in rasender Geschwindigkeit von unzähligen Menschen erstellt werden, ohne dass die IT-Abteilung den vollständigen Überblick hat.
  2. Nein Softwareentwicklungslebenszyklus (SDLC) – Software auf diese Weise zu entwickeln bedeutet, dass kein SDLC vorhanden ist, was neben Risiken auch zu Inkonsistenzen, Verwirrung und mangelnder Verantwortlichkeit führen kann.
  3. unerfahrene Entwickler – Diese Apps werden oft von Leuten mit weniger technischen Fähigkeiten und Erfahrung erstellt, was Fehlern und Sicherheitsbedrohungen Tür und Tor öffnet. Sie denken nicht unbedingt so über die Auswirkungen auf Sicherheit oder Entwicklung nach, wie es ein professioneller Entwickler oder jemand mit mehr technischer Erfahrung tun würde. Und wenn eine Schwachstelle in einer bestimmten Komponente gefunden wird, die in eine große Anzahl von Apps eingebettet ist, besteht die Möglichkeit, dass sie über mehrere Instanzen hinweg ausgenutzt wird
  4. Schlechte Identitätspraktiken – Identitätsmanagement kann ebenfalls ein Problem sein. Wenn Sie einem Geschäftsanwender die Möglichkeit geben möchten, eine Anwendung zu erstellen, ist die größte Gefahr, die ihn daran hindern könnte, fehlende Berechtigungen. Dies kann oft umgangen werden, und es kann passieren, dass ein Benutzer die Identität einer anderen Person verwendet. In diesem Fall gibt es keine Möglichkeit herauszufinden, ob sie etwas falsch gemacht haben. Wenn Sie auf etwas zugreifen, das Ihnen nicht gestattet ist, oder wenn Sie versucht haben, etwas Böswilliges zu tun, wird die Sicherheit nach der Identität des geliehenen Benutzers suchen, da es keine Möglichkeit gibt, zwischen beiden zu unterscheiden.
  5. Kein zu scannender Code – Dies führt zu einem Mangel an Transparenz, der die Fehlerbehebung, Fehlerbehebung und Sicherheitsanalyse sowie mögliche Compliance- und Regulierungsbedenken behindern kann.
Diese Risiken können alle zu potenziellen Datenlecks führen. Ganz gleich, wie eine Anwendung erstellt wird – ob sie per Drag-and-Drop, einer textbasierten Eingabeaufforderung oder mit Code erstellt wird – sie hat eine Identität, sie hat Zugriff auf Daten, sie kann Vorgänge ausführen und sie muss kommunizieren mit Benutzern. Daten werden häufig zwischen verschiedenen Orten in der Organisation verschoben. Dadurch können Datengrenzen oder -barrieren leicht durchbrochen werden.
Auch Datenschutz und Compliance stehen auf dem Spiel. Sensible Daten sind in diesen Anwendungen gespeichert, werden jedoch von Geschäftsanwendern verarbeitet, die nicht wissen (oder auch nur daran denken), sie ordnungsgemäß zu speichern. Dies kann zu einer Vielzahl zusätzlicher Probleme führen, einschließlich Compliance-Verstößen.
Wiedererlangung der Sichtbarkeit
Wie bereits erwähnt, einer der Die große Herausforderung bei Low/No-Code besteht darin, dass es nicht in den Zuständigkeitsbereich der IT/Sicherheit fällt, was bedeutet, dass Daten Apps durchlaufen. Es besteht nicht immer ein klares Verständnis darüber, wer diese Apps wirklich erstellt, und es mangelt insgesamt an Transparenz darüber, was wirklich passiert. Und nicht jede Organisation ist sich dessen bewusst, was passiert. Oder sie glauben, dass es in ihrer Organisation keine Bürgerentwicklung gibt, aber das ist mit ziemlicher Sicherheit der Fall.
Wie können Sicherheitsverantwortliche also die Kontrolle erlangen und Risiken mindern? Der erste Schritt besteht darin, sich die Citizen-Developer-Initiativen in Ihrer Organisation anzusehen, herauszufinden, wer (wenn überhaupt) diese Bemühungen leitet, und mit ihnen in Kontakt zu treten. Sie möchten nicht, dass sich diese Teams bestraft oder behindert fühlen. Als Sicherheitsleiter sollte es Ihr Ziel sein, ihre Bemühungen zu unterstützen, ihnen aber auch Aufklärung und Anleitung zu bieten, um den Prozess sicherer zu machen.
Sicherheit muss mit Sichtbarkeit beginnen. Der Schlüssel dazu liegt darin, eine Bestandsaufnahme der Anwendungen zu erstellen und ein Verständnis dafür zu entwickeln, wer was erstellt. Mithilfe dieser Informationen können Sie sicherstellen, dass Sie im Falle eines Verstoßes die Schritte nachverfolgen und herausfinden können, was passiert ist.
Legen Sie einen Rahmen dafür fest, wie sichere Entwicklung aussieht. Dazu gehören die notwendigen Richtlinien und technischen Kontrollen, die sicherstellen, dass Benutzer die richtigen Entscheidungen treffen. Selbst professionelle Entwickler machen Fehler, wenn es um sensible Daten geht; Bei Geschäftsanwendern ist es noch schwieriger, dies zu kontrollieren. Aber mit den richtigen Kontrollen können Sie Fehler erschweren.
Auf dem Weg zu sichererem Low-Code/No-Code
Der traditionelle Prozess der manuellen Codierung hat Innovationen behindert, insbesondere in wettbewerbsintensiven Time-to-Market-Szenarien. Mit den heutigen Low-Code- und No-Code-Plattformen können auch Menschen ohne Entwicklungserfahrung KI-gesteuerte Lösungen erstellen. Dies hat zwar die App-Entwicklung vereinfacht, kann jedoch auch die Sicherheit von Unternehmen gefährden. Es muss jedoch nicht die Wahl zwischen Bürgerentwicklung und Sicherheit sein; Sicherheitsverantwortliche können mit Geschäftsanwendern zusammenarbeiten, um ein Gleichgewicht für beides zu finden.
       
 Verwandte Themen:
 mm
Michael ist Mitbegründer und CTO von Zenität. Er ist ein Branchenexperte für Cybersicherheit mit Interesse an Cloud, SaaS und AppSec. Vor Zenity war Michael leitender Architekt im Microsoft Cloud Security CTO Office, wo er Sicherheitsproduktbemühungen für IoT, APIs, IaC und Confidential Computing gründete und leitete. Michael leitet die OWASP-Community-Bemühungen für Low-Code/No-Code-Sicherheit.