Tankeledare
Att möta säkerhetsriskerna med copiloter
Alltmer använder företag copiloter och plattformar med låg kod för att möjliggöra för anställda – även de med liten eller ingen teknisk expertis – att skapa kraftfulla copiloter och företagsappar, samt att bearbeta stora mängder data. En ny rapport från Zenity, The State of Enterprise Copilots and Low-Code Development in 2024, fann att företag i genomsnitt har cirka 80 000 appar och copiloter som skapats utanför den standardiserade programvaruutvecklingslivscykeln (SDLC).
Denna utveckling erbjuder nya möjligheter men också nya risker. Bland dessa 80 000 appar och copiloter finns cirka 50 000 sårbarheter. Rapporten noterade att dessa appar och copiloter utvecklas i en rasande takt. Följaktligen skapar de ett stort antal sårbarheter.
Risker med företagscopiloter och appar
Vanligtvis bygger programvaruutvecklare appar noggrant längs en definierad SDLC (säker utvecklingslivscykel) där varje app konstant designas, distribueras, mäts och analyseras. Men idag existerar dessa skyddsräcken inte längre. Personer med ingen utvecklingserfarenhet kan nu bygga och använda kraftfulla copiloter och företagsappar inom Power Platform, Microsoft Copilot, OpenAI, ServiceNow, Salesforce, UiPath, Zapier och andra. Dessa appar hjälper till med affärsverksamhet medan de överför och lagrar känsliga data. Tillväxten inom detta område har varit betydande; rapporten fann 39% årlig tillväxt i antagandet av lågkodsutveckling och copiloter.
Som ett resultat av denna kringgående av SDLC är sårbarheter allmänt förekommande. Många företag omfamnar entusiastiskt dessa funktioner utan att fullständigt förstå att de behöver förstå hur många copiloter och appar som skapas – och deras affärssammanhang också. Till exempel behöver de förstå vem apparna och copiloterna är avsedda för, vilken data appen interagerar med och vad deras affärssyften är. De behöver också veta vem som utvecklar dem. Eftersom de ofta inte gör det, och eftersom standardutvecklingspraxis kringgås, skapar detta en ny form av skugg-IT.
Detta placerar säkerhetsteam i en svår situation med många copiloter, appar, automatiseringar och rapporter som byggs utanför deras kunskap av affärsanvändare i olika LoB. Rapporten fann att alla OWASP (Open Web Application Security Project) Top 10 riskkategorier är allmänt förekommande inom företag. I genomsnitt har ett företag 49 438 sårbarheter. Detta motsvarar 62% av copiloter och appar byggda via lågkod som innehåller en säkerhetssårbarhet av något slag.
Att förstå de olika typerna av risker
Copiloter presenterar en sådan betydande potentiell hotbild eftersom de använder autentiseringsuppgifter, har åtkomst till känsliga data och besitter en inneboende nyfikenhet som gör dem svåra att innesluta. Faktum är att 63% av copiloter byggda med lågkodsplattformar delades med andra – och många av dem accepterar oautentiserad chatt. Detta möjliggör en betydande risk för möjliga promptinjektionsattacker.
På grund av hur copiloter fungerar och hur AI fungerar i allmänhet, måste stränga säkerhetsåtgärder genomföras för att förhindra delning av slutanvändarinteraktioner med copiloter, delning av appar med för många eller fel personer, onödig beviljande av åtkomst till känsliga data via AI och så vidare. Om dessa åtgärder inte är på plats riskerar företag ökad exponering för dataläckage och illvillig promptinjektion.
Två andra betydande risker är:
Fjärrcopilotkörning (RCE) – Dessa sårbarheter representerar en angreppsväg specifik för AI-applikationer. Denna version av RCE möjliggör för en extern angripare att ta fullständig kontroll över Copilot för M365 och tvinga den att lyda deras kommandon genom att skicka ett enda e-postmeddelande, kalenderinbjudan eller Teams-meddelande.
Gästkonton: Med hjälp av bara ett gästkonto och en testlicens för en lågkodsplattform – vanligtvis tillgänglig kostnadsfritt över flera verktyg – behöver en angripare bara logga in på företagets lågkodsplattform eller copilot. När de väl är inloggade växlar angriparen till målkatalogen och har då domänadmin-privilegier på plattformen. Följaktligen söker angripare efter dessa gästkonton, som har lett till säkerhetsöverträdelser. Här är en datapunkt som borde väcka rädsla hos företagsledare och deras säkerhetsteam: Det genomsnittliga företaget har mer än 8 641 instanser av obehöriga gästanvändare som har åtkomst till appar som utvecklats via lågkod och copiloter.
En ny säkerhetsansats behövs
Vad kan säkerhetsteam göra mot denna allmänt förekommande, amorfiska och kritiska risk? De behöver säkerställa att de har infört kontroller för att varna dem för eventuella appar som har ett osäkert steg i sin autentiseringsprocess eller en hårdkodad hemlighet. De måste också lägga till sammanhang till varje app som skapas för att säkerställa att det finns lämpliga autentiseringskontroller för alla affärskritiska appar som också har åtkomst till känsliga interna data.
När dessa taktiker har genomförts är den nästa prioriteringen att säkerställa att lämplig autentisering är konfigurerad för appar som behöver åtkomst till känsliga data. Därefter är det en bästa praxis att konfigurera autentiseringsuppgifter så att de kan hämtas säkert från en autentiserings- eller hemlighetsvalv, vilket garanterar att lösenord inte sitter i klartext.
Att säkra din framtid
Genien med lågkods- och copilotutveckling är ute ur flaskan, så det är inte realistiskt att försöka stoppa tillbaka den. Istället måste företag vara medvetna om riskerna och införa kontroller som håller deras data säkra och korrekt hanterade. Säkerhetsteam har mött många utmaningar i denna nya era av affärsledd utveckling, men genom att följa de rekommendationer som noterats ovan kommer de att vara i den bästa möjliga positionen att säkert bringa innovation och produktivitet som företagscopiloter och lågkodsutvecklingsplattformar erbjuder mot en modig ny framtid.
