Kontakt z nami

Liderzy myśli

Stawianie czoła zagrożeniom bezpieczeństwa dla drugich pilotów

mm
Opublikowany

Coraz częściej przedsiębiorstwa korzystają z copilotów i platform low-code, aby umożliwić pracownikom – nawet tym z niewielkim lub żadnym doświadczeniem technicznym – tworzenie wydajnych copilotów i aplikacji biznesowych, a także przetwarzanie ogromnych ilości danych. Nowy raport Zenity, Stan korporacyjnych pilotów i rozwoju Low-Code w 2024 r., ustalono, że średnio przedsiębiorstwa mają około 80,000 XNUMX aplikacji i pilotów utworzonych poza standardowy cykl życia oprogramowania (SDLC).

Rozwój ten oferuje nowe możliwości, ale również nowe zagrożenia. Wśród tych 80,000 50,000 aplikacji i drugich pilotów jest około XNUMX XNUMX luk. Raport zauważył, że te aplikacje i drudzy piloci rozwijają się z zawrotną prędkością. W rezultacie tworzą ogromną liczbę luk.

Ryzyko związane z korporacyjnymi pilotami i aplikacjami

Zazwyczaj programiści oprogramowania budują aplikacje ostrożnie zgodnie z określonym SDLC (bezpieczny cykl życia rozwoju), w którym każda aplikacja jest stale projektowana, wdrażana, mierzona i analizowana. Jednak obecnie te bariery ochronne już nie istnieją. Osoby bez doświadczenia w programowaniu mogą teraz budować i używać wydajnych pilotów i aplikacji biznesowych w ramach Power Platform, Microsoft Copilot, OpenAI, ServiceNow, Salesforce, UiPath, Zapier i innych. Aplikacje te pomagają w operacjach biznesowych, ponieważ przesyłają i przechowują poufne dane. Wzrost w tym obszarze był znaczący; raport wykazał 39% wzrost rok do roku we wdrażaniu rozwoju low-code i pilotów.

W wyniku tego omijania SDLC, luki w zabezpieczeniach są powszechne. Wiele przedsiębiorstw entuzjastycznie przyjmuje te możliwości, nie doceniając w pełni faktu, że muszą zrozumieć, ilu drugich pilotów i aplikacji jest tworzonych – a także ich kontekst biznesowy. Na przykład muszą zrozumieć, dla kogo przeznaczone są aplikacje i drugich pilotów, z jakimi danymi aplikacja wchodzi w interakcję i jakie są ich cele biznesowe. Muszą również wiedzieć, kto je rozwija. Ponieważ często tego nie robią i ponieważ standardowe praktyki programistyczne są pomijane, tworzy to nową formę ukrytego IT.

Stawia to zespoły ds. bezpieczeństwa w trudnej sytuacji, ponieważ wielu pilotów, aplikacji, automatyzacji i raportów jest tworzonych poza ich wiedzą przez użytkowników biznesowych w różnych LoB. Raport wykazał, że wszystkie OWASP (Open Web Application Security Project) 10 najważniejszych kategorii ryzyka są wszechobecne w przedsiębiorstwach. Średnio przedsiębiorstwo ma 49,438 62 luk. Oznacza to, że XNUMX% pilotów i aplikacji zbudowanych przy użyciu low-code zawiera lukę w zabezpieczeniach.

Zrozumienie różnych typów ryzyka

Drugie piloty stanowią tak znaczące potencjalne zagrożenie, ponieważ używają poświadczeń, mają dostęp do poufnych danych i posiadają wewnętrzną ciekawość, która sprawia, że ​​trudno ich powstrzymać. W rzeczywistości 63% drugich pilotów zbudowanych na platformach low-code było nadmiernie udostępnianych innym – a wiele z nich akceptuje nieuwierzytelniony czat. Stwarza to znaczne ryzyko możliwych ataków typu prompt injection.

Ze względu na sposób działania drugich pilotów i sposób działania sztucznej inteligencji w ogóle, należy wdrożyć rygorystyczne środki bezpieczeństwa, aby zapobiec udostępnianiu interakcji użytkowników końcowych drugim pilotom, udostępnianiu aplikacji zbyt wielu lub niewłaściwym osobom, niepotrzebnemu udzielaniu dostępu do poufnych danych za pośrednictwem sztucznej inteligencji itd. Jeśli te środki nie zostaną wdrożone, przedsiębiorstwa ryzykują zwiększoną ekspozycją na wyciek danych i złośliwe szybkie wstrzyknięcia.

Dwa inne istotne ryzyka to:

Remote Copilot Execution (RCE) – Te luki w zabezpieczeniach stanowią ścieżkę ataku specyficzną dla aplikacji AI. Ta wersja RCE umożliwia zewnętrznemu atakującemu przejęcie całkowitej kontroli nad Copilot dla M365 i zmuszenie go do wykonania jego poleceń poprzez wysłanie jednego e-maila, zaproszenia do kalendarza lub wiadomości Teams.

Konta gościnne: Używając tylko jednego konta gościnnego i licencji próbnej na platformę low-code – zazwyczaj dostępnej bezpłatnie w wielu narzędziach – atakujący musi się jedynie zalogować na platformie low-code przedsiębiorstwa lub na drugim pilocie. Po zalogowaniu się atakujący przełącza się na katalog docelowy, a następnie uzyskuje uprawnienia administratora domeny na platformie. W rezultacie atakujący szukają tych kont gościnnych, co doprowadziło do naruszeń bezpieczeństwa. Oto punkt danych, który powinien wzbudzić strach wśród liderów przedsiębiorstw i ich zespołów ds. bezpieczeństwa: Typowe przedsiębiorstwo ma ponad 8,641 przypadków niezaufanych użytkowników gościnnych, którzy mają dostęp do aplikacji opracowanych za pośrednictwem low-code i drugich pilotów.

Potrzebne jest nowe podejście do kwestii bezpieczeństwa

Co mogą zrobić zespoły ds. bezpieczeństwa przeciwko temu wszechobecnemu, amorficznemu i krytycznemu ryzyku? Muszą upewnić się, że wdrożyły kontrole, które ostrzegą je o każdej aplikacji, która ma niebezpieczny krok w procesie pobierania poświadczeń lub zakodowany na stałe sekret. Muszą również dodać kontekst do każdej tworzonej aplikacji, aby upewnić się, że istnieją odpowiednie kontrole uwierzytelniania dla wszystkich aplikacji krytycznych dla firmy, które mają również dostęp do poufnych danych wewnętrznych.

Gdy te taktyki zostaną wdrożone, następnym priorytetem jest upewnienie się, że odpowiednie uwierzytelnianie jest skonfigurowane dla aplikacji, które potrzebują dostępu do poufnych danych. Następnie najlepszą praktyką jest skonfigurowanie poświadczeń, aby można je było bezpiecznie pobrać z repozytorium poświadczeń lub sekretów, co zagwarantuje, że hasła nie będą znajdować się w postaci zwykłego tekstu.

Zabezpiecz swoją przyszłość

 Dżin rozwoju low-code i copilot wyleciał z butelki, więc nie jest realistyczne, aby próbować go tam włożyć z powrotem. Zamiast tego przedsiębiorstwa muszą być świadome ryzyka i wdrożyć kontrole, które zapewnią bezpieczeństwo ich danych i będą nimi właściwie zarządzać. Zespoły ds. bezpieczeństwa stanęły przed wieloma wyzwaniami w tej nowej erze rozwoju kierowanego przez biznes, ale przestrzegając powyższych zaleceń, będą w najlepszej możliwej pozycji, aby bezpiecznie wprowadzić innowację i produktywność, jakie oferują copiloty przedsiębiorstw i platformy rozwoju low-code, w śmiałą nową przyszłość.

Powiązane tematy:
mm

Ben Kliger jest dyrektorem generalnym i współzałożycielem Zenit, który wprowadza bezpieczeństwo aplikacji do świata korporacyjnych pilotów, tworzenia aplikacji low-code i no-code. Ben ma ogromne doświadczenie w branży cyberbezpieczeństwa, obejmujące ponad 16 lat. Jego wiedza specjalistyczna obejmuje praktyczne cyberbezpieczeństwo, budowanie zespołu i przywództwo, a także strategię biznesową i zarządzanie.