Depășirea principalelor provocări de securitate ale dezvoltării Low-Code/fără cod bazate pe AI

Platforme de dezvoltare low-code au schimbat modul în care oamenii creează soluții de afaceri personalizate, inclusiv aplicații, fluxuri de lucru și copiloți. Aceste instrumente împuternicesc dezvoltatorii cetățeni și creează un mediu mai agil pentru dezvoltarea aplicațiilor. Adăugarea AI la mix nu a făcut decât să îmbunătățească această capacitate. Faptul că într-o organizație nu există destui oameni care au abilitățile (și timpul) pentru a construi numărul de aplicații, automatizări și așa mai departe necesare pentru a promova inovația a dat naștere la low-code/no-code. paradigmă. Acum, fără a avea nevoie de pregătire tehnică formală, dezvoltatorii cetățeni pot folosi platforme ușor de utilizat și AI generativă pentru a crea, inova și implementa soluții bazate pe inteligență artificială.

Dar cât de sigură este această practică? Realitatea este că introduce o serie de noi riscuri. Iată vestea bună: nu trebuie să alegeți între securitate și eficiența pe care o oferă inovația condusă de afaceri.

O schimbare dincolo de domeniul tradițional

Echipele IT și de securitate sunt obișnuite să-și concentreze eforturile asupra scanarea și căutarea vulnerabilităților scrise în cod. S-au concentrat pe asigurarea faptului că dezvoltatorii construiesc software securizat, asigurându-se că software-ul este securizat și apoi – odată ce este în producție – monitorizarea lui pentru apariția unor abateri sau orice suspect după fapt.

Cu creșterea codului scăzut și fără cod, mai mulți oameni ca niciodată construiesc aplicații și folosesc automatizarea pentru a crea aplicații – în afara procesului de dezvoltare tradițional. Aceștia sunt adesea angajați cu puțin sau deloc experiență de dezvoltare software, iar aceste aplicații sunt create în afara domeniului de securitate.

Acest lucru creează o situație în care IT nu mai construiește totul pentru organizație, iar echipa de securitate nu are vizibilitate. Într-o organizație mare, este posibil să obțineți câteva sute de aplicații construite într-un an prin dezvoltare profesională; cu cod redus/fără cod, ai putea obține mult mai mult decât atât. Sunt o mulțime de aplicații potențiale care ar putea trece neobservate sau nemonitorizate de echipele de securitate.

O mulțime de noi riscuri

 Unele dintre potențialele probleme de securitate asociate cu dezvoltarea low-code/fără cod includ:

1. Nu este de competența IT – așa cum tocmai am menționat, dezvoltatorii cetățeni lucrează în afara liniilor profesioniștilor IT, creând o lipsă de vizibilitate și dezvoltarea aplicațiilor în umbră. În plus, aceste instrumente permit unui număr infinit de persoane să creeze rapid aplicații și automatizări, cu doar câteva clicuri. Asta înseamnă că există un număr nespus de aplicații care sunt create într-un ritm vertiginos de un număr nespus de oameni, fără ca IT-ul să aibă imaginea completă.
2. Nu Ciclul de viață al dezvoltării software (SDLC) – Dezvoltarea software-ului în acest fel înseamnă că nu există SDLC, ceea ce poate duce la inconsecvență, confuzie și lipsă de responsabilitate pe lângă risc.
3. Dezvoltatori începători – Aceste aplicații sunt adesea create de oameni cu mai puține abilități tehnice și experiență, deschizând ușa greșelilor și amenințărilor de securitate. Ei nu se gândesc neapărat la ramificațiile de securitate sau de dezvoltare în modul în care le-ar face un dezvoltator profesionist sau cineva cu mai multă experiență tehnică. Și dacă se găsește o vulnerabilitate într-o componentă specifică care este încorporată într-un număr mare de aplicații, aceasta are potențialul de a fi exploată în mai multe instanțe
4. Practici proaste de identitate – Managementul identității poate fi, de asemenea, o problemă. Dacă doriți să împuterniciți un utilizator de afaceri să construiască o aplicație, primul lucru care l-ar putea opri este lipsa permisiunilor. Adesea, acest lucru poate fi ocolit și ceea ce se întâmplă este că este posibil ca un utilizator să folosească identitatea altcuiva. În acest caz, nu există nicio modalitate de a afla dacă au făcut ceva greșit. Dacă accesați ceva ce nu aveți voie sau ați încercat să faceți ceva rău intenționat, securitatea va veni în căutarea identității utilizatorului împrumutat, deoarece nu există nicio modalitate de a face distincția între cele două.
5. Fără cod de scanat – Acest lucru cauzează o lipsă de transparență care poate împiedica depanarea, depanarea și analiza de securitate, precum și posibilele probleme de conformitate și reglementări.

Toate aceste riscuri pot contribui la o eventuală scurgere de date. Indiferent de modul în care este construită o aplicație – dacă este construită cu drag-and-drop, un prompt bazat pe text sau cu cod – are o identitate, are acces la date, poate efectua operațiuni și trebuie să comunice cu utilizatorii. Datele sunt mutate, adesea între diferite locuri din organizație; acest lucru poate sparge cu ușurință granițele sau barierele de date.

Confidențialitatea datelor și conformitatea sunt, de asemenea, în joc. Datele sensibile trăiesc în aceste aplicații, dar sunt gestionate de utilizatori de afaceri care nu știu (și nici măcar nu se gândesc) să le stocheze în mod corespunzător. Acest lucru poate duce la o serie de probleme suplimentare, inclusiv încălcări ale conformității.

Recăpătarea vizibilității

După cum am menționat, unul dintre Provocările mari cu codul scăzut/fără cod este că nu se află în domeniul IT/securității, ceea ce înseamnă că datele traversează aplicații. Nu există întotdeauna o înțelegere clară a cine creează cu adevărat aceste aplicații și există o lipsă generală de vizibilitate a ceea ce se întâmplă cu adevărat. Și nu orice organizație este chiar pe deplin conștientă de ceea ce se întâmplă. Sau cred că dezvoltarea cetățenilor nu are loc în organizația lor, dar este aproape sigur.

Deci, cum pot liderii de securitate să obțină controlul și să atenueze riscul? Primul pas este să cercetați inițiativele de dezvoltare cetățenească din cadrul organizației dvs., să aflați cine (dacă cineva) conduce aceste eforturi și să vă conectați cu ei. Nu vrei ca aceste echipe să se simtă penalizate sau împiedicate; ca lider de securitate, scopul tău ar trebui să fie să le susții eforturile, dar să le oferi educație și îndrumări pentru a face procesul mai sigur.

Securitatea trebuie să înceapă cu vizibilitate. Cheia în acest sens este crearea unui inventar de aplicații și dezvoltarea unei înțelegeri despre cine construiește ce. Deținerea acestor informații vă va ajuta să vă asigurați că, în cazul în care apare un fel de încălcare, veți putea urmări pașii și veți afla ce s-a întâmplat.

Stabiliți un cadru pentru cum arată dezvoltarea sigură. Aceasta include politicile necesare și controalele tehnice care vor asigura utilizatorilor alegerile corecte. Chiar și dezvoltatorii profesioniști fac greșeli când vine vorba de date sensibile; este și mai greu să controlezi acest lucru cu utilizatorii de afaceri. Dar, cu controalele potrivite, puteți face dificilă greșeala.

Spre mai sigur low-code/no-code

Procesul tradițional de codificare manuală a împiedicat inovarea, în special în scenariile competitive de timp de lansare pe piață. Cu platformele low-code și fără cod de astăzi, chiar și persoanele fără experiență în dezvoltare pot crea soluții bazate pe inteligență artificială. Deși acest lucru a simplificat dezvoltarea aplicațiilor, poate pune în pericol și siguranța și securitatea organizațiilor. Totuși, nu trebuie să fie o alegere între dezvoltarea cetățenilor și securitate; liderii de securitate pot colabora cu utilizatorii de afaceri pentru a găsi un echilibru pentru ambele.