Connect with us

Ajatusjohtajat

Kohtaamassa Copilotien Turvallisuusriskit

mm
Published
Updated

Yhä useammin yritykset käyttävät copiloteja ja low-code-alustoja mahdollistaakseen työntekijöiden, jopa niiden, joilla on vähän tai ei ollenkaan teknistä osaamista, luominen voimakkaita copiloteja ja liiketoimintasovelluksia, sekä prosessoida suuria määriä dataa. Zenityn uusi raportti, Enterprise-copilotien ja low-code-kehityksen tila vuonna 2024, osoitti, että keskimäärin yrityksillä on noin 80 000 sovellusta ja copiloteja, jotka on luotu standardin ohjelmistokehityksen elinkaaren (SDLC) ulkopuolella.

Tämä kehitys tarjoaa uusia mahdollisuuksia, mutta myös uusia riskejä. Noin 50 000 haavoittuvuutta on näiden 80 000 sovelluksen ja copilotin joukossa. Raportissa todettiin, että nämä sovellukset ja copilotit kehittyvät nopeasti. Tämän seurauksena ne luovat valtavan määrän haavoittuvuuksia.

Yrityscopilotien ja sovellusten riskit

Tyypillisesti ohjelmistokehittäjät rakentavat sovellukset huolellisesti määritellyn SDLC:n (turvallisen kehityselinkaaren) mukaisesti, jossa jokainen sovellus on jatkuvasti suunniteltu, käyttöön otettu, mitattu ja analysoitu. Nykyään nämä turvallisuuden varmistimet eivät enää ole olemassa. Ilman kehityskokemusta olevat henkilöt voivat nyt luoda ja käyttää tehokkaita copiloteja ja liiketoimintasovelluksia Power Platformissa, Microsoft Copilotissa, OpenAI:ssa, ServiceNow’ssa, Salesforcessa, UiPathissa, Zapierissa ja muissa. Nämä sovellukset auttavat liiketoiminnan toiminnassa, kun ne siirtävät ja tallentavat arkaluontoista dataa. Kasvu tässä alueella on ollut merkittävää; raportissa havaittiin 39 %:n vuosittainen kasvu low-code-kehityksen ja copilotien omaksumisessa.

Tämän SDLC:n ohittamisen seurauksena haavoittuvuudet ovat yleisiä. Monet yritykset omaksuvat innostuneesti nämä kyvyt, mutta eivät täysin ymmärrä sitä, että heidän on ymmärrettävä, kuinka monta copiloteja ja sovelluksia luodaan – ja niiden liiketoimintakonteksti. Esimerkiksi heidän on ymmärrettävä, kuka sovelluksia ja copiloteja tarkoitetaan, minkä datan sovellus käsittelee ja mitkä ovat niiden liiketoimintatarkoitukset. Heidän on myös tiedettävä, kuka niitä kehittää. Koska he usein eivät tiedä, ja koska standardikehityskäytännöt ohitetaan, tämä luo uudenlaisen varjorajan.

Tämä asettaa turvallisuustiimit haasteelliseen asemaan, jossa on paljon copiloteja, sovelluksia, automaatioita ja raportteja, jotka rakennetaan heidän tietämättään liiketoimintakäyttäjien toimesta eri liiketoimintalinjoilla. Raportissa todettiin, että kaikki OWASP (Avoin web-sovelluksen turvallisuushanke) Top 10 riskiluokka ovat yleisiä yrityksissä. Keskimäärin yrityksellä on 49 438 haavoittuvuutta. Tämä vastaa 62 %:a low-code-käyttöön perustuvista copiloteista ja sovelluksista, jotka sisältävät jonkinlaisen turvallisuusvaaran.

Erilaisten riskien ymmärtäminen

Copilotit edustavat merkittävää uhkaa, koska ne käyttävät tunnistetietoja, pääsevät käsiksi arkaluontoiseen dataan ja omistavat luontaisen uteliaisuuden, joka tekee niistä hankalia hallita. Todella, 63 %:lla low-code-alustoilla luoduista copiloteista jaettiin liikaa muiden kanssa – ja monista niistä hyväksytään todennetuimmat chat-viestit. Tämä mahdollistaa merkittävän riskin mahdollisille ohjelmointihyökkäyksille.

Coska copilotit toimivat ja koska AI toimii yleensä, on pakko toteuttaa tiukat turvallisuustoimenpiteet estämään loppukäyttäjien vuorovaikutusten jakamista copiloteilla, sovellusten jakamista liian monille tai väärille ihmisille, turhaa pääsyä arkaluontoiseen dataan AI:n kautta jne. Jos nämä toimenpiteet eivät ole paikallaan, yritykset altistuvat datavuotojen ja pahantahtoisten ohjelmointihyökkäysten riskille.

Kaksi muuta merkittävää riskiä ovat:

Etäcopilotin suorittaminen (RCE) – Nämä haavoittuvuudet edustavat hyökkäysreittiä, joka on erityisesti AI-sovelluksille. Tämä RCE-versio mahdollistaa ulkoisen hyökkääjän ottaa täydellisen hallinnan Copilotista M365:stä ja pakottaa sen noudattamaan heidän käskyjään lähettämällä vain yhden sähköpostiviestin, kalenterikutsun tai Teams-viestin.

Vieras tilin käyttö: Käyttämällä vain yhtä vieras tilin ja koekäyttölisenssiä low-code-alustaan – yleensä saatavilla ilmaiseksi useissa työkaluissa – hyökkääjä tarvitsee vain kirjautua yrityksen low-code-alustalle tai copilotiin. Kun sisällä, hyökkääjä vaihtaa kohdekansioon ja saa domain-hallinnan tason oikeudet alustalla. Tämän seurauksena hyökkääjät etsivät näitä vieras tilejä, jotka ovat johtaneet turvallisuusloukkauksiin. Tässä on tieto, joka pitäisi aiheuttaa pelkoa yritysjohtajille ja heidän turvallisuustiimeilleen: Keskimääräinen yritysllä on yli 8 641 tapausta epäilyttävistä vieras käyttäjistä, joilla on pääsy sovelluksiin, jotka on kehitetty low-code-alustalla ja copiloteilla.

Uusi turvallisuuslähestymistapa on tarpeen

Mitä turvallisuustiimit voivat tehdä tätä yleistä, epämääräistä ja kriittistä riskiä vastaan? Heidän on varmistettava, että he ovat asettaneet valvontatoimenpiteet, jotka ilmoittavat heille sovelluksista, joissa on epäturvallinen vaihe tunnistetiedon noutamisprosessissa tai kovakoodatun salaisuuden. Heidän on myös lisättävä kontekstia sovelluksiin, jotka luodaan, jotta voidaan varmistaa, että sovelluksissa on asianmukaiset todennusohjaus sovelluksille, jotka ovat liiketoiminnan kannalta kriittisiä ja joilla on pääsy arkaluontoiseen sisäiseen dataan.

Kun nämä taktiikat on käytössä, seuraava prioriteetti on varmistaa, että sovelluksille, jotka tarvitsevat pääsyä arkaluontoiseen dataan, on asetettu sopiva todennus. Sen jälkeen on hyvä käytäntö asettaa tunnistetiedot siten, että ne voidaan noutaa turvallisesti tunnistetieto- tai salaisuusarkistosta, mikä takaa, että salasanat eivät ole selkeässä tai selkeässä tekstissä.

Turvallinen tulevaisuus

Low-code- ja copilot-kehityksen henki on päässyt pulloon, joten se ei ole realistista yrittää palauttaa sitä takaisin. Sen sijaan yritysten on oltava tietoisia riskeistä ja asetettava valvontatoimenpiteitä, jotka pitävät heidän datansa turvallisina ja hallituna. Turvallisuustiimit ovat kohdanneet monia haasteita tässä uudessa liiketoimintajohtoisessa kehityksen aikakaudessa, mutta noudattamalla yllä mainittuja suosituksia, he ovat parhaassa mahdollisessa asemassa turvallisesti tuomaan innovaatiota ja tuottavuutta, jonka yritysten copilotit ja low-code-kehitysalustat tarjoavat, rohkeaan uuteen tulevaisuuteen.

Related Topics:
mm

n toimitusjohtaja ja yksi perustajista, joka tuo sovellusturvan yritysten copiloteille, matalan koodin ja ilman koodia kehittäville sovelluksille. Benilla on laaja kokemus kyberturva-alalla, joka kattaa yli 16 vuotta. Hänen asiantuntemuksensa ulottuu käytännön kyberturvasta, tiimien rakentamisesta ja johtamisesta liiketoimintastrategiaan ja johtamiseen.