stub AI-põhise madala koodi/koodita arenduse peamiste turvaprobleemide ületamine – Unite.AI
Ühenda meile
   Mõttejuhid  
AI-põhise madala koodi/koodita arenduse peamiste turvaprobleemide ületamine
 mm
avaldatud
 1 nädal tagasi
 on
   
 
Madala koodiga arendusplatvormid on muutnud viisi, kuidas inimesed kohandatud ärilahendusi, sealhulgas rakendusi, töövooge ja kaaspiloote loovad. Need tööriistad annavad kodanikele arendajatele võimaluse ja loovad rakenduste arendamiseks paindlikuma keskkonna. AI lisamine segule on seda võimalust ainult suurendanud. Asjaolu, et organisatsioonis ei ole piisavalt inimesi, kellel on oskusi (ja aega), et luua innovatsiooni edendamiseks vajalik arv rakendusi, automatiseeringuid ja nii edasi, on tekitanud madala koodi/koodita. paradigma. Nüüd saavad kodanike arendajad ilma ametlikku tehnilist koolitust vajamata kasutada kasutajasõbralikke platvorme ja generatiivset AI-d, et luua, uuendada ja juurutada AI-põhiseid lahendusi.
Aga kui turvaline see praktika on? Reaalsus on see, et see toob kaasa hulgaliselt uusi riske. Siin on hea uudis: te ei pea valima turvalisuse ja tõhususe vahel, mida ärijuhitud innovatsioon pakub.
Nihe traditsioonilisest vaatenurgast kaugemale
IT- ja turvameeskonnad on harjunud oma jõupingutused sellele keskenduma skannib ja otsib koodi sisse kirjutatud turvaauke. Nad on keskendunud sellele, et arendajad ehitaksid turvalist tarkvara, tagaksid tarkvara turvalisuse ja seejärel – kui see on tootmises – jälgivad seda kõrvalekallete või midagi kahtlast pärast seda.
Koos madala koodi tõus ja koodi puudumine, rohkem inimesi kui kunagi varem loob rakendusi ja kasutab rakenduste loomiseks automatiseerimist – väljaspool traditsioonilist arendusprotsessi. Sageli on tegemist töötajatega, kellel on vähe või üldse mitte tarkvaraarenduse tausta, ja neid rakendusi luuakse väljaspool turvalisuse pädevust.
See loob olukorra, kus IT ei ehita enam kõike organisatsiooni jaoks ja turvameeskonnal puudub nähtavus. Suures organisatsioonis võite professionaalse arengu kaudu luua aastas paarsada rakendust; madala / ilma koodita võite saada palju rohkem. See on palju potentsiaalseid rakendusi, mis võivad jääda turvameeskondadele märkamatuks või järelevalveta.
Hulk uusi riske
 Mõned võimalikud turvaprobleemid, mis on seotud madala koodi/koodita arendamisega, on järgmised:
  1. Mitte IT pädevuses – nagu just mainitud, töötavad kodanike arendajad väljaspool IT-spetsialistide rida, tekitades nähtavuse puudumise ja varirakenduste arendamise. Lisaks võimaldavad need tööriistad lõpmatul arvul inimestel luua rakendusi ja automatiseeringuid kiiresti, vaid mõne klõpsuga. See tähendab, et tohutul hulgal inimesi loob tohutult palju rakendusi, ilma et IT-l oleks täielikku pilti.
  2. Ei tarkvaraarenduse elutsükkel (SDLC) – Tarkvara sellisel viisil arendamine tähendab, et SDLC-d pole paigas, mis võib lisaks riskile kaasa tuua ka ebakõlasid, segadust ja vastutuse puudumist.
  3. Algajad arendajad – neid rakendusi loovad sageli vähem tehniliste oskuste ja kogemustega inimesed, mis avavad ukse vigadele ja turvaohtudele. Nad ei pruugi mõelda turvalisuse või arenduse tagajärgedele nii, nagu seda teeks professionaalne arendaja või keegi, kellel on rohkem tehnilisi kogemusi. Ja kui haavatavus leitakse konkreetses komponendis, mis on manustatud paljudesse rakendustesse, võib seda kasutada mitmel eksemplaril
  4. Halvad identiteeditavad – probleemiks võib olla ka identiteedihaldus. Kui soovite anda ärikasutajale võimaluse luua rakendust, on peamine asi, mis võib neid peatada, õiguste puudumine. Sageli saab sellest mööda hiilida ja võib juhtuda, et teil võib olla kasutaja, kes kasutab kellegi teise identiteeti. Sel juhul ei saa kuidagi aru saada, kas nad on midagi valesti teinud. Kui pääsete juurde millelegi, mida teil pole lubatud, või proovisite teha midagi pahatahtlikku, hakkab turvalisus otsima laenatud kasutaja identiteeti, sest neil kahel pole mingit võimalust vahet teha.
  5. Skannimiseks puudub kood – see põhjustab läbipaistvuse puudumist, mis võib takistada tõrkeotsingut, silumist ja turbeanalüüsi ning võimalikke vastavus- ja regulatiivseid probleeme.
Kõik need riskid võivad kaasa aidata võimalikule andmeleketele. Olenemata sellest, kuidas rakendus on üles ehitatud – kas see luuakse pukseerimise, tekstipõhise viipa või koodiga –, sellel on identiteet, sellel on juurdepääs andmetele, see saab teha toiminguid ja peab suhtlema. kasutajatega. Andmeid teisaldatakse, sageli organisatsiooni erinevate kohtade vahel; see võib kergesti murda andmepiire või tõkkeid.
Kaalul on ka andmete privaatsus ja vastavus. Tundlikud andmed asuvad nendes rakendustes, kuid nendega tegelevad ärikasutajad, kes ei tea, kuidas (ega isegi ei mõtle) neid õigesti salvestada. See võib kaasa tuua hulga täiendavaid probleeme, sealhulgas nõuetele vastavuse rikkumisi.
Nähtavuse taastamine
Nagu mainitud, üks Suureks väljakutseks madala/puuduva koodiga on see, et see ei kuulu IT/turvalisuse valdkonda, mis tähendab, et andmed läbivad rakendusi. Alati ei ole selget arusaama sellest, kes neid rakendusi tegelikult loob, ja üldiselt on puudulik ülevaade sellest, mis tegelikult toimub. Ja mitte iga organisatsioon pole isegi toimuvast täielikult teadlik. Või nad arvavad, et kodanike arendamine nende organisatsioonis ei toimu, kuid peaaegu kindlasti on.
Niisiis, kuidas saavad turvajuhid kontrolli alla saada ja riske maandada? Esimene samm on uurida oma organisatsiooni kodanike arendajate algatusi, selgitada välja, kes (kui keegi) neid jõupingutusi juhib, ja nendega ühendust võtta. Te ei taha, et need meeskonnad tunneksid end karistatuna või takistatuna; Turvajuhina peaks teie eesmärk olema toetada nende jõupingutusi, kuid anda haridust ja juhiseid protsessi turvalisemaks muutmiseks.
Turvalisus peab algama nähtavusest. Selle võtmeks on rakenduste loendi koostamine ja arusaamise arendamine sellest, kes mida ehitab. Selle teabe omamine aitab tagada, et kui mõni rikkumine juhtub, saate jälgida samme ja aru saada, mis juhtus.
Looge raamistik, kuidas turvaline areng välja näeb. See hõlmab vajalikke eeskirju ja tehnilisi juhtelemente, mis tagavad, et kasutajad teevad õigeid valikuid. Isegi professionaalsed arendajad teevad tundlike andmete puhul vigu; ärikasutajatega on seda veelgi raskem kontrollida. Kuid õigete juhtseadistega saate teha vea tegemise keeruliseks.
Turvalisema madala koodi/koodita koodi poole
Traditsiooniline käsitsi kodeerimise protsess on takistanud innovatsiooni, eriti konkurentsivõimeliste turuletuleku stsenaariumide puhul. Tänapäeva madala koodi ja koodita platvormidega saavad isegi arenduskogemuseta inimesed luua AI-põhiseid lahendusi. Kuigi see on lihtsustanud rakenduste arendamist, võib see ohustada ka organisatsioonide turvalisust. See ei pea siiski olema valik kodanike arengu ja julgeoleku vahel; turbejuhid saavad teha koostööd ärikasutajatega, et leida mõlema jaoks tasakaal.
       
 Seotud teemad:
 mm
Michael on ettevõtte kaasasutaja ja tehnoloogiajuht zenity. Ta on küberturvalisuse valdkonna ekspert, kes on huvitatud pilvest, SaaS-ist ja AppSecist. Enne Zenityt oli Michael Microsoft Cloud Security CTO Office'i vanemarhitekt, kus ta asutas asjade Interneti, API, IaC ja konfidentsiaalse andmetöötluse turbetoodetega seotud jõupingutusi ja juhtis seda. Michael juhib OWASP-i kogukonna jõupingutusi madala koodi/koodita turvalisuse alal.