ठूंठ एआई-संचालित लो-कोड/नो कोड डेवलपमेंट की शीर्ष सुरक्षा चुनौतियों पर काबू पाना - यूनाइट.एआई
हमसे जुडे
   विचारक नेता  
एआई-संचालित लो-कोड/नो कोड डेवलपमेंट की शीर्ष सुरक्षा चुनौतियों पर काबू पाना
 mm
प्रकाशित
 1 सप्ताह पहले
 on
   
 
निम्न-कोड विकास प्लेटफ़ॉर्म लोगों द्वारा ऐप्स, वर्कफ़्लो और सह-पायलट सहित कस्टम व्यावसायिक समाधान बनाने के तरीके को बदल दिया है। ये उपकरण नागरिक डेवलपर्स को सशक्त बनाते हैं और ऐप विकास के लिए अधिक सक्रिय वातावरण बनाते हैं। मिश्रण में एआई जोड़ने से इस क्षमता में वृद्धि हुई है। तथ्य यह है कि एक संगठन में पर्याप्त लोग नहीं हैं जिनके पास नवाचार को आगे बढ़ाने के लिए आवश्यक संख्या में ऐप्स, ऑटोमेशन इत्यादि बनाने के लिए कौशल (और समय) है, जिसने कम-कोड/नो-कोड को जन्म दिया है आदर्श। अब, औपचारिक तकनीकी प्रशिक्षण की आवश्यकता के बिना, नागरिक डेवलपर्स एआई-संचालित समाधान बनाने, नवाचार करने और तैनात करने के लिए उपयोगकर्ता के अनुकूल प्लेटफार्मों और जेनरेटिव एआई का लाभ उठा सकते हैं।
लेकिन यह प्रथा कितनी सुरक्षित है? वास्तविकता यह है कि यह कई नए जोखिम ला रहा है। यहां अच्छी खबर है: आपको सुरक्षा और व्यवसाय-आधारित नवाचार द्वारा प्रदान की जाने वाली दक्षता के बीच चयन करने की ज़रूरत नहीं है।
पारंपरिक दायरे से परे एक बदलाव
आईटी और सुरक्षा टीमों का उपयोग अपने प्रयासों पर ध्यान केंद्रित करने के लिए किया जाता है स्कैन करना और कोड में लिखी कमजोरियों की तलाश करना. उन्होंने यह सुनिश्चित करने पर ध्यान केंद्रित किया है कि डेवलपर्स सुरक्षित सॉफ़्टवेयर का निर्माण कर रहे हैं, यह सुनिश्चित करते हुए कि सॉफ़्टवेयर सुरक्षित है और फिर - एक बार जब यह उत्पादन में हो - विचलन के लिए या तथ्य के बाद किसी भी संदिग्ध चीज़ के लिए इसकी निगरानी करें।
उसके साथ कम कोड और बिना कोड का उदय, पहले से कहीं अधिक लोग एप्लिकेशन बना रहे हैं और पारंपरिक विकास प्रक्रिया के बाहर - एप्लिकेशन बनाने के लिए स्वचालन का उपयोग कर रहे हैं। ये अक्सर ऐसे कर्मचारी होते हैं जिनकी सॉफ़्टवेयर विकास पृष्ठभूमि बहुत कम या बिल्कुल नहीं होती, और ये ऐप्स सुरक्षा के दायरे से बाहर बनाए जा रहे हैं।
यह एक ऐसी स्थिति पैदा करता है जहां आईटी अब संगठन के लिए सब कुछ नहीं बना रहा है, और सुरक्षा टीम में दृश्यता का अभाव है। एक बड़े संगठन में, आप व्यावसायिक विकास के माध्यम से एक वर्ष में कुछ सौ ऐप्स बना सकते हैं; कम/बिना कोड के, आप उससे कहीं अधिक प्राप्त कर सकते हैं। ऐसे कई संभावित ऐप्स हैं जिन पर सुरक्षा टीमों का ध्यान नहीं जा सकता या उनकी निगरानी नहीं की जा सकती।
नए जोखिमों का खजाना
 निम्न-कोड/नो-कोड विकास से जुड़ी कुछ संभावित सुरक्षा चिंताओं में शामिल हैं:
  1. आईटी के दायरे में नहीं - जैसा कि अभी उल्लेख किया गया है, नागरिक डेवलपर्स आईटी पेशेवरों की लाइन से बाहर काम करते हैं, जिससे दृश्यता और छाया ऐप विकास की कमी पैदा होती है। इसके अतिरिक्त, ये उपकरण अनंत संख्या में लोगों को बस कुछ ही क्लिक के साथ तेजी से ऐप्स और ऑटोमेशन बनाने में सक्षम बनाते हैं। इसका मतलब यह है कि अनगिनत संख्या में ऐसे ऐप्स हैं जो बिना आईटी के पूरी जानकारी के अनगिनत लोगों द्वारा बहुत तेजी से बनाए जा रहे हैं।
  2. नहीं सॉफ़्टवेयर विकास जीवनचक्र (एसडीएलसी) - इस तरह से सॉफ्टवेयर विकसित करने का मतलब है कि वहां कोई एसडीएलसी नहीं है, जिससे जोखिम के अलावा असंगतता, भ्रम और जवाबदेही की कमी हो सकती है।
  3. नौसिखिए डेवलपर्स - ये ऐप अक्सर कम तकनीकी कौशल और अनुभव वाले लोगों द्वारा बनाए जा रहे हैं, जो गलतियों और सुरक्षा खतरों के द्वार खोलते हैं। वे आवश्यक रूप से सुरक्षा या विकास प्रभावों के बारे में उस तरह से नहीं सोचते जैसे एक पेशेवर डेवलपर या अधिक तकनीकी अनुभव वाला कोई व्यक्ति सोचता है। और यदि किसी विशिष्ट घटक में भेद्यता पाई जाती है जो बड़ी संख्या में ऐप्स में एम्बेडेड है, तो इसका कई उदाहरणों में शोषण होने की संभावना है
  4. ख़राब पहचान प्रथाएँ - पहचान प्रबंधन भी एक मुद्दा हो सकता है। यदि आप किसी व्यावसायिक उपयोगकर्ता को एप्लिकेशन बनाने के लिए सशक्त बनाना चाहते हैं, तो नंबर एक चीज़ जो उन्हें रोक सकती है वह है अनुमतियों की कमी। अक्सर, इसे टाला जा सकता है, और ऐसा होता है कि आपके पास कोई उपयोगकर्ता किसी और की पहचान का उपयोग कर सकता है। इस मामले में, यह पता लगाने का कोई तरीका नहीं है कि उन्होंने कुछ गलत किया है या नहीं। यदि आप किसी ऐसी चीज़ का उपयोग करते हैं जिसकी आपको अनुमति नहीं है या आपने कुछ दुर्भावनापूर्ण करने का प्रयास किया है, तो सुरक्षा उधार लिए गए उपयोगकर्ता की पहचान की तलाश में आएगी क्योंकि दोनों के बीच अंतर करने का कोई तरीका नहीं है।
  5. स्कैन करने के लिए कोई कोड नहीं - इससे पारदर्शिता की कमी होती है जो समस्या निवारण, डिबगिंग और सुरक्षा विश्लेषण के साथ-साथ संभावित अनुपालन और नियामक चिंताओं में बाधा उत्पन्न कर सकती है।
ये सभी जोखिम संभावित डेटा रिसाव में योगदान कर सकते हैं। इससे कोई फर्क नहीं पड़ता कि कोई एप्लिकेशन कैसे बनाया गया है - चाहे वह ड्रैग-एंड-ड्रॉप, टेक्स्ट-आधारित प्रॉम्प्ट, या कोड के साथ बनाया गया हो - इसकी एक पहचान है, इसकी डेटा तक पहुंच है, यह संचालन कर सकता है, और इसे संचार करने की आवश्यकता है उपयोगकर्ताओं के साथ. डेटा को अक्सर संगठन में विभिन्न स्थानों के बीच स्थानांतरित किया जा रहा है; यह आसानी से डेटा सीमाओं या बाधाओं को तोड़ सकता है।
डेटा गोपनीयता और अनुपालन भी दांव पर है। संवेदनशील डेटा इन अनुप्रयोगों के भीतर रहता है, लेकिन इसे उन व्यावसायिक उपयोगकर्ताओं द्वारा नियंत्रित किया जा रहा है जो यह नहीं जानते कि इसे ठीक से कैसे संग्रहीत किया जाए (और यहां तक ​​कि इसके बारे में सोचते भी नहीं हैं)। इससे अनुपालन उल्लंघन सहित कई अतिरिक्त समस्याएं पैदा हो सकती हैं।
दृश्यता पुनः प्राप्त करना
जैसा कि उल्लेख किया गया है, इनमें से एक कम/बिना कोड वाली बड़ी चुनौतियां यह है कि यह आईटी/सुरक्षा के दायरे में नहीं है, जिसका अर्थ है कि डेटा ऐप्स को ट्रैस कर रहा है। इस बात की हमेशा स्पष्ट समझ नहीं होती है कि इन ऐप्स को वास्तव में कौन बना रहा है, और वास्तव में क्या हो रहा है, इसकी दृश्यता में कुल मिलाकर कमी है। और हर संगठन को इस बात की पूरी जानकारी भी नहीं है कि क्या हो रहा है। या फिर उन्हें लगता है कि उनके संगठन में नागरिक विकास नहीं हो रहा है, लेकिन यह लगभग निश्चित रूप से हो रहा है।
तो, सुरक्षा नेता कैसे नियंत्रण हासिल कर सकते हैं और जोखिम को कम कर सकते हैं? पहला कदम आपके संगठन के भीतर नागरिक डेवलपर पहलों पर गौर करना है, यह पता लगाना है कि कौन (यदि कोई है) इन प्रयासों का नेतृत्व कर रहा है और उनके साथ जुड़ना है। आप नहीं चाहते कि ये टीमें दंडित या बाधित महसूस करें; एक सुरक्षा नेता के रूप में, आपका लक्ष्य उनके प्रयासों का समर्थन करना होना चाहिए, लेकिन प्रक्रिया को सुरक्षित बनाने के लिए शिक्षा और मार्गदर्शन प्रदान करना चाहिए।
सुरक्षा की शुरुआत दृश्यता से होनी चाहिए. इसकी कुंजी अनुप्रयोगों की एक सूची बनाना और यह समझ विकसित करना है कि कौन क्या बना रहा है। इस जानकारी के होने से यह सुनिश्चित करने में मदद मिलेगी कि यदि किसी प्रकार का उल्लंघन होता है, तो आप चरणों का पता लगाने और यह पता लगाने में सक्षम होंगे कि क्या हुआ।
सुरक्षित विकास कैसा दिखता है, इसके लिए एक रूपरेखा स्थापित करें। इसमें आवश्यक नीतियां और तकनीकी नियंत्रण शामिल हैं जो सुनिश्चित करेंगे कि उपयोगकर्ता सही विकल्प चुनें। जब संवेदनशील डेटा की बात आती है तो पेशेवर डेवलपर्स भी गलतियाँ करते हैं; व्यावसायिक उपयोगकर्ताओं के साथ इसे नियंत्रित करना और भी कठिन है। लेकिन सही नियंत्रण के साथ, आपके लिए गलती करना कठिन हो सकता है।
अधिक सुरक्षित लो-कोड/नो-कोड की ओर
मैन्युअल कोडिंग की पारंपरिक प्रक्रिया ने नवाचार में बाधा उत्पन्न की है, विशेष रूप से प्रतिस्पर्धी समय-दर-बाज़ार परिदृश्यों में। आज के कम-कोड और बिना कोड वाले प्लेटफ़ॉर्म के साथ, विकास के अनुभव के बिना भी लोग AI-संचालित समाधान बना सकते हैं। हालांकि इससे ऐप विकास सुव्यवस्थित हो गया है, लेकिन यह संगठनों की सुरक्षा को भी खतरे में डाल सकता है। हालाँकि, नागरिक विकास और सुरक्षा के बीच चयन करना ज़रूरी नहीं है; सुरक्षा नेता दोनों के लिए संतुलन खोजने के लिए व्यावसायिक उपयोगकर्ताओं के साथ साझेदारी कर सकते हैं।
       
 संबंधित विषय:
 mm
माइकल के सह-संस्थापक और सीटीओ हैं ज़ीनत. वह क्लाउड, SaaS और AppSec में रुचि रखने वाले साइबर सुरक्षा उद्योग के विशेषज्ञ हैं। ज़ेनिटी से पहले, माइकल माइक्रोसॉफ्ट क्लाउड सिक्योरिटी सीटीओ ऑफिस में एक वरिष्ठ वास्तुकार थे, जहां उन्होंने IoT, API, IaC और गोपनीय कंप्यूटिंग के लिए सुरक्षा उत्पाद प्रयासों की स्थापना और नेतृत्व किया था। माइकल लो-कोड/नो-कोड सुरक्षा पर OWASP सामुदायिक प्रयास का नेतृत्व कर रहे हैं।