stub Att övervinna de största säkerhetsutmaningarna med AI-driven lågkods-/ingen kodutveckling - Unite.AI
Anslut dig till vårt nätverk! 
   Tanke ledare  
Att övervinna de största säkerhetsutmaningarna med AI-driven lågkods-/ingen kodutveckling
 mm
publicerade
 2 veckor sedan
 on
   
 
Utvecklingsplattformar med låg kod har förändrat hur människor skapar anpassade affärslösningar, inklusive appar, arbetsflöden och andrapiloter. Dessa verktyg ger medborgare utvecklare och skapar en mer agil miljö för apputveckling. Att lägga till AI till mixen har bara förbättrat denna förmåga. Det faktum att det inte finns tillräckligt med människor i en organisation som har kompetensen (och tiden) att bygga det antal appar, automatiseringar och så vidare som behövs för att driva innovation framåt har gett upphov till låg-kod/no-kod paradigm. Nu, utan att behöva formell teknisk utbildning, kan medborgarutvecklare utnyttja användarvänliga plattformar och Generativ AI för att skapa, förnya och distribuera AI-drivna lösningar.
Men hur säker är denna praxis? Verkligheten är att det introducerar en mängd nya risker. Här är de goda nyheterna: du behöver inte välja mellan säkerhet och effektiviteten som affärsledd innovation ger.
Ett skifte bortom det traditionella perspektivet
IT- och säkerhetsteam är vana vid att fokusera sina ansträngningar på skanna och leta efter sårbarheter inskrivna i kod. De har fokuserat på att se till att utvecklare bygger säker programvara, försäkrar att programvaran är säker och sedan – när den väl är i produktion – övervakar den för avvikelser eller för något misstänkt i efterhand.
Med ökning av låg kod och ingen kod, fler människor än någonsin bygger applikationer och använder automation för att skapa applikationer – utanför den traditionella utvecklingsprocessen. Dessa är ofta anställda med liten eller ingen bakgrund inom mjukvaruutveckling, och dessa appar skapas utanför säkerhetsområdet.
Detta skapar en situation där IT inte längre bygger allt för organisationen, och säkerhetsteamet saknar synlighet. I en stor organisation kanske du får några hundra appar byggda på ett år genom professionell utveckling; med låg/ingen kod kan du få mycket mer än så. Det är många potentiella appar som kan förbli obemärkta eller oövervakade av säkerhetsteam.
En mängd nya risker
 Några av de potentiella säkerhetsproblem som är förknippade med utveckling med låg kod/ingen kod inkluderar:
  1. Inte inom IT:s område – som nyss nämnts arbetar medborgarutvecklare utanför IT-proffs, vilket skapar brist på synlighet och skuggapputveckling. Dessutom gör dessa verktyg det möjligt för ett oändligt antal personer att skapa appar och automatiseringar snabbt, med bara några få klick. Det betyder att det finns ett otaligt antal appar som skapas i rasande takt av ett otaligt antal människor, alla utan att IT har hela bilden.
  2. Nej mjukvaruutveckling livscykel (SDLC) – Att utveckla mjukvara på detta sätt innebär att det inte finns någon SDLC på plats, vilket kan leda till inkonsekvens, förvirring och bristande ansvarsskyldighet utöver risk.
  3. Nybörjare utvecklare – Dessa appar byggs ofta av personer med mindre teknisk skicklighet och erfarenhet, vilket öppnar dörren för misstag och säkerhetshot. De tänker inte nödvändigtvis på säkerhets- eller utvecklingskonsekvenserna på det sätt som en professionell utvecklare eller någon med mer teknisk erfarenhet skulle göra. Och om en sårbarhet hittas i en specifik komponent som är inbäddad i ett stort antal appar, har den potential att utnyttjas i flera instanser
  4. Dålig identitetspraxis – Identitetshantering kan också vara ett problem. Om du vill ge en affärsanvändare möjlighet att bygga en applikation, är det främsta som kan stoppa dem bristen på behörigheter. Ofta kan detta kringgås, och det som händer är att du kanske har en användare som använder någon annans identitet. I det här fallet finns det inget sätt att ta reda på om de har gjort något fel. Om du kommer åt något du inte har tillåtelse till eller om du försökte göra något skadligt, kommer säkerheten att leta efter den lånade användarens identitet eftersom det inte finns något sätt att skilja mellan de två.
  5. Ingen kod att skanna – Detta orsakar brist på transparens som kan hindra felsökning, felsökning och säkerhetsanalys, såväl som möjliga överensstämmelse- och regelproblem.
Dessa risker kan alla bidra till potentiellt dataläckage. Oavsett hur en applikation är byggd – oavsett om den byggs med dra-och-släpp, en textbaserad prompt eller med kod – har den en identitet, den har tillgång till data, den kan utföra operationer och den behöver kommunicera med användare. Data flyttas, ofta mellan olika platser i organisationen; detta kan lätt bryta datagränser eller barriärer.
Datasekretess och efterlevnad står också på spel. Känslig data finns i dessa applikationer, men den hanteras av affärsanvändare som inte vet hur (eller ens tänker) hur de ska lagras på rätt sätt. Det kan leda till en mängd ytterligare problem, inklusive överträdelser av efterlevnad.
Återta synlighet
Som nämnts, en av de stora utmaningar med låg/ingen kod är att det inte hör till IT/säkerhet, vilket innebär att data passerar appar. Det finns inte alltid en tydlig förståelse för vem som verkligen skapar dessa appar, och det finns en generell brist på insyn i vad som verkligen händer. Och inte alla organisationer är ens helt medvetna om vad som händer. Eller så tror de att medborgarutveckling inte sker i deras organisation, men det är det nästan säkert.
Så, hur kan säkerhetsledare få kontroll och minska risker? Det första steget är att undersöka initiativen för medborgarutvecklare inom din organisation, ta reda på vem (om någon) som leder dessa ansträngningar och ta kontakt med dem. Du vill inte att dessa lag ska känna sig straffade eller hindrade; som säkerhetsledare bör ditt mål vara att stödja deras ansträngningar men ge utbildning och vägledning för att göra processen säkrare.
Säkerhet måste börja med synlighet. Nyckeln till detta är att skapa en inventering av applikationer och utveckla en förståelse för vem som bygger vad. Om du har den här informationen kommer du att kunna spåra stegen och ta reda på vad som hände om någon form av intrång inträffar.
Etablera ett ramverk för hur en säker utveckling ser ut. Detta inkluderar nödvändiga policyer och tekniska kontroller som säkerställer att användarna gör rätt val. Även professionella utvecklare gör misstag när det kommer till känslig data; det är ännu svårare att kontrollera detta med företagsanvändare. Men med rätt kontroller på plats kan du göra det svårt att göra fel.
Mot säkrare lågkod/ingen kod
Den traditionella processen med manuell kodning har hindrat innovation, särskilt i konkurrensutsatta tid-till-marknadsscenarier. Med dagens plattformar med låg kod och ingen kod kan även personer utan utvecklingserfarenhet skapa AI-drivna lösningar. Även om detta har effektiviserat apputvecklingen kan det även äventyra säkerheten och säkerheten för organisationer. Det behöver dock inte vara ett val mellan medborgarutveckling och säkerhet; säkerhetsledare kan samarbeta med företagsanvändare för att hitta en balans för båda.
       
 Relaterade ämnen:
 mm
Michael är medgrundare och CTO för zenitet. Han är en branschexpert inom cybersäkerhet intresserad av moln, SaaS och AppSec. Före Zenity var Michael senior arkitekt på Microsoft Cloud Security CTO Office, där han grundade och ledde säkerhetsproduktinsatser för IoT, API:er, IaC och konfidentiell datoranvändning. Michael leder OWASP-gemenskapens satsning på säkerhet med låg kod/ingen kod.