Connect with us

Líderes de pensamento

Confrontando os Riscos de Segurança dos Copilotos

mm
Published
Updated

Cada vez mais, as empresas estão usando copilotos e plataformas de baixo código para permitir que os funcionários – mesmo aqueles com pouca ou nenhuma experiência técnica – criem copilotos e aplicativos de negócios poderosos, bem como processem vastas quantidades de dados. Um novo relatório da Zenity, O Estado dos Copilotos e Desenvolvimento de Baixo Código Empresarial em 2024, encontrou que, em média, as empresas têm cerca de 80.000 aplicativos e copilotos que foram criados fora do ciclo de vida de desenvolvimento de software padrão (SDLC).

Este desenvolvimento oferece novas oportunidades, mas também novos riscos. Entre esses 80.000 aplicativos e copilotos, há aproximadamente 50.000 vulnerabilidades. O relatório observou que esses aplicativos e copilotos estão evoluindo a uma velocidade vertiginosa. Consequentemente, eles estão criando um número massivo de vulnerabilidades.

Riscos dos Copilotos e Aplicativos Empresariais

Normalmente, os desenvolvedores de software constroem aplicativos com cuidado ao longo de um SDLC (ciclo de vida de desenvolvimento seguro) definido, onde cada aplicativo é constantemente projetado, implantado, medido e analisado. Mas hoje, esses guardrails não existem mais. Pessoas sem experiência em desenvolvimento podem agora criar e usar copilotos e aplicativos de negócios de alta potência dentro da Power Platform, Microsoft Copilot, OpenAI, ServiceNow, Salesforce, UiPath, Zapier e outros. Esses aplicativos ajudam com as operações comerciais, pois transferem e armazenam dados sensíveis. O crescimento nessa área tem sido significativo; o relatório encontrou um crescimento de 39% ano a ano na adoção do desenvolvimento de baixo código e copilotos.

Como resultado da bypassagem do SDLC, as vulnerabilidades são ubíquas. Muitas empresas abraçam entusiasticamente essas capacidades sem totalmente apreciar o fato de que elas precisam entender quantos copilotos e aplicativos estão sendo criados – e seu contexto comercial, também. Por exemplo, elas precisam entender para quem os aplicativos e copilotos são destinados, quais dados o aplicativo interage e quais são seus propósitos comerciais. Elas também precisam saber quem os está desenvolvendo. Desde que elas muitas vezes não o fazem, e desde que as práticas de desenvolvimento padrão são bypassadas, isso cria uma nova forma de TI sombra.

Isso coloca as equipes de segurança em uma posição difícil, com muitos copilotos, aplicativos, automações e relatórios que estão sendo construídos fora do seu conhecimento por usuários de negócios em várias LoBs. O relatório encontrou que todas as categorias de risco OWASP (Open Web Application Security Project) Top 10 são ubíquas em toda a empresa. Em média, uma empresa tem 49.438 vulnerabilidades. Isso se traduz em 62% dos copilotos e aplicativos construídos via baixo código que contêm uma vulnerabilidade de segurança de algum tipo.

Entendendo os Diferentes Tipos de Riscos

Os copilotos apresentam um potencial de ameaça tão significativo porque usam credenciais, têm acesso a dados sensíveis e possuem uma curiosidade intrínseca que os torna difíceis de conter. Na verdade, 63% dos copilotos construídos com plataformas de baixo código foram compartilhados com outros – e muitos deles aceitam chat não autenticado. Isso habilita um risco substancial para possíveis ataques de injeção de prompt.

Devido à forma como os copilotos operam e como a IA opera em geral, medidas de segurança rigorosas devem ser aplicadas para evitar a compartilhamento de interações do usuário final com os copilotos, compartilhamento de aplicativos com muitas ou as pessoas erradas, concessão de acesso não necessário a dados sensíveis via IA, e assim por diante. Se essas medidas não estiverem em vigor, as empresas correm o risco de exposição aumentada a vazamento de dados e injeção de prompt maliciosa.

Dois outros riscos significativos são:

Execução Remota de Copiloto (RCEs) – Essas vulnerabilidades representam uma via de ataque específica para aplicativos de IA. Essa versão RCE permite que um atacante externo assuma o controle total do Copilot para M365 e o force a obedecer a seus comandos simplesmente enviando um e-mail, convite de calendário ou mensagem de Teams.

Related Topics:
mm

Ben Kliger é o CEO e co-fundador da Zenity, que traz segurança de aplicativos para o mundo de copilotos de empresas, desenvolvimento de aplicativos de baixo código e sem código. Ben tem vasta experiência na indústria de cibersegurança, abrangendo mais de 16+ anos. Sua especialização vai desde segurança cibernética prática, construção de equipes e liderança até estratégia de negócios e gestão.