στέλεχος Ξεπερνώντας τις κορυφαίες προκλήσεις ασφαλείας της ανάπτυξης χαμηλού κώδικα/χωρίς κώδικα βάσει AI - Unite.AI
Συνδεθείτε μαζί μας
   Ηγέτες της σκέψης  
Ξεπερνώντας τις κορυφαίες προκλήσεις ασφαλείας της ανάπτυξης χαμηλού κώδικα/χωρίς κώδικα βάσει AI
 mm
Δημοσιευμένα
 πριν 2 εβδομάδες
 on
   
 
Πλατφόρμες ανάπτυξης χαμηλού κώδικα έχουν αλλάξει τον τρόπο με τον οποίο οι άνθρωποι δημιουργούν προσαρμοσμένες επιχειρηματικές λύσεις, συμπεριλαμβανομένων εφαρμογών, ροών εργασίας και πιλοτών. Αυτά τα εργαλεία ενδυναμώνουν τους πολίτες προγραμματιστές και δημιουργούν ένα πιο ευέλικτο περιβάλλον για την ανάπτυξη εφαρμογών. Η προσθήκη τεχνητής νοημοσύνης στο μείγμα έχει βελτιώσει μόνο αυτή την ικανότητα. Το γεγονός ότι δεν υπάρχουν αρκετοί άνθρωποι σε έναν οργανισμό που έχουν τις δεξιότητες (και το χρόνο) για να δημιουργήσουν τον αριθμό των εφαρμογών, αυτοματισμών και ούτω καθεξής που απαιτούνται για την προώθηση της καινοτομίας έχει οδηγήσει στη δημιουργία χαμηλού κώδικα/χωρίς κώδικα παράδειγμα. Τώρα, χωρίς να χρειάζονται επίσημη τεχνική κατάρτιση, οι προγραμματιστές πολίτες μπορούν να αξιοποιήσουν φιλικές προς τον χρήστη πλατφόρμες και Generative AI για να δημιουργήσουν, να καινοτομήσουν και να αναπτύξουν λύσεις που βασίζονται στην τεχνητή νοημοσύνη.
Πόσο ασφαλής είναι όμως αυτή η πρακτική; Η πραγματικότητα είναι ότι εισάγει μια σειρά από νέους κινδύνους. Αυτά είναι τα καλά νέα: δεν χρειάζεται να διαλέξετε μεταξύ της ασφάλειας και της αποτελεσματικότητας που παρέχει η καινοτομία από τις επιχειρήσεις.
Μια στροφή πέρα ​​από την παραδοσιακή σκοπιμότητα
Οι ομάδες πληροφορικής και ασφάλειας έχουν συνηθίσει να επικεντρώνουν τις προσπάθειές τους σε σάρωση και αναζήτηση ευπαθειών γραμμένων σε κώδικα. Έχουν επικεντρωθεί στο να διασφαλίσουν ότι οι προγραμματιστές δημιουργούν ασφαλές λογισμικό, διασφαλίζοντας ότι το λογισμικό είναι ασφαλές και στη συνέχεια – μόλις τεθεί σε παραγωγή – παρακολουθώντας το για αποκλίσεις ή για οτιδήποτε ύποπτο εκ των υστέρων.
Με την άνοδος χαμηλού κώδικα και χωρίς κώδικα, περισσότεροι άνθρωποι από ποτέ κατασκευάζουν εφαρμογές και χρησιμοποιούν αυτοματισμούς για τη δημιουργία εφαρμογών – εκτός της παραδοσιακής διαδικασίας ανάπτυξης. Αυτοί είναι συχνά υπάλληλοι με ελάχιστο έως καθόλου υπόβαθρο ανάπτυξης λογισμικού και αυτές οι εφαρμογές δημιουργούνται εκτός των αρμοδιοτήτων της ασφάλειας.
Αυτό δημιουργεί μια κατάσταση όπου το IT δεν δημιουργεί πλέον τα πάντα για τον οργανισμό και η ομάδα ασφαλείας στερείται ορατότητας. Σε έναν μεγάλο οργανισμό, μπορεί να δημιουργήσετε μερικές εκατοντάδες εφαρμογές μέσα σε ένα χρόνο μέσω επαγγελματικής ανάπτυξης. με χαμηλό/χωρίς κωδικό, θα μπορούσατε να πάρετε πολύ περισσότερα από αυτό. Πρόκειται για πολλές πιθανές εφαρμογές που θα μπορούσαν να περάσουν απαρατήρητες ή απαρατήρητες από τις ομάδες ασφαλείας.
Ένας πλούτος νέων κινδύνων
 Μερικά από τα πιθανά προβλήματα ασφάλειας που σχετίζονται με την ανάπτυξη χαμηλού κώδικα/χωρίς κώδικα περιλαμβάνουν:
  1. Δεν εμπίπτει στην αρμοδιότητα της πληροφορικής – όπως μόλις αναφέρθηκε, οι πολίτες προγραμματιστές εργάζονται έξω από τις γραμμές των επαγγελματιών της πληροφορικής, δημιουργώντας έλλειψη προβολής και σκιώδη ανάπτυξη εφαρμογών. Επιπλέον, αυτά τα εργαλεία επιτρέπουν σε άπειρο αριθμό ατόμων να δημιουργούν εφαρμογές και αυτοματισμούς γρήγορα, με λίγα μόνο κλικ. Αυτό σημαίνει ότι υπάρχει ένας ανείπωτος αριθμός εφαρμογών που δημιουργούνται με ιλιγγιώδεις ρυθμούς από έναν ανείπωτο αριθμό ατόμων χωρίς το IT να έχει την πλήρη εικόνα.
  2. Οχι Κύκλος ζωής ανάπτυξης λογισμικού (SDLC) – Η ανάπτυξη λογισμικού με αυτόν τον τρόπο σημαίνει ότι δεν υπάρχει SDLC, κάτι που μπορεί να οδηγήσει σε ασυνέπεια, σύγχυση και έλλειψη λογοδοσίας πέραν του κινδύνου.
  3. Αρχάριοι προγραμματιστές – Αυτές οι εφαρμογές συχνά κατασκευάζονται από άτομα με λιγότερες τεχνικές δεξιότητες και εμπειρία, ανοίγοντας την πόρτα σε λάθη και απειλές για την ασφάλεια. Δεν σκέφτονται απαραίτητα τις συνέπειες της ασφάλειας ή της ανάπτυξης με τον τρόπο που θα έκανε ένας επαγγελματίας προγραμματιστής ή κάποιος με περισσότερη τεχνική εμπειρία. Και αν εντοπιστεί μια ευπάθεια σε ένα συγκεκριμένο στοιχείο που είναι ενσωματωμένο σε μεγάλο αριθμό εφαρμογών, έχει τη δυνατότητα να αξιοποιηθεί σε πολλές περιπτώσεις
  4. Κακές πρακτικές ταυτότητας – Η διαχείριση της ταυτότητας μπορεί επίσης να είναι ένα ζήτημα. Εάν θέλετε να εξουσιοδοτήσετε έναν επιχειρηματικό χρήστη να δημιουργήσει μια εφαρμογή, το νούμερο ένα πράγμα που μπορεί να τον σταματήσει είναι η έλλειψη αδειών. Συχνά, αυτό μπορεί να παρακαμφθεί και αυτό που συμβαίνει είναι ότι μπορεί να έχετε έναν χρήστη που χρησιμοποιεί την ταυτότητα κάποιου άλλου. Σε αυτήν την περίπτωση, δεν υπάρχει τρόπος να καταλάβουμε αν έχουν κάνει κάτι λάθος. Εάν αποκτήσετε πρόσβαση σε κάτι που δεν επιτρέπεται ή προσπαθήσατε να κάνετε κάτι κακόβουλο, η ασφάλεια θα αναζητήσει την ταυτότητα του δανεισμένου χρήστη, επειδή δεν υπάρχει τρόπος να γίνει διάκριση μεταξύ των δύο.
  5. Δεν υπάρχει κώδικας για σάρωση – Αυτό προκαλεί έλλειψη διαφάνειας που μπορεί να εμποδίσει την αντιμετώπιση προβλημάτων, τον εντοπισμό σφαλμάτων και την ανάλυση ασφάλειας, καθώς και πιθανές ανησυχίες σχετικά με τη συμμόρφωση και τους κανονισμούς.
Αυτοί οι κίνδυνοι μπορούν όλοι να συμβάλουν σε πιθανή διαρροή δεδομένων. Ανεξάρτητα από το πώς έχει δημιουργηθεί μια εφαρμογή – είτε δημιουργείται με μεταφορά και απόθεση, μια προτροπή που βασίζεται σε κείμενο ή με κώδικα – έχει ταυτότητα, έχει πρόσβαση σε δεδομένα, μπορεί να εκτελεί λειτουργίες και χρειάζεται να επικοινωνεί με τους χρήστες. Τα δεδομένα μετακινούνται, συχνά μεταξύ διαφορετικών σημείων στον οργανισμό. Αυτό μπορεί εύκολα να σπάσει τα όρια ή τα εμπόδια δεδομένων.
Το απόρρητο και η συμμόρφωση των δεδομένων διακυβεύονται επίσης. Τα ευαίσθητα δεδομένα ζουν σε αυτές τις εφαρμογές, αλλά τα χειρίζονται επαγγελματίες χρήστες που δεν ξέρουν πώς (ούτε καν το σκέφτονται) να τα αποθηκεύσουν σωστά. Αυτό μπορεί να οδηγήσει σε μια σειρά από πρόσθετα ζητήματα, συμπεριλαμβανομένων παραβιάσεων συμμόρφωσης.
Ανακτώντας την ορατότητα
Όπως αναφέρθηκε, ένα από τα Οι μεγάλες προκλήσεις με χαμηλό/χωρίς κωδικό είναι ότι δεν εμπίπτουν στην αρμοδιότητα της πληροφορικής/ασφάλειας, που σημαίνει ότι τα δεδομένα διασχίζουν εφαρμογές. Δεν υπάρχει πάντα σαφής κατανόηση του ποιος πραγματικά δημιουργεί αυτές τις εφαρμογές και υπάρχει γενική έλλειψη ορατότητας για το τι πραγματικά συμβαίνει. Και δεν είναι καν κάθε οργανισμός πλήρως ενήμερος για το τι συμβαίνει. Ή πιστεύουν ότι η ανάπτυξη των πολιτών δεν συμβαίνει στον οργανισμό τους, αλλά σχεδόν σίγουρα συμβαίνει.
Λοιπόν, πώς μπορούν οι ηγέτες ασφαλείας να αποκτήσουν τον έλεγχο και να μετριάσουν τον κίνδυνο; Το πρώτο βήμα είναι να εξετάσετε τις πρωτοβουλίες προγραμματιστών πολιτών στον οργανισμό σας, να μάθετε ποιος (αν κάποιος) ηγείται αυτών των προσπαθειών και να συνδεθείτε μαζί τους. Δεν θέλετε αυτές οι ομάδες να αισθάνονται τιμωρημένες ή παρεμποδισμένες. Ως ηγέτης ασφαλείας, στόχος σας πρέπει να είναι να υποστηρίξετε τις προσπάθειές τους, αλλά να παρέχετε εκπαίδευση και καθοδήγηση για να γίνει η διαδικασία ασφαλέστερη.
Η ασφάλεια πρέπει να ξεκινά από την ορατότητα. Το κλειδί για αυτό είναι η δημιουργία ενός καταλόγου εφαρμογών και η ανάπτυξη της κατανόησης του ποιος δημιουργεί τι. Η κατοχή αυτών των πληροφοριών θα σας βοηθήσει να διασφαλίσετε ότι εάν συμβεί κάποιο είδος παραβίασης, θα μπορείτε να εντοπίσετε τα βήματα και να καταλάβετε τι συνέβη.
Δημιουργήστε ένα πλαίσιο για το πώς φαίνεται η ασφαλής ανάπτυξη. Αυτό περιλαμβάνει τις απαραίτητες πολιτικές και τεχνικούς ελέγχους που θα διασφαλίσουν ότι οι χρήστες κάνουν τις σωστές επιλογές. Ακόμη και οι επαγγελματίες προγραμματιστές κάνουν λάθη όταν πρόκειται για ευαίσθητα δεδομένα. είναι ακόμη πιο δύσκολο να το ελέγξετε αυτό με τους επαγγελματίες χρήστες. Αλλά με τα σωστά χειριστήρια, μπορείτε να δυσκολέψετε το λάθος.
Προς πιο ασφαλή low-code/no-code
Η παραδοσιακή διαδικασία της χειροκίνητης κωδικοποίησης έχει παρεμποδίσει την καινοτομία, ειδικά σε ανταγωνιστικά σενάρια χρόνου μέχρι την αγορά. Με τις σημερινές πλατφόρμες χαμηλού κώδικα και χωρίς κώδικα, ακόμη και άτομα χωρίς εμπειρία ανάπτυξης μπορούν να δημιουργήσουν λύσεις βασισμένες σε AI. Αν και αυτό έχει εξορθολογίσει την ανάπτυξη εφαρμογών, μπορεί επίσης να θέσει σε κίνδυνο την ασφάλεια και την ασφάλεια των οργανισμών. Ωστόσο, δεν χρειάζεται να είναι επιλογή μεταξύ της ανάπτυξης των πολιτών και της ασφάλειας. Οι ηγέτες ασφαλείας μπορούν να συνεργαστούν με επιχειρησιακούς χρήστες για να βρουν μια ισορροπία και για τα δύο.
       
 Σχετικά θέματα:
 mm
Ο Michael είναι ο συνιδρυτής και CTO του Ζενιτ. Είναι ειδικός στον κλάδο της κυβερνοασφάλειας που ενδιαφέρεται για το cloud, το SaaS και το AppSec. Πριν από το Zenity, ο Michael ήταν ανώτερος αρχιτέκτονας στο Microsoft Cloud Security CTO Office, όπου ίδρυσε και ηγήθηκε των προσπαθειών προϊόντων ασφάλειας για το IoT, τα API, το IaC και τον εμπιστευτικό υπολογισμό. Ο Michael ηγείται της προσπάθειας της κοινότητας OWASP για την ασφάλεια χαμηλού κώδικα/χωρίς κώδικα.