Het overwinnen van de grootste beveiligingsuitdagingen van AI-gestuurde ontwikkeling met weinig code/geen code

Low-code ontwikkelplatforms hebben de manier veranderd waarop mensen bedrijfsoplossingen op maat creëren, waaronder apps, workflows en copilots. Deze tools bieden burgerontwikkelaars meer mogelijkheden en creëren een flexibeler omgeving voor app-ontwikkeling. Het toevoegen van AI aan de mix heeft deze mogelijkheid alleen maar verbeterd. Het feit dat er niet genoeg mensen in een organisatie zijn die over de vaardigheden (en tijd) beschikken om het aantal apps, automatiseringen enzovoort te bouwen dat nodig is om innovatie vooruit te helpen, heeft aanleiding gegeven tot de low-code/no-code paradigma. Nu kunnen burgerontwikkelaars, zonder formele technische training nodig te hebben, gebruikmaken van gebruiksvriendelijke platforms en generatieve AI om AI-gestuurde oplossingen te creëren, te innoveren en in te zetten.

Maar hoe veilig is deze praktijk? De realiteit is dat het een groot aantal nieuwe risico's introduceert. Dit is het goede nieuws: u hoeft niet te kiezen tussen veiligheid en de efficiëntie die bedrijfsgerichte innovatie biedt.

Een verschuiving buiten het traditionele gezichtsveld

IT- en beveiligingsteams zijn gewend hun inspanningen te richten op: scannen en zoeken naar kwetsbaarheden die in code zijn geschreven. Ze hebben zich erop gericht ervoor te zorgen dat ontwikkelaars veilige software bouwen, ervoor te zorgen dat de software veilig is en deze vervolgens – zodra deze in productie is – te controleren op afwijkingen of verdachte zaken achteraf.

Met de opkomst van low-code en geen-codebouwen meer mensen dan ooit applicaties en gebruiken ze automatisering om applicaties te creëren – buiten het traditionele ontwikkelingsproces om. Dit zijn vaak werknemers met weinig tot geen softwareontwikkelingsachtergrond, en deze apps worden buiten het kader van de beveiliging gemaakt.

Hierdoor ontstaat een situatie waarin IT niet langer alles voor de organisatie bouwt en het beveiligingsteam geen zichtbaarheid heeft. In een grote organisatie kun je via professionele ontwikkeling binnen een jaar een paar honderd apps laten bouwen; met weinig/geen code kun je veel meer krijgen dan dat. Dat zijn veel potentiële apps die onopgemerkt of ongecontroleerd kunnen blijven door beveiligingsteams.

Een schat aan nieuwe risico's

 Enkele van de potentiële beveiligingsproblemen die gepaard gaan met low-code/no-code-ontwikkeling zijn onder meer:

1. Niet binnen de reikwijdte van IT – zoals zojuist vermeld, werken burgerontwikkelaars buiten de lijnen van IT-professionals, waardoor er een gebrek aan zichtbaarheid en schaduw-app-ontwikkeling ontstaat. Bovendien stellen deze tools een oneindig aantal mensen in staat om snel, met slechts een paar klikken, apps en automatiseringen te maken. Dat betekent dat er in razend tempo een onnoemelijk aantal apps worden gemaakt door een onnoemelijk aantal mensen, allemaal zonder dat IT het volledige plaatje heeft.
2. Nee levenscyclus van softwareontwikkeling (SDLC) – Het op deze manier ontwikkelen van software betekent dat er geen SDLC bestaat, wat naast risico's ook kan leiden tot inconsistentie, verwarring en gebrek aan verantwoordelijkheid.
3. Beginnende ontwikkelaars – Deze apps worden vaak gebouwd door mensen met minder technische vaardigheden en ervaring, waardoor de deur opengaat voor fouten en veiligheidsrisico’s. Ze denken niet noodzakelijkerwijs na over de gevolgen voor beveiliging of ontwikkeling op de manier waarop een professionele ontwikkelaar of iemand met meer technische ervaring dat zou doen. En als er een kwetsbaarheid wordt gevonden in een specifiek onderdeel dat in een groot aantal apps is ingebed, bestaat de kans dat dit op meerdere instanties wordt uitgebuit.
4. Slechte identiteitspraktijken – Identiteitsbeheer kan ook een probleem zijn. Als je een zakelijke gebruiker de mogelijkheid wilt geven een applicatie te bouwen, is het belangrijkste dat hem kan tegenhouden een gebrek aan machtigingen. Vaak kan dit worden omzeild en wat er dan gebeurt, is dat een gebruiker de identiteit van iemand anders gebruikt. In dit geval is er geen manier om erachter te komen of ze iets verkeerd hebben gedaan. Als u toegang krijgt tot iets waartoe u niet gerechtigd bent of als u iets kwaadaardigs probeert te doen, zal de beveiliging op zoek gaan naar de identiteit van de geleende gebruiker, omdat er geen manier is om onderscheid tussen deze twee te maken.
5. Geen code om te scannen – Dit veroorzaakt een gebrek aan transparantie dat probleemoplossing, foutopsporing en beveiligingsanalyse kan belemmeren, evenals mogelijke problemen met naleving en regelgeving.

Deze risico's kunnen allemaal bijdragen aan mogelijke gegevenslekken. Ongeacht hoe een applicatie is gebouwd – of deze nu wordt gebouwd met slepen en neerzetten, een op tekst gebaseerde prompt of met code – de applicatie heeft een identiteit, heeft toegang tot gegevens, kan bewerkingen uitvoeren en moet communiceren. met gebruikers. Gegevens worden verplaatst, vaak tussen verschillende plaatsen in de organisatie; dit kan gemakkelijk datagrenzen of barrières doorbreken.

Ook gegevensprivacy en compliance staan ​​op het spel. Er zitten gevoelige gegevens in deze applicaties, maar deze worden verwerkt door zakelijke gebruikers die niet weten hoe ze deze op de juiste manier moeten opslaan (en er zelfs niet aan denken). Dat kan tot een groot aantal extra problemen leiden, waaronder schendingen van de naleving.

Het herwinnen van zichtbaarheid

Zoals gezegd, een van de De grote uitdaging met weinig/geen code is dat het niet onder de bevoegdheid van IT/beveiliging valt, wat betekent dat gegevens apps doorkruisen. Er is niet altijd een duidelijk inzicht in wie deze apps werkelijk maakt, en er is een algemeen gebrek aan inzicht in wat er werkelijk gebeurt. En niet elke organisatie is zich überhaupt volledig bewust van wat er gebeurt. Of ze denken dat burgerontwikkeling niet plaatsvindt in hun organisatie, maar dat is vrijwel zeker wel het geval.

Hoe kunnen veiligheidsleiders dus controle krijgen en risico’s beperken? De eerste stap is om de initiatieven van burgerontwikkelaars binnen uw organisatie te onderzoeken, uit te vinden wie (of iemand) deze inspanningen leidt en met hen in contact te komen. Je wilt niet dat deze teams zich gestraft of gehinderd voelen; als veiligheidsleider moet het uw doel zijn om hun inspanningen te ondersteunen, maar ook om onderwijs en begeleiding te bieden om het proces veiliger te maken.

Beveiliging moet beginnen met zichtbaarheid. De sleutel hiervoor is het inventariseren van toepassingen en het ontwikkelen van inzicht in wie wat bouwt. Als u over deze informatie beschikt, kunt u ervoor zorgen dat als er een inbreuk plaatsvindt, u de stappen kunt volgen en kunt achterhalen wat er is gebeurd.

Creëer een raamwerk voor hoe veilige ontwikkeling eruit ziet. Dit omvat het noodzakelijke beleid en de technische controles die ervoor zorgen dat gebruikers de juiste keuzes maken. Zelfs professionele ontwikkelaars maken fouten als het gaat om gevoelige gegevens; bij zakelijke gebruikers is het nog moeilijker om dit onder controle te houden. Maar met de juiste controles kunt u het moeilijk maken om een ​​fout te maken.

Naar veiliger low-code/no-code

Het traditionele proces van handmatige codering heeft innovatie belemmerd, vooral in concurrerende time-to-market-scenario's. Met de huidige low-code- en no-codeplatforms kunnen zelfs mensen zonder ontwikkelingservaring AI-gestuurde oplossingen creëren. Hoewel dit de ontwikkeling van apps heeft gestroomlijnd, kan het ook de veiligheid en beveiliging van organisaties in gevaar brengen. Het hoeft echter geen keuze te zijn tussen burgerontwikkeling en veiligheid; Beveiligingsleiders kunnen samenwerken met zakelijke gebruikers om voor beide een evenwicht te vinden.