부본 AI 기반 로우 코드/노 코드 개발의 주요 보안 과제 극복 - Unite.AI
Rescale 미팅 예약
   사상가  
AI 기반 로우 코드/노 코드 개발의 주요 보안 문제 극복
 mm
게재
 2 주 전
 on
   
 
로우코드 개발 플랫폼 사람들이 앱, 워크플로, 부조종사 등 맞춤형 비즈니스 솔루션을 만드는 방식을 변화시켰습니다. 이러한 도구는 시민 개발자의 역량을 강화하고 앱 개발을 위한 보다 민첩한 환경을 조성합니다. AI를 믹스에 추가하면 이 기능이 향상될 뿐입니다. 조직에 혁신을 추진하는 데 필요한 수많은 앱, 자동화 등을 구축할 수 있는 기술(및 시간)을 갖춘 인력이 충분하지 않다는 사실로 인해 로우 코드/노 코드가 발생했습니다. 어형 변화표. 이제 공식적인 기술 교육이 필요 없이 시민 개발자는 사용자 친화적인 플랫폼과 제너레이티브 AI를 활용하여 AI 기반 솔루션을 생성, 혁신 및 배포할 수 있습니다.
하지만 이 방법은 얼마나 안전합니까? 현실은 수많은 새로운 위험을 야기하고 있다는 것입니다. 좋은 소식은 보안과 비즈니스 주도 혁신이 제공하는 효율성 사이에서 선택할 필요가 없다는 것입니다.
전통적인 범위를 넘어서는 변화
IT 및 보안 팀은 다음 사항에 노력을 집중하는 데 익숙합니다. 코드에 기록된 취약점을 스캔하고 찾아냅니다.. 그들은 개발자가 안전한 소프트웨어를 구축하고 있는지 확인하고, 소프트웨어가 안전한지 확인하고, 일단 생산에 들어가면 편차나 사후에 의심스러운 사항이 있는지 모니터링하는 데 중점을 두었습니다.
와 더불어 로우코드와 노코드의 등장, 그 어느 때보다 많은 사람들이 전통적인 개발 프로세스 밖에서 애플리케이션을 구축하고 자동화를 사용하여 애플리케이션을 생성하고 있습니다. 이들은 소프트웨어 개발 배경 지식이 거의 또는 전혀 없는 직원인 경우가 많으며 이러한 앱은 보안 범위를 벗어나 만들어지고 있습니다.
이로 인해 IT가 더 이상 조직을 위한 모든 것을 구축하지 못하고 보안 팀의 가시성이 부족한 상황이 발생합니다. 대규모 조직에서는 전문성 개발을 통해 1년에 수백 개의 앱을 구축할 수 있습니다. 코드가 적거나 없으면 그보다 훨씬 더 많은 것을 얻을 수 있습니다. 보안 팀이 눈에 띄지 않거나 모니터링하지 않을 수 있는 잠재적인 앱이 많이 있습니다.
풍부한 새로운 위험
 로우 코드/노 코드 개발과 관련된 잠재적인 보안 문제는 다음과 같습니다.
  1. IT의 범위에 속하지 않습니다. 방금 언급한 것처럼 시민 개발자는 IT 전문가의 영역 밖에서 작업하므로 가시성과 섀도우 앱 개발이 부족합니다. 또한 이러한 도구를 사용하면 무한한 수의 사람들이 몇 번의 클릭만으로 빠르게 앱과 자동화를 만들 수 있습니다. 이는 IT가 전체 그림을 갖고 있지 않은 상태에서 수많은 사람들이 엄청난 속도로 수많은 앱을 만들고 있다는 것을 의미합니다.
  2. 아니 소프트웨어 개발 수명주기(SDLC) – 이러한 방식으로 소프트웨어를 개발한다는 것은 SDLC가 없다는 것을 의미하며, 이는 위험 외에도 불일치, 혼란 및 책임 부족으로 이어질 수 있습니다.
  3. 초보 개발자 – 이러한 앱은 기술적 능력과 경험이 부족한 사람들이 개발하는 경우가 많아 실수와 보안 위협에 노출되는 경우가 많습니다. 그들은 전문 개발자나 기술 경험이 더 많은 사람처럼 보안이나 개발 결과에 대해 반드시 생각하지는 않습니다. 그리고 다수의 앱에 내장된 특정 구성 요소에서 취약점이 발견되면 여러 인스턴스에서 악용될 가능성이 있습니다.
  4. 잘못된 신원 관행 - 신원 관리도 문제가 될 수 있습니다. 비즈니스 사용자가 애플리케이션을 구축할 수 있도록 권한을 부여하려는 경우 가장 먼저 방해할 수 있는 것은 권한 부족입니다. 종종 이를 우회할 수 있으며, 사용자가 다른 사람의 ID를 사용하는 경우가 발생할 수 있습니다. 이 경우, 그들이 뭔가 잘못했는지 알아낼 방법이 없습니다. 허용되지 않은 항목에 액세스하거나 악의적인 작업을 시도한 경우 둘을 구별할 수 있는 방법이 없기 때문에 보안은 빌린 사용자의 신원을 찾으게 됩니다.
  5. 스캔할 코드가 없습니다. 이로 인해 투명성이 부족해 문제 해결, 디버깅, 보안 분석은 물론 규정 준수 및 규제 문제가 발생할 수 있습니다.
이러한 위험은 모두 잠재적인 데이터 유출의 원인이 될 수 있습니다. 드래그 앤 드롭, 텍스트 기반 프롬프트, 코드 등 애플리케이션 구축 방식에 상관없이 애플리케이션에는 ID가 있고, 데이터에 액세스할 수 있으며, 작업을 수행할 수 있고, 통신이 필요합니다. 사용자와 함께. 데이터는 조직 내 여러 위치 간에 이동되는 경우가 많습니다. 이는 데이터 경계나 장벽을 쉽게 무너뜨릴 수 있습니다.
데이터 개인 정보 보호 및 규정 준수도 위험에 처해 있습니다. 민감한 데이터는 이러한 애플리케이션 내에 있지만 이를 적절하게 저장하는 방법을 모르거나 저장하는 방법을 모르는 비즈니스 사용자가 처리하고 있습니다. 이로 인해 규정 준수 위반을 비롯한 다양한 추가 문제가 발생할 수 있습니다.
가시성 회복
언급했듯이, 그 중 하나는 코드가 적거나 없는 경우 큰 과제는 IT/보안의 범위에 속하지 않는다는 것입니다., 이는 데이터가 앱을 통과하고 있음을 의미합니다. 이러한 앱을 실제로 만드는 사람이 누구인지 항상 명확하게 이해하는 것은 아니며 실제로 무슨 일이 일어나고 있는지에 대한 가시성이 전반적으로 부족합니다. 그리고 모든 조직이 무슨 일이 일어나고 있는지 완전히 인식하는 것도 아닙니다. 또는 그들은 시민 개발이 자신의 조직에서 일어나지 않는다고 생각하지만 거의 확실하게 일어나고 있습니다.
그렇다면 보안 리더는 어떻게 통제력을 확보하고 위험을 완화할 수 있을까요? 첫 번째 단계는 조직 내의 시민 개발자 이니셔티브를 조사하고 이러한 노력을 주도하는 사람이 누구인지 찾아내고 그들과 연결하는 것입니다. 당신은 이 팀이 불이익을 받거나 방해를 받는 것을 원하지 않습니다. 보안 리더로서 귀하의 목표는 이들의 노력을 지원하는 동시에 프로세스를 보다 안전하게 만드는 데 필요한 교육과 지침을 제공하는 것이어야 합니다.
보안은 가시성에서부터 시작되어야 합니다. 이것의 핵심은 애플리케이션 목록을 작성하고 누가 무엇을 구축하고 있는지에 대한 이해를 발전시키는 것입니다. 이 정보가 있으면 어떤 종류의 위반이 발생할 경우 단계를 추적하고 무슨 일이 일어났는지 파악하는 데 도움이 됩니다.
보안 개발이 어떤 모습인지에 대한 프레임워크를 설정합니다. 여기에는 사용자가 올바른 선택을 하도록 보장하는 데 필요한 정책과 기술적 통제가 포함됩니다. 전문 개발자라도 민감한 데이터에 관해서는 실수를 합니다. 비즈니스 사용자의 경우 이를 제어하기가 훨씬 더 어렵습니다. 그러나 올바른 제어 장치를 사용하면 실수를 저지르기가 어려워질 수 있습니다.
보다 안전한 로우코드/노코드를 향하여
전통적인 수동 코딩 프로세스는 특히 경쟁이 치열한 시장 출시 시나리오에서 혁신을 방해했습니다. 오늘날의 로우코드 및 노코드 플랫폼을 사용하면 개발 경험이 없는 사람이라도 AI 기반 솔루션을 만들 수 있습니다. 이로 인해 앱 개발이 간소화되었지만 조직의 안전과 보안이 위태로워질 수도 있습니다. 그러나 시민 개발과 보안 중 하나를 선택할 필요는 없습니다. 보안 리더는 비즈니스 사용자와 협력하여 두 가지 모두에 대한 균형을 찾을 수 있습니다.
       
 관련 주제 :
 mm
Michael은 공동 창립자이자 CTO입니다. 제 니티. 그는 클라우드, SaaS 및 AppSec에 관심이 있는 사이버 보안 업계 전문가입니다. Zenity 이전에 Michael은 Microsoft Cloud Security CTO Office의 수석 설계자로 재직하며 IoT, API, IaC 및 기밀 컴퓨팅을 위한 보안 제품 활동을 설립하고 이끌었습니다. Michael은 로우 코드/노 코드 보안에 대한 OWASP 커뮤니티 노력을 이끌고 있습니다.