Affrontare i Rischi di Sicurezza dei Copiloti

Sempre più, le imprese stanno utilizzando copiloti e piattaforme low-code per consentire ai dipendenti – anche a quelli con poca o nessuna esperienza tecnica – di creare potenti copiloti e app aziendali, nonché di elaborare grandi quantità di dati. Un nuovo rapporto di Zenity, Lo Stato dei Copiloti e dello Sviluppo Low-Code Aziendale nel 2024, ha scoperto che, in media, le imprese hanno circa 80.000 app e copiloti creati al di fuori del ciclo di vita di sviluppo software standard (SDLC).

Questo sviluppo offre nuove opportunità, ma anche nuovi rischi. Tra questi 80.000 app e copiloti, ci sono circa 50.000 vulnerabilità. Il rapporto ha notato che queste app e copiloti si stanno evolvendo a una velocità vertiginosa. Di conseguenza, stanno creando un numero massiccio di vulnerabilità.

Rischi dei Copiloti e App Aziendali

Tipicamente, gli sviluppatori di software creano app con cura lungo un ciclo di vita di sviluppo software definito (SDLC) dove ogni app è costantemente progettata, distribuita, misurata e analizzata. Ma oggi, queste garanzie non esistono più. Le persone senza esperienza di sviluppo possono ora creare e utilizzare copiloti e app aziendali potenti all’interno di Power Platform, Microsoft Copilot, OpenAI, ServiceNow, Salesforce, UiPath, Zapier e altri. Queste app aiutano con le operazioni aziendali poiché trasferiscono e archiviano dati sensibili. La crescita in questo settore è stata significativa; il rapporto ha scoperto una crescita del 39% anno su anno nell’adozione dello sviluppo low-code e dei copiloti.

Come risultato di questo bypass del SDLC, le vulnerabilità sono pervasive. Molte imprese abbracciano con entusiasmo queste capacità senza apprezzare appieno il fatto che devono capire quanti copiloti e app stanno venendo creati – e il loro contesto aziendale, anche. Ad esempio, devono capire per chi sono destinati gli app e i copiloti, con quali dati l’app interagisce e quali sono i loro scopi aziendali. Devono anche sapere chi li sta sviluppando. Poiché spesso non lo fanno, e poiché le pratiche di sviluppo standard vengono bypassate, questo crea una nuova forma di shadow IT.

Ciò mette i team di sicurezza in una posizione difficile con molti copiloti, app, automazioni e rapporti che vengono costruiti al di fuori della loro conoscenza da utenti aziendali in vari dipartimenti. Il rapporto ha scoperto che tutte le categorie di rischio OWASP (Open Web Application Security Project) Top 10 sono onnipresenti in tutte le imprese. In media, un’impresa ha 49.438 vulnerabilità. Ciò si traduce nel 62% dei copiloti e delle app costruite tramite low-code che contengono una vulnerabilità di sicurezza di qualche tipo.

Comprendere i Diversi Tipi di Rischi

I copiloti presentano una minaccia potenziale così significativa perché utilizzano credenziali, hanno accesso a dati sensibili e possiedono una curiosità intrinseca che li rende difficili da contenere. In effetti, il 63% dei copiloti costruiti con piattaforme low-code è stato condiviso con altri – e molti di loro accettano chat non autenticate. Ciò consente un rischio sostanziale per possibili attacchi di iniezione di prompt.

A causa di come i copiloti operano e di come funziona l’AI in generale, devono essere applicate misure di sicurezza rigorose per prevenire la condivisione di interazioni dell’utente finale con i copiloti, la condivisione di app con troppe persone o con le persone sbagliate, la concessione non necessaria di accesso a dati sensibili tramite AI e così via. Se queste misure non sono in atto, le imprese rischiano un’esposizione aumentata alla perdita di dati e all’iniezione di prompt malintenzionata.
utilizzando un solo account guest e una licenza di prova per una piattaforma low-code – solitamente disponibile gratuitamente su più strumenti – un attaccante deve solo accedere alla piattaforma low-code o al copilota dell’impresa. Una volta dentro, l’attaccante passa alla directory di destinazione e quindi ha privilegi di amministratore di dominio sulla piattaforma. Di conseguenza, gli attaccanti cercano questi account guest, che hanno portato a violazioni della sicurezza. Ecco un punto di dati che dovrebbe incutere timore ai leader aziendali e ai loro team di sicurezza: l’impresa media ha più di 8.641 istanze di utenti guest non attendibili che hanno accesso alle app sviluppate tramite low-code e copiloti.

È Necessario un Nuovo Approccio alla Sicurezza

Cosa possono fare i team di sicurezza contro questo rischio onnipresente, amorfo e critico? Devono assicurarsi di avere controlli in atto per allertarli a qualsiasi app che abbia un passaggio insicuro nel suo processo di recupero delle credenziali o un segreto hard-coded. Devono anche aggiungere contesto a qualsiasi app che viene creata per assicurarsi che ci siano controlli di autenticazione appropriati per qualsiasi app aziendale critica che abbia anche accesso a dati interni sensibili.

Quando queste tattiche sono state attuate, la priorità successiva è assicurarsi che l’autenticazione appropriata sia impostata per le app che necessitano di accesso a dati sensibili. Dopo di ciò, è una best practice impostare le credenziali in modo che possano essere recuperate in modo sicuro da un vault di credenziali o segreti, il che garantisce che le password non siano in chiaro o in testo semplice.

Sicurezza per il Futuro

 Il genio dello sviluppo low-code e dei copiloti è uscito dalla bottiglia, quindi non è realistico cercare di rimetterlo dentro. Piuttosto, le imprese devono essere consapevoli dei rischi e mettere in atto controlli che mantengano i loro dati sicuri e gestiti correttamente. I team di sicurezza hanno affrontato molte sfide in questa nuova era di sviluppo aziendale, ma aderendo alle raccomandazioni indicate sopra, saranno nella migliore posizione possibile per portare in modo sicuro l’innovazione e la produttività che le piattaforme di sviluppo low-code e i copiloti aziendali offrono verso un nuovo futuro coraggioso.