Connect with us

Αντιμετωπίζοντας τους Κινδύνους Ασφαλείας των Συμπιλότων

Ηγέτες σκέψης

Αντιμετωπίζοντας τους Κινδύνους Ασφαλείας των Συμπιλότων

mm
Published
Updated

Όλο και περισσότερο, οι επιχειρήσεις χρησιμοποιούν συμπιλότους και πλατφόρμες χαμηλού κώδικα για να ενεργοποιήσουν τους υπαλλήλους – ακόμη και εκείνους με μικρή ή καθόλου τεχνική εμπειρία – να δημιουργήσουν ισχυρούς συμπιλότους και επιχειρηματικές εφαρμογές, καθώς και να επεξεργαστούν τεράστιες ποσότητες δεδομένων. Μια νέα αναφορά από την Zenity, Η Κατάσταση των Επιχειρηματικών Συμπιλότων και της Ανάπτυξης Χαμηλού Κώδικα το 2024, βρήκε ότι, κατά μέσο όρο, οι επιχειρήσεις έχουν περίπου 80.000 εφαρμογές και συμπιλότους που δημιουργήθηκαν έξω από τον τυπικό κύκλο ζωής ανάπτυξης λογισμικού (SDLC).

Αυτή η εξέλιξη προσφέρει νέες ευκαιρίες αλλά και νέους κινδύνους. Μεταξύ αυτών των 80.000 εφαρμογών και συμπιλότων υπάρχουν περίπου 50.000 ευπαθειές. Η αναφορά σημείωσε ότι αυτές οι εφαρμογές και οι συμπιλότοι εξελίσσονται με ταχύτατο ρυθμό. Συνεπώς, δημιουργούν ένα τεράστιο αριθμό ευπαθειών.

Κίνδυνοι των επιχειρηματικών συμπιλότων και εφαρμογών

Τυπικά, οι προγραμματιστές λογισμικού δημιουργούν εφαρμογές με προσοχή κατά μήκος eines καθορισμένου SDLC (ασφαλής κύκλος ζωής ανάπτυξης) όπου κάθε εφαρμογή σχεδιάζεται, αναπτύσσεται, μετράται και αναλύεται συνεχώς. Nhưng σήμερα, αυτά τα φράγματα δεν υπάρχουν πλέον. Άτομα χωρίς εμπειρία ανάπτυξης μπορούν τώρα να δημιουργήσουν και να χρησιμοποιήσουν ισχυρούς συμπιλότους και επιχειρηματικές εφαρμογές εντός Power Platform, Microsoft Copilot, OpenAI, ServiceNow, Salesforce, UiPath, Zapier και άλλων. Αυτές οι εφαρμογές βοηθούν στις επιχειρηματικές λειτουργίες καθώς μεταφέρουν και αποθηκεύουν ευαίσθητα δεδομένα. Η ανάπτυξη σε这一 περιοχή έχει sido σημαντική· η αναφορά βρήκε 39% ετήσια αύξηση στην υιοθέτηση της ανάπτυξης χαμηλού κώδικα και των συμπιλότων.

Ως αποτέλεσμα αυτής της παρακάμπτου του SDLC, οι ευπαθειές είναι πανταχού παρούσες. Πολλές επιχειρήσεις ενθουσιάζονται με αυτές τις ικανότητες χωρίς να κατανοούν πλήρως το γεγονός ότι πρέπει να κατανοήσουν πόσοι συμπιλότοι και εφαρμογές δημιουργούνται – και το επιχειρηματικό контέκστ τους, επίσης. Για παράδειγμα, πρέπει να κατανοήσουν ποιους προορίζονται οι εφαρμογές και οι συμπιλότοι, ποια δεδομένα η εφαρμογή αλληλεπιδρά και ποιοι είναι οι επιχειρηματικοί σκοποί τους. Επίσης, πρέπει να γνωρίζουν ποιος τους αναπτύσσει. Από τη στιγμή που δεν το κάνουν, και από τη στιγμή που οι τυποί πρακτικές ανάπτυξης παρακάμπτονται, αυτό δημιουργεί μια νέα μορφή shadow IT.

Αυτό βάζει τις ομάδες ασφαλείας σε μια δύσκολη θέση με πολλές εφαρμογές, συμπιλότους, αυτοματοποιήσεις και αναφορές που κατασκευάζονται έξω από τις γνώσεις τους από επιχειρηματικούς χρήστες σε διάφορες LoB. Η αναφορά βρήκε ότι όλες οι OWASP (Ανοιχτό Πρότζεκτ Ασφαλείας Εφαρμογών Ιστού) Top 10 κατηγορίες κινδύνου είναι πανταχού παρούσες στις επιχειρήσεις. Κατά μέσο όρο, μια επιχείρηση έχει 49.438 ευπαθειές. Αυτό μεταφράζεται σε 62% των συμπιλότων και των εφαρμογών που κατασκευάζονται μέσω χαμηλού κώδικα που περιέχουν κάποια ασφαλής ευπαθή.

Κατανοώντας τους διαφορετικούς τύπους κινδύνων

Οι συμπιλότοι παρουσιάζουν τόσο σημαντικό πιθανό κίνδυνο επειδή χρησιμοποιούν διαπιστευτήρια, έχουν πρόσβαση σε ευαίσθητα δεδομένα και διαθέτουν μια ενσωματωμένη περιέργεια που τα κάνει δύσκολο να περιορίσουν. Στην πραγματικότητα, το 63% των συμπιλότων που κατασκευάζονται με πλατφόρμες χαμηλού κώδικα μοιράζονται με άλλους – και πολλοί από αυτούς δέχονται μη αυθεντικοποιημένη συνομιλία. Αυτό ermögίζει ένα σημαντικό κίνδυνο για πιθανές επιθέσεις έγχυσης προώθησης.

Λόγω του τρόπου με τον οποίο λειτουργούν οι συμπιλότοι και ο ΑΙ γενικά, πρέπει να επιβληθούν αυστηρά μέτρα ασφαλείας για να προληφθεί η κοινοποίηση των αλληλεπιδράσεων των τελικών χρηστών με τους συμπιλότους, η κοινοποίηση εφαρμογών με πολλούς ή τους λάθος ανθρώπους, η άσκοπη χορήγηση πρόσβασης σε ευαίσθητα δεδομένα μέσω ΑΙ, κ.λπ. Αν αυτά τα μέτρα δεν είναι στη θέση τους, οι επιχειρήσεις κινδυνεύουν με αυξημένη έκθεση σε διαρροή δεδομένων και κακόβουλη έγχυση προώθησης.

Δύο άλλοι σημαντικοί κίνδυνοι είναι:

Απομακρυσμένη Εκτέλεση Συμπιλότου (RCEs) – Αυτές οι ευπαθειές αντιπροσωπεύουν einen δρόμο επιθέσεων συγκεκριμένο για εφαρμογές ΑΙ. Αυτή η εκδοχή RCE ermögίζει σε έναν εξωτερικό επιτιθέμενο να λάβει πλήρη έλεγχο του Συμπιλότου για M365 και να τον αναγκάσει να υπακούσει στις εντολές του απλώς με την αποστολή ενός email, πρόσκλησης ημερολογίου ή μηνύματος Teams.

Λογαριασμοί επισκεπτών: Χρησιμοποιώντας μόνο έναν λογαριασμό επισκεπτών και μια δοκιμαστική άδεια σε μια πλατφόρμα χαμηλού κώδικα – τυπικά διαθέσιμη δωρεάν σε πολλά εργαλεία – ένας επιτιθέμενος χρειάζεται μόνο να συνδεθεί στην πλατφόρμα χαμηλού κώδικα ή τον συμπιλότο της επιχείρησης. Μόλις μέσα, ο επιτιθέμενος μεταβαίνει στο στόχο κατάλογο και τότε έχει προνόμια διαχειριστή τομέα στο επίπεδο της πλατφόρμας. Συνεπώς, οι επιτιθέμενοι αναζητούν αυτούς τους λογαριασμούς επισκεπτών, οι οποίοι έχουν οδηγήσει σε παραβιάσεις ασφαλείας. Εδώ είναι ένα σημείο δεδομένων που πρέπει να προκαλέσει φόβο στους ηγέτες των επιχειρήσεων και τις ομάδες ασφαλείας: Η τυπική επιχείρηση έχει περισσότερες από 8.641 περιπτώσεις μη αξιόπιστων χρηστών επισκεπτών που έχουν πρόσβαση σε εφαρμογές που αναπτύσσονται μέσω χαμηλού κώδικα και συμπιλότων.

Μια νέα προσέγγιση ασφαλείας είναι απαραίτητη

Τι μπορούν να κάνουν οι ομάδες ασφαλείας ενάντια σε αυτόν τον πανταχού παρούσα, αμορφώδη και κρίσιμο κίνδυνο; Πρέπει να βεβαιωθούν ότι έχουν τοποθετήσει ελέγχους για να τους ειδοποιήσουν για jede εφαρμογή που έχει ένα ασφαλές βήμα στη διαδικασία ανάκτησης διαπιστευτηρίων ή ένα σκληρά κωδικοποιημένο μυστικό. Επίσης, πρέπει να προσθέσουν контέκστ σε jede εφαρμογή που δημιουργείται για να βεβαιωθούν ότι υπάρχουν κατάλληλοι έλεγχοι αυθεντικοποίησης για jede επιχειρηματικά κρίσιμη εφαρμογή που έχει επίσης πρόσβαση σε ευαίσθητα εσωτερικά δεδομένα.

Όταν αυτές οι τακτικές έχουν αναπτυχθεί, η επόμενη προτεραιότητα είναι να βεβαιωθούν ότι η κατάλληλη αυθεντικοποίηση έχει ρυθμιστεί για εφαρμογές που χρειάζονται πρόσβαση σε ευαίσθητα δεδομένα. Μετά από αυτό, είναι μια βέλτιστη πρακτική να ρυθμίσουν τα διαπιστευτήρια ώστε να μπορούν να ανακτηθούν ασφαλώς από einen θάλαμο διαπιστευτηρίων ή μυστικών, ο οποίος θα εγγυηθεί ότι τα парόλια δεν βρίσκονται σε καθαρό ή απλό κείμενο.

Ασφαλίζοντας το μέλλον σας

 Το γενο του χαμηλού κώδικα και της ανάπτυξης συμπιλότου είναι έξω από το μπουκάλι, οπότε δεν είναι ρεαλιστικό να προσπαθήσουμε να το βάλουμε πίσω. Αντίθετα, οι επιχειρήσεις πρέπει να είναι ενήμερες για τους κινδύνους και να τοποθετήσουν ελέγχους που θα κρατήσουν τα δεδομένα τους ασφαλή και σωστά διαχειριζόμενα. Οι ομάδες ασφαλείας έχουν αντιμετωπίσει πολλές προκλήσεις σε αυτή τη νέα εποχή της επιχειρηματικής ανάπτυξης, αλλά ακολουθώντας τις συστάσεις που σημειώνονται παραπάνω, θα βρίσκονται στη καλύτερη δυνατή θέση για να φέρουν ασφαλώς την καινοτομία και την παραγωγικότητα που προσφέρουν οι επιχειρηματικοί συμπιλότοι και οι πλατφόρμες ανάπτυξης χαμηλού κώδικα προς ένα τολμηρό νέο μέλλον.

Related Topics:
mm

Ο Ben Kliger είναι ο CEO και συνιδρυτής της Zenity, η οποία φέρνει την ασφάλεια εφαρμογών στον κόσμο των enterprise copilots, low-code και no-code ανάπτυξης εφαρμογών. Ο Ben έχει εκτενή εμπειρία στη βιομηχανία κυβερνοασφάλειας που διαρκεί πάνω από 16+ χρόνια. Η εξειδίκευσή του εκτείνεται από χειροκίνητη κυβερνοασφάλεια, οικοδόμηση ομάδας και ηγεσία μέχρι επιχειρηματική στρατηγική και διαχείριση.