Αντιμετωπίζοντας τις Κορυφαίες Προκλήσεις Ασφαλείας των Πλατφορμών Ανάπτυξης Low-Code/No Code με Τεχνητή Νοημοσύνη

Οι πλατφόρμες ανάπτυξης low-code έχουν αλλάξει τον τρόπο με τον οποίο οι άνθρωποι δημιουργούν προσαρμοσμένες επιχειρηματικές λύσεις, συμπεριλαμβανομένων εφαρμογών, ροών εργασιών και συνεργατών. Αυτά τα εργαλεία ενδυναμώνουν τους μηχανικούς πολιτών και δημιουργούν ένα πιο ευέλικτο περιβάλλον για την ανάπτυξη εφαρμογών. Η προσθήκη της τεχνητής νοημοσύνης στο μείγμα έχει ενισχύσει αυτή τη δυνατότητα. Το γεγονός ότι δεν υπάρχουν αρκετά άτομα σε một οργανισμό που έχουν τις δεξιότητες (και τον χρόνο) για να xây dựng τον αριθμό των εφαρμογών, αυτοματοποιήσεων και così κ.λπ. που απαιτούνται για να ωθήσουν την καινοτομία προς τα εμπρός έχει οδηγήσει στο парадίγματος low-code/no-code. Τώρα, χωρίς να χρειάζεται επίσημη τεχνική εκπαίδευση, οι μηχανικοί πολίτες μπορούν να αξιοποιήσουν φιλικές προς τον χρήστη πλατφόρμες και γεννητική τεχνητή νοημοσύνη για να δημιουργήσουν, να καινοτομήσουν και να αναπτύξουν λύσεις με τεχνητή νοημοσύνη.

Αλλά πόσο ασφαλής είναι αυτή η πρακτική; Η πραγματικότητα είναι ότι εισάγει μια σειρά από νέους κινδύνους. Εδώ είναι τα καλά νέα: δεν πρέπει να επιλέξετε μεταξύ ασφαλείας και της αποτελεσματικότητας που παρέχει η καινοτομία της επιχείρησης.

Μια μετατόπιση πέρα από την παραδοσιακή εποπτεία

Οι ομάδες IT και ασφαλείας είναι συνηθισμένες να εστιάζουν τις προσπάθειές τους στην σάρωση και αναζήτηση για ευπαθής κώδικα. Έχουν επικεντρωθεί στο να βεβαιωθούν ότι οι développers κατασκευάζουν ασφαλές λογισμικό, εξασφαλίζοντας ότι το λογισμικό είναι ασφαλές και στη συνέχεια – μια φορά που είναι σε παραγωγή – παρακολουθούν το για αποκλίσεις ή για οτιδήποτε ύποπτο μετά.

Με την αύξηση του low code και no code, περισσότεροι άνθρωποι παρά ποτέ κατασκευάζουν εφαρμογές και χρησιμοποιούν αυτοματοποίηση για να δημιουργήσουν εφαρμογές – εκτός της παραδοσιακής διαδικασίας ανάπτυξης. Αυτοί είναι συχνά υπάλληλοι με μικρή ή καθόλου εμπειρία ανάπτυξης λογισμικού, και αυτές οι εφαρμογές κατασκευάζονται εκτός της εποπτείας της ασφαλείας.

Αυτό δημιουργεί μια κατάσταση όπου η ομάδα IT δεν κατασκευάζει πλέον όλα για τον οργανισμό, και η ομάδα ασφαλείας λείπει ορατότητα. Σε ένα μεγάλο οργανισμό, μπορείτε να λάβετε μερικές εκατοντάδες εφαρμογές που κατασκευάζονται σε ένα χρόνο μέσω επαγγελματικής ανάπτυξης. με low/no code, μπορείτε να λάβετε πολύ περισσότερες από αυτές. Αυτό είναι πολλά потенτικά εφαρμογές που θα μπορούσαν να μείνουν απαρατήρητες ή ανεπίβλεπτες από τις ομάδες ασφαλείας.

Ένας πλούτος νέων κινδύνων

 Ορισμένοι από τους πιθανούς κινδύνους ασφαλείας που σχετίζονται με την ανάπτυξη low-code/no-code περιλαμβάνουν:

1. Δεν είναι στην εποπτεία της IT – όπως μόλις αναφέρθηκε, οι μηχανικοί πολίτες εργάζονται εκτός των γραμμών των επαγγελματιών IT, δημιουργώντας έλλειψη ορατότητας και ανάπτυξη σκιών. Επιπλέον, αυτά τα εργαλεία επιτρέπουν σε άπειρους ανθρώπους να δημιουργήσουν εφαρμογές και αυτοματοποιήσεις γρήγορα, με μόνο quelques κλικ. Αυτό σημαίνει ότι υπάρχει ένας άγνωστος αριθμός εφαρμογών που κατασκευάζονται με ταχύτητα από άγνωστο αριθμό ανθρώπων, όλα χωρίς την πλήρη εικόνα της IT.
2. Δεν υπάρχει κύκλος ζωής ανάπτυξης λογισμικού (SDLC) – Η ανάπτυξη λογισμικού με αυτόν τον τρόπο σημαίνει ότι δεν υπάρχει SDLC στη θέση, που μπορεί να οδηγήσει σε ασυνέπεια, σύγχυση και έλλειψη ευθύνης, εκτός από τον κίνδυνο.
3. Ανεύθυνοι développers – Αυτές οι εφαρμογές κατασκευάζονται συχνά από ανθρώπους με λιγότερη τεχνική δεξιότητα και εμπειρία, ανοίγοντας την πόρτα σε λάθη και κινδύνους ασφαλείας. Δεν σκέφτονται απαραίτητα για τις επιπτώσεις ασφαλείας ή ανάπτυξης με τον τρόπο που θα σκέφτηκε ένας επαγγελματίας développer ή κάποιος με περισσότερη τεχνική εμπειρία. Και αν μια ευπάθεια βρεθεί σε ένα συγκεκριμένο στοιχείο που είναι ενσωματωμένο σε πολλές εφαρμογές, έχει τη δυνατότητα να εκμεταλλευτεί σε πολλαπλά实例
4. Κακές πρακτικές ταυτότητας – Η διαχείριση ταυτότητας μπορεί επίσης να είναι ένα ζήτημα. Αν θέλετε να ενδυναμώσετε einen επιχειρηματία να κατασκευάσει μια εφαρμογή, το πρώτο πράγμα που μπορεί να τον σταματήσει είναι η έλλειψη εξουσιοδότησης. Συχνά, αυτό μπορεί να παρακαμφθεί, και τι συμβαίνει είναι ότι μπορείτε να έχετε έναν χρήστη που χρησιμοποιεί την ταυτότητα κάποιου άλλου. Σε αυτή την περίπτωση, δεν υπάρχει τρόπος να καταλάβετε αν έχει κάνει κάτι λάθος. Αν πρόσβασε κάτι που δεν επιτρέπεται ή προσπάθησε να κάνει κάτι κακόβουλο, η ασφάλεια θα έρθει να ψάξει για την ταυτότητα του δανειζόμενου χρήστη, επειδή δεν υπάρχει τρόπος να διακρίνετε μεταξύ των δύο.
5. Δεν υπάρχει κώδικας για σάρωση – Αυτό προκαλεί έλλειψη διαφάνειας που μπορεί να εμποδίσει την αντιμετώπιση προβλημάτων, την αποσφαλμάτωση και την ανάλυση ασφαλείας, καθώς και πιθανές προβλήματα συμμόρφωσης και ρυθμιστικών.

Αυτοί οι κίνδυνοι μπορούν 모두 να συνεισφέρουν σε πιθανή διαρροή δεδομένων. Ανεξάρτητα από το πώς κατασκευάζεται μια εφαρμογή – είτε με drag-and-drop, με κείμενο-βασισμένη πρόκληση ή με κώδικα – έχει μια ταυτότητα, έχει πρόσβαση σε δεδομένα, μπορεί να εκτελέσει λειτουργίες και χρειάζεται να επικοινωνήσει με τους χρήστες. Τα δεδομένα μετακινούνται, συχνά μεταξύ διαφορετικών τοποθεσιών στον οργανισμό. αυτό μπορεί εύκολα να σπάσει τα όρια ή τις μπάρες δεδομένων.

Η προστασία δεδομένων και η συμμόρφωση也是 στο παιχνίδι. Ευαίσθητα δεδομένα ζουν μέσα σε αυτές τις εφαρμογές, αλλά χειρίζονται από επιχειρηματίες που δεν ξέρουν πώς (ούτε σκέφτονται) να τα αποθηκεύσουν σωστά. Αυτό μπορεί να οδηγήσει σε μια σειρά από πρόσθετα ζητήματα, συμπεριλαμβανομένων παραβιάσεων συμμόρφωσης.

Επανακτώντας την ορατότητα

Όπως αναφέρθηκε, μια από τις μεγάλες προκλήσεις με low/no code είναι ότι δεν είναι υπό την εποπτεία της IT/ασφαλείας, που σημαίνει ότι τα δεδομένα διασχίζουν εφαρμογές. Δεν υπάρχει πάντα μια σαφής κατανόηση του ποιος είναι πραγματικά δημιουργός αυτών των εφαρμογών, και υπάρχει μια γενική έλλειψη ορατότητας σε τι συμβαίνει πραγματικά. Και δεν κάθε οργανισμός είναι ακόμη πλήρως επίγνωση του τι συμβαίνει. Ή νομίζουν ότι η ανάπτυξη πολιτών δεν συμβαίνει στον οργανισμό τους, αλλά είναι σχεδόν βέβαιο ότι συμβαίνει.

Έτσι, πώς μπορούν οι ηγέτες ασφαλείας να κερδίσουν τον έλεγχο και να μειώσουν τον κίνδυνο; Ο πρώτος βήμας είναι να εξετάσετε τις πρωτοβουλίες ανάπτυξης πολιτών στον οργανισμό σας, να βρείτε ποιος (αν κάποιος) ηγείται αυτών των προσπαθειών και να συνδεθείτε μαζί τους. Δεν θέλετε αυτές τις ομάδες να νιώθουν τιμωρημένες ή εμποδισμένες. ως ηγέτης ασφαλείας, ο στόχος σας πρέπει να είναι να υποστηρίξετε τις προσπάθειές τους αλλά να παρέχετε εκπαίδευση και οδηγίες για να κάνετε τη διαδικασία ασφαλέστερη.

Η ασφάλεια πρέπει να αρχίσει με ορατότητα. Κλειδί σε αυτό είναι να δημιουργήσετε einen κατάλογο εφαρμογών και να αναπτύξετε μια κατανόηση του ποιος κατασκευάζει τι. Αυτή η πληροφορία θα σας βοηθήσει να βεβαιωθείτε ότι αν συμβεί κάποιο είδος παραβίασης, θα можете να ανατρέξετε τα βήματα και να καταλάβετε τι συνέβη.

Καθορίστε ένα πλαίσιο για το τι σημαίνει ασφαλής ανάπτυξη. Αυτό περιλαμβάνει τις απαραίτητες πολιτικές και τεχνικούς ελέγχους που θα διασφαλίσουν ότι οι χρήστες κάνουν τις σωστές επιλογές. Ακόμη και οι επαγγελματίες développers κάνουν λάθη όταν πρόκειται για ευαίσθητα δεδομένα. είναι ακόμη πιο δύσκολο να ελέγξετε αυτό με επιχειρηματίες. Αλλά με τους σωστούς ελέγχους στη θέση, μπορείτε να κάνετε δύσκολο να κάνετε ένα λάθος.

Προς μια πιο ασφαλή ανάπτυξη low-code/no-code

Η παραδοσιακή διαδικασία χειροκίνητου κώδικα έχει εμποδίσει την καινοτομία, ιδιαίτερα σε ανταγωνιστικές σκηνές χρόνου-σε-αγορά. Με τις σημερινές πλατφόρμες low-code και no code, ακόμη και άνθρωποι χωρίς εμπειρία ανάπτυξης μπορούν να δημιουργήσουν λύσεις με τεχνητή νοημοσύνη. Ενώ αυτό έχει συντομεύσει την ανάπτυξη εφαρμογών, μπορεί επίσης να θέσει σε κίνδυνο την ασφάλεια και την ασφάλεια των οργανισμών. Δεν πρέπει να είναι μια επιλογή μεταξύ ανάπτυξης πολιτών και ασφαλείας. οι ηγέτες ασφαλείας μπορούν να συνεργαστούν με επιχειρηματίες για να βρουν μια ισορροπία για και τα δύο.