Refresh

This website www.unite.ai/pt/overcoming-the-top-security-challenges-of-ai-driven-low-code-no-code-development/ is currently offline. Cloudflare's Always Online™ shows a snapshot of this web page from the Internet Archive's Wayback Machine. To check for the live version, click Refresh.

toco Superando os principais desafios de segurança do desenvolvimento de baixo código/sem código baseado em IA - Unite.AI
Entre em contato
   Líderes de pensamento  
Superando os principais desafios de segurança do desenvolvimento de baixo código/sem código baseado em IA
 mm
Publicado
 1 mês atrás
 on
   
 
Plataformas de desenvolvimento de baixo código mudaram a maneira como as pessoas criam soluções de negócios personalizadas, incluindo aplicativos, fluxos de trabalho e copilotos. Essas ferramentas capacitam desenvolvedores cidadãos e criam um ambiente mais ágil para o desenvolvimento de aplicativos. Adicionar IA ao mix apenas melhorou essa capacidade. O fato de não haver pessoas suficientes em uma organização que tenham as habilidades (e o tempo) para criar o número de aplicativos, automações e assim por diante necessários para impulsionar a inovação deu origem ao low-code/no-code paradigma. Agora, sem a necessidade de treinamento técnico formal, os desenvolvedores cidadãos podem aproveitar plataformas fáceis de usar e IA generativa para criar, inovar e implantar soluções baseadas em IA.
Mas quão segura é essa prática? A realidade é que está a introduzir uma série de novos riscos. Aqui estão as boas notícias: você não precisa escolher entre a segurança e a eficiência que a inovação liderada pelos negócios proporciona.
Uma mudança além do alcance tradicional
As equipes de TI e segurança estão acostumadas a concentrar seus esforços em verificando e procurando vulnerabilidades escritas em código. Eles se concentraram em garantir que os desenvolvedores estejam construindo software seguro, garantindo que o software seja seguro e então – uma vez em produção – monitorando-o em busca de desvios ou de qualquer coisa suspeita após o fato.
Com o ascensão do low code e no code, mais pessoas do que nunca estão criando aplicativos e usando automação para criar aplicativos – fora do processo de desenvolvimento tradicional. Muitas vezes, são funcionários com pouca ou nenhuma experiência em desenvolvimento de software e esses aplicativos estão sendo criados fora do âmbito da segurança.
Isso cria uma situação em que a TI não cria mais tudo para a organização e a equipe de segurança fica sem visibilidade. Em uma grande organização, você pode criar algumas centenas de aplicativos em um ano por meio de desenvolvimento profissional; com pouco ou nenhum código, você pode obter muito mais do que isso. São muitos aplicativos em potencial que podem passar despercebidos ou monitorados pelas equipes de segurança.
Uma riqueza de novos riscos
 Algumas das possíveis preocupações de segurança associadas ao desenvolvimento com pouco código/sem código incluem:
  1. Não está no âmbito da TI – como acabamos de mencionar, os desenvolvedores cidadãos trabalham fora das linhas dos profissionais de TI, criando falta de visibilidade e desenvolvimento de aplicativos ocultos. Além disso, essas ferramentas permitem que um número infinito de pessoas crie aplicativos e automações rapidamente, com apenas alguns cliques. Isso significa que há um número incontável de aplicativos sendo criados em um ritmo alucinante por um número incontável de pessoas, tudo sem que a TI tenha uma visão completa.
  2. Não ciclo de vida de desenvolvimento de software (SDLC) – Desenvolver software desta forma significa que não existe um SDLC implementado, o que pode levar à inconsistência, confusão e falta de responsabilidade, além de risco.
  3. Desenvolvedores novatos – Esses aplicativos geralmente são desenvolvidos por pessoas com menos habilidade técnica e experiência, abrindo a porta para erros e ameaças à segurança. Eles não pensam necessariamente nas ramificações de segurança ou desenvolvimento da mesma forma que um desenvolvedor profissional ou alguém com mais experiência técnica faria. E se uma vulnerabilidade for encontrada em um componente específico incorporado em um grande número de aplicativos, ela poderá ser explorada em várias instâncias
  4. Práticas de identidade inadequadas – O gerenciamento de identidade também pode ser um problema. Se você deseja capacitar um usuário empresarial para criar um aplicativo, a principal coisa que pode impedi-lo é a falta de permissões. Muitas vezes, isso pode ser contornado, e o que acontece é que você pode ter um usuário usando a identidade de outra pessoa. Nesse caso, não há como descobrir se eles fizeram algo errado. Se você acessar algo que não tem permissão ou tentar fazer algo malicioso, a segurança procurará a identidade do usuário emprestado porque não há como distinguir entre os dois.
  5. Nenhum código para verificar – Isso causa falta de transparência que pode prejudicar a solução de problemas, a depuração e a análise de segurança, bem como possíveis preocupações regulatórias e de conformidade.
Todos estes riscos podem contribuir para uma potencial fuga de dados. Não importa como um aplicativo é construído – seja ele construído com arrastar e soltar, um prompt baseado em texto ou com código – ele tem uma identidade, tem acesso aos dados, pode executar operações e precisa se comunicar. com os usuários. Os dados estão sendo movidos, muitas vezes entre diferentes locais da organização; isso pode facilmente quebrar limites ou barreiras de dados.
A privacidade e a conformidade dos dados também estão em jogo. Dados confidenciais residem nesses aplicativos, mas estão sendo manipulados por usuários corporativos que não sabem (nem sequer pensam em) armazená-los adequadamente. Isso pode levar a uma série de problemas adicionais, incluindo violações de conformidade.
Recuperando visibilidade
Como mencionado, um dos grandes desafios com pouco/nenhum código é que ele não está sob a alçada de TI/segurança, o que significa que os dados estão atravessando aplicativos. Nem sempre há uma compreensão clara de quem realmente está criando esses aplicativos e há uma falta geral de visibilidade sobre o que realmente está acontecendo. E nem todas as organizações estão plenamente conscientes do que está acontecendo. Ou pensam que o desenvolvimento cidadão não está a acontecer na sua organização, mas é quase certo que está.
Então, como os líderes de segurança podem obter controle e mitigar riscos? O primeiro passo é analisar as iniciativas de desenvolvimento cidadão dentro da sua organização, descobrir quem (se houver) está liderando esses esforços e conectar-se com eles. Você não quer que essas equipes se sintam penalizadas ou prejudicadas; como líder de segurança, o seu objetivo deve ser apoiar os seus esforços, mas fornecer educação e orientação para tornar o processo mais seguro.
A segurança deve começar com visibilidade. A chave para isso é criar um inventário de aplicativos e desenvolver uma compreensão de quem está construindo o quê. Ter essas informações ajudará a garantir que, caso ocorra algum tipo de violação, você será capaz de rastrear as etapas e descobrir o que aconteceu.
Estabeleça uma estrutura para o desenvolvimento seguro. Isto inclui as políticas e os controlos técnicos necessários que garantirão que os utilizadores façam as escolhas certas. Até mesmo desenvolvedores profissionais cometem erros quando se trata de dados confidenciais; é ainda mais difícil controlar isso com usuários empresariais. Mas com os controles corretos implementados, você pode dificultar o erro.
Rumo a low-code/no-code mais seguro
O processo tradicional de codificação manual tem dificultado a inovação, especialmente em cenários competitivos de lançamento no mercado. Com as plataformas atuais de baixo código e sem código, mesmo pessoas sem experiência em desenvolvimento podem criar soluções baseadas em IA. Embora isso tenha simplificado o desenvolvimento de aplicativos, também pode comprometer a segurança das organizações. Contudo, não tem de ser uma escolha entre o desenvolvimento dos cidadãos e a segurança; os líderes de segurança podem fazer parceria com usuários empresariais para encontrar um equilíbrio para ambos.
       
 Tópicos relacionados:
 mm
Michael é o cofundador e CTO da Zenidade. Ele é um especialista do setor em segurança cibernética interessado em nuvem, SaaS e AppSec. Antes da Zenity, Michael foi arquiteto sênior no Microsoft Cloud Security CTO Office, onde fundou e liderou esforços de produtos de segurança para IoT, APIs, IaC e computação confidencial. Michael está liderando o esforço da comunidade OWASP em segurança de baixo código/sem código.