सुरक्षा जोखिमों का सामना करने वाले कोपायलट

अधिक से अधिक, उद्यम कोपायलॉट और लो-कोड प्लेटफ़ॉर्म का उपयोग कर रहे हैं ताकि कर्मचारी – यहां तक कि उन लोगों के लिए भी जिनके पास तकनीकी विशेषज्ञता नहीं है – शक्तिशाली कोपायलॉट और व्यवसाय ऐप्स बना सकें, साथ ही साथ विशाल मात्रा में डेटा को संसाधित कर सकें। जेनिटी द्वारा एक नई रिपोर्ट में, एंटरप्राइज़ कोपायलॉट और लो-कोड डेवलपमेंट की स्थिति 2024, पाया गया कि औसतन, उद्यमों में लगभग 80,000 ऐप और कोपायलॉट हैं जो मानक सॉफ़्टवेयर विकास जीवन चक्र (एसडीएलसी) के बाहर बनाए गए थे।

यह विकास नए अवसर प्रदान करता है, लेकिन नए जोखिम भी हैं। इन 80,000 ऐप और कोपायलॉट में लगभग 50,000 कमजोरियां हैं। रिपोर्ट में उल्लेख किया गया है कि ये ऐप और कोपायलॉट तेजी से विकसित हो रहे हैं। परिणामस्वरूप, वे एक बड़ी संख्या में कमजोरियां पैदा कर रहे हैं।

एंटरप्राइज़ कोपायलॉट और ऐप्स के जोखिम

आम तौर पर, सॉफ़्टवेयर डेवलपर्स ऐप्स को एक परिभाषित एसडीएलसी (सुरक्षित विकास जीवन चक्र) के साथ ध्यान से बनाते हैं जहां हर ऐप को लगातार डिज़ाइन, तैनात, मापा और विश्लेषण किया जाता है। लेकिन आज, ये गार्डरेल्स अब मौजूद नहीं हैं। विकास अनुभव के बिना लोग अब पावर प्लेटफ़ॉर्म, माइक्रोसॉफ्ट कोपायलॉट, ओपनएआई, सर्विसनाउ, सेल्सफोर्स, यूआईपैथ, ज़ापियर और अन्य पर उच्च-शक्ति वाले कोपायलॉट और व्यवसाय ऐप्स बना और उपयोग कर सकते हैं। ये ऐप्स व्यवसाय संचालन में मदद करते हैं क्योंकि वे संवेदनशील डेटा को स्थानांतरित और संग्रहीत करते हैं। इस क्षेत्र में वृद्धि महत्वपूर्ण रही है; रिपोर्ट में पाया गया कि लो-कोड विकास और कोपायलॉट को अपनाने में 39% वर्ष-दर-वर्ष वृद्धि हुई है।

इसके परिणामस्वरूप एसडीएलसी को बायपास करने से, कमजोरियां व्यापक हैं। कई उद्यम इन क्षमताओं को उत्साहपूर्वक अपनाते हैं बिना पूरी तरह से सराहना किए कि उन्हें यह समझने की आवश्यकता है कि कितने कोपायलॉट और ऐप्स बनाए जा रहे हैं – और उनके व्यवसाय संदर्भ को भी। उदाहरण के लिए, उन्हें यह समझने की आवश्यकता है कि ऐप्स और कोपायलॉट किस लिए हैं, कौन से डेटा ऐप इंटरैक्ट करता है और उनके व्यवसाय उद्देश्य क्या हैं। उन्हें यह भी पता होना चाहिए कि कौन उन्हें विकसित कर रहा है। चूंकि वे अक्सर नहीं करते हैं, और चूंकि मानक विकास अभ्यास को बायपास किया जाता है, यह एक नए प्रकार के शैडो आईटी को बनाता है।

यह सुरक्षा टीमों को एक कठिन स्थिति में रखता है जिसमें कई कोपायलॉट, ऐप्स, स्वचालन और रिपोर्ट हैं जो उनके ज्ञान से बाहर विभिन्न लॉब्स में व्यवसाय उपयोगकर्ताओं द्वारा निर्मित किए जा रहे हैं। रिपोर्ट में पाया गया कि ओडब्ल्यूएएसपी (ओपन वेब एप्लिकेशन सुरक्षा परियोजना) की शीर्ष 10 जोखिम श्रेणियां उद्यमों में सर्वत्र व्यापक हैं। औसतन, एक उद्यम में 49,438 कमजोरियां हैं। यह लो-कोड के माध्यम से निर्मित कोपायलॉट और ऐप्स के 62% को सुरक्षा कमजोरियों का कुछ प्रकार होने का अनुवाद करता है।

विभिन्न प्रकार के जोखिमों को समझना

कोपायलॉट इतने महत्वपूर्ण खतरे प्रस्तुत करते हैं क्योंकि वे प्रमाणीकरण का उपयोग करते हैं, संवेदनशील डेटा तक पहुंच रखते हैं और एक अंतर्निहित जिज्ञासा रखते हैं जो उन्हें नियंत्रित करना मुश्किल बनाता है। वास्तव में, 63% लो-कोड प्लेटफ़ॉर्म के साथ निर्मित कोपायलॉट दूसरों के साथ अत्यधिक साझा किए गए थे – और उनमें से कई अनप्रमाणित चैट स्वीकार करते हैं। यह संभावित प्रॉम्प्ट इंजेक्शन हमलों के लिए एक महत्वपूर्ण जोखिम को सक्षम बनाता है।

कोपायलॉट और सामान्य रूप से एआई के संचालन के कारण, सुरक्षा उपायों को लागू करना आवश्यक है ताकि कोपायलॉट के साथ अंतिम उपयोगकर्ता इंटरैक्शन को साझा करने, ऐप्स को बहुत से या गलत लोगों के साथ साझा करने, एआई के माध्यम से संवेदनशील डेटा तक अनावश्यक पहुंच प्रदान करने से रोका जा सके। यदि ये उपाय नहीं लिए जाते हैं, तो उद्यमों को डेटा लीक और दुर्भाग्यपूर्ण प्रॉम्प्ट इंजेक्शन के जोखिम के बढ़ने का सामना करना पड़ सकता है।

दो अन्य महत्वपूर्ण जोखिम हैं:

रिमोट कोपायलॉट एक्ज़ीक्यूशन (आरसीई) – ये कमजोरियां एआई अनुप्रयोगों के लिए एक विशिष्ट हमला मार्ग का प्रतिनिधित्व करती हैं। इस आरसीई संस्करण में एक बाहरी हमलावर को केवल एक ईमेल, कैलेंडर आमंत्रण या टीम्स संदेश भेजकर एम365 के लिए कोपायलॉट पर पूर्ण नियंत्रण प्राप्त करने और इसे अपने आदेशों का पालन करने के लिए मजबूर करने की अनुमति देता है।

मेहमान खाते: केवल एक मेहमान खाते और एक नि:शुल्क लो-कोड प्लेटफ़ॉर्म के परीक्षण लाइसेंस का उपयोग करके – जो आमतौर पर कई उपकरणों पर नि:शुल्क उपलब्ध होता है – एक हमलावर को केवल उद्यम के लो-कोड प्लेटफ़ॉर्म या कोपायलॉट में लॉग इन करने की आवश्यकता होती है। एक बार अंदर, हमलावर लक्ष्य निर्देशिका में स्विच करता है और फिर प्लेटफ़ॉर्म पर डोमेन प्रशासक-स्तरीय विशेषाधिकार प्राप्त करता है। परिणामस्वरूप, हमलावर इन मेहमान खातों की तलाश में रहते हैं, जिन्होंने सुरक्षा उल्लंघनों को जन्म दिया है। यहाँ एक डेटा बिंदु है जो उद्यम नेताओं और उनकी सुरक्षा टीमों को डराना चाहिए: एक औसत उद्यम में 8,641 से अधिक अस्वीकृत मेहमान उपयोगकर्ता हैं जिन्हें लो-कोड और कोपायलॉट के माध्यम से विकसित ऐप्स तक पहुंच प्राप्त है।

एक नई सुरक्षा दृष्टिकोण की आवश्यकता है

सुरक्षा टीमें इस सर्वत्र, अमूर्त और महत्वपूर्ण जोखिम के खिलाफ क्या कर सकती हैं? उन्हें यह सुनिश्चित करने की आवश्यकता है कि उन्होंने नियंत्रण स्थापित किए हैं जो उन्हें किसी भी ऐप के लिए अलर्ट करते हैं जिसमें इसकी प्रमाणीकरण पुनर्प्राप्ति प्रक्रिया में एक असुरक्षित चरण है या एक हार्ड-कोडेड रहस्य है। उन्हें यह सुनिश्चित करने के लिए भी ऐप्स को संदर्भ जोड़ना होगा जो व्यवसाय-महत्वपूर्ण ऐप्स के लिए उपयुक्त प्रमाणीकरण नियंत्रण सुनिश्चित करते हैं जो संवेदनशील आंतरिक डेटा तक पहुंच रखते हैं।

जब ये रणनीतियों को तैनात किया जाता है, तो अगली प्राथमिकता यह सुनिश्चित करना है कि संवेदनशील डेटा तक पहुंच की आवश्यकता वाले ऐप्स के लिए उपयुक्त प्रमाणीकरण स्थापित किया गया है। इसके बाद, यह एक सर्वोत्तम अभ्यास है कि प्रमाणीकरण को इस तरह से स्थापित किया जाए ताकि वे एक प्रमाणीकरण या रहस्य वॉल्ट से सुरक्षित रूप से पुनर्प्राप्त किए जा सकें, जो यह गारंटी देगा कि पासवर्ड स्पष्ट या प्लेन टेक्स्ट में नहीं बैठे हैं।

अपने भविष्य को सुरक्षित करना

लो-कोड और कोपायलॉट विकास का जिन्न बोतल से बाहर है, इसलिए इसे वापस डालने की कोशिश करना व्यावहारिक नहीं है। इसके बजाय, उद्यमों को जोखिमों के बारे में पता होना चाहिए और नियंत्रण स्थापित करना चाहिए जो उनके डेटा को सुरक्षित और ठीक से प्रबंधित रखें। सुरक्षा टीमों ने व्यवसाय-नेतृत्व वाले विकास के इस नए युग में, कई चुनौतियों का सामना किया है, लेकिन उपरोक्त सिफारिशों का पालन करके, वे सुरक्षित रूप से नवाचार और उत्पादकता को लाने के लिए सबसे अच्छी स्थिति में होंगे जो एंटरप्राइज़ कोपायलॉट और लो-कोड विकास मंच प्रदान करते हैं एक साहसिक नए भविष्य की ओर।