Противостояние рискам безопасности вторых пилотов

Все больше предприятий используют платформы copilots и low-code, чтобы позволить сотрудникам — даже тем, у кого мало или совсем нет технических знаний — создавать мощные copilots и бизнес-приложения, а также обрабатывать огромные объемы данных. Новый отчет Zenity, Состояние Enterprise Copilots и разработки Low-Code в 2024 году, обнаружили, что в среднем предприятия имеют около 80,000 XNUMX приложений и пилотов, которые были созданы вне стандартный жизненный цикл разработки программного обеспечения (СДЛК).

Это развитие открывает новые возможности, но также и новые риски. Среди этих 80,000 50,000 приложений и вторых пилотов примерно XNUMX XNUMX уязвимостей. В отчете отмечено, что эти приложения и вторых пилотов развиваются с головокружительной скоростью. Следовательно, они создают огромное количество уязвимостей.

Риски корпоративных пилотов и приложений

Обычно разработчики программного обеспечения тщательно создают приложения в соответствии с определенным SDLC (жизненным циклом безопасной разработки), где каждое приложение постоянно проектируется, развертывается, измеряется и анализируется. Но сегодня этих ограничений больше не существует. Люди без опыта разработки теперь могут создавать и использовать мощные вторые пилоты и бизнес-приложения в Power Platform, Microsoft Copilot, OpenAI, ServiceNow, Salesforce, UiPath, Zapier и других. Эти приложения помогают в бизнес-операциях, поскольку они передают и хранят конфиденциальные данные. Рост в этой области был значительным; отчет обнаружил 39%-ный рост в годовом исчислении внедрения разработки с низким кодом и второпланов.

В результате такого обхода SDLC уязвимости становятся всеобъемлющими. Многие предприятия с энтузиазмом принимают эти возможности, не полностью осознавая тот факт, что им нужно понимать, сколько вторых пилотов и приложений создается, а также их бизнес-контекст. Например, им нужно понимать, для кого предназначены приложения и вторых пилотов, с какими данными взаимодействует приложение и каковы их бизнес-цели. Им также нужно знать, кто их разрабатывает. Поскольку они часто этого не делают, и поскольку стандартные методы разработки обходят стороной, это создает новую форму теневых ИТ.

Это ставит команды по безопасности в трудное положение с большим количеством вторых пилотов, приложений, автоматизаций и отчетов, которые создаются вне их знаний бизнес-пользователями в различных LoB. В отчете установлено, что все OWASP (Open Web Application Security Project) 10 основных категорий риска распространены на всех предприятиях. В среднем на предприятии имеется 49,438 62 уязвимостей. Это означает, что XNUMX% вторых пилотов и приложений, созданных с помощью low-code, содержат уязвимость безопасности того или иного рода.

Понимание различных типов рисков

Вторые пилоты представляют такую ​​значительную потенциальную угрозу, поскольку они используют учетные данные, имеют доступ к конфиденциальным данным и обладают внутренним любопытством, из-за чего их трудно сдерживать. Фактически, 63% вторых пилотов, созданных на платформах с низким кодом, были слишком распространены среди других, и многие из них принимают неаутентифицированный чат. Это создает существенный риск для возможных атак с быстрым внедрением.

Из-за того, как работают вторые пилоты и как работает ИИ в целом, необходимо применять строгие меры безопасности, чтобы предотвратить передачу взаимодействия конечного пользователя со вторыми пилотами, передачу приложений слишком большому количеству или не тем людям, ненужное предоставление доступа к конфиденциальным данным через ИИ и т. д. Если эти меры не будут приняты, предприятия рискуют повысить уязвимость к утечке данных и вредоносному внедрению подсказок.

Два других существенных риска:

Удаленное выполнение Copilot (RCE) – эти уязвимости представляют собой путь атаки, характерный для приложений ИИ. Эта версия RCE позволяет внешнему злоумышленнику получить полный контроль над Copilot для M365 и заставить его подчиняться своим командам, просто отправив одно электронное письмо, приглашение в календаре или сообщение Teams.

Гостевые учетные записи: используя всего одну гостевую учетную запись и пробную лицензию на low-code платформу — обычно доступную бесплатно для нескольких инструментов — злоумышленнику нужно только войти в low-code платформу предприятия или copilot. После входа злоумышленник переключается в целевой каталог и затем получает привилегии уровня администратора домена на платформе. Следовательно, злоумышленники ищут эти гостевые учетные записи, что приводит к нарушениям безопасности. Вот точка данных, которая должна вселить страх в руководителей предприятий и их команды по безопасности: типичное предприятие имеет более 8,641 экземпляра ненадежных гостевых пользователей, которые имеют доступ к приложениям, разработанным с помощью low-code и copilot.

Необходим новый подход к безопасности

Что могут сделать команды по безопасности против этого повсеместного, аморфного и критического риска? Им нужно убедиться, что они внедрили элементы управления, которые будут предупреждать их о любом приложении, имеющем небезопасный шаг в процессе получения учетных данных или жестко закодированном секрете. Они также должны добавлять контекст к любому создаваемому приложению, чтобы убедиться, что существуют соответствующие элементы управления аутентификацией для любых критически важных для бизнеса приложений, которые также имеют доступ к конфиденциальным внутренним данным.

После применения этих тактик следующим приоритетом станет обеспечение соответствующей аутентификации для приложений, которым требуется доступ к конфиденциальным данным. После этого лучше всего настроить учетные данные так, чтобы их можно было безопасно извлечь из хранилища учетных данных или секретов, что гарантирует, что пароли не будут храниться в открытом или обычном тексте.

Обеспечение вашего будущего

 Джин разработки low-code и copilot выпущен из бутылки, поэтому нереально пытаться загнать его обратно. Вместо этого предприятиям необходимо осознавать риски и внедрять элементы управления, которые сохранят безопасность и надлежащее управление их данными. Команды по безопасности столкнулись со многими проблемами в этой новой эре разработки, ориентированной на бизнес, но, придерживаясь рекомендаций, указанных выше, они будут в наилучшей возможной позиции для безопасного переноса инноваций и производительности, которые предлагают платформы разработки enterprise copilot и low-code, в смелое новое будущее.