Copilot Güvenlik Riskleriyle Karşı Karşıya Kalma

Gittikçe daha fazla, şirketler copilot ve düşük-kod platformlarını, teknik uzmanlığa sahip olmasalar bile çalışanların güçlü copilot ve iş uygulamaları oluşturmasına, ayrıca大量 veri işleme yapmasına olanak tanıyor. Zenity tarafından yapılan bir rapor, 2024’te Şirket İçi Copilot ve Düşük-Kod Geliştirme Durumu, şirketlerin ortalama olarak, standart yazılım geliştirme yaşam döngüsü (SDLC) dışında oluşturulmuş yaklaşık 80.000 uygulama ve copilot olduğunu buldu.

Bu gelişme yeni fırsatlar sunuyor, ancak aynı zamanda yeni riskler de içeriyor. Bu 80.000 uygulama ve copilot arasında yaklaşık 50.000 güvenlik açığı bulunuyor. Rapor, bu uygulamaların ve copilotların hızlı bir şekilde evrimleştiğini ve bunun sonucunda大量 güvenlik açıklarının oluştuğunu belirtti.

Şirket İçi Copilot ve Uygulamaların Riskleri

Tipik olarak, yazılım geliştiricileri uygulamaları tanımlı bir SDLC (güvenli geliştirme yaşam döngüsü) boyunca özenle oluşturur ve her uygulama sürekli olarak tasarlanır, dağıtılır, ölçülür ve analiz edilir. Ancak bugün, bu güvenlik önlemleri artık mevcut değil. Geliştirme deneyimi olmayan kişiler, Power Platform, Microsoft Copilot, OpenAI, ServiceNow, Salesforce, UiPath, Zapier gibi platformlarda güçlü copilot ve iş uygulamaları oluşturup kullanabiliyor. Bu uygulamalar, iş operasyonlarında yardımcı olurken, hassas verileri aktarır ve depolar. Bu alanda büyüme önemli; rapor, düşük-kod geliştirme ve copilot benimsemesinde %39’luk yıl içi büyüme buldu.

SDLC’nin atlanması sonucu, güvenlik açıkları yaygın hale geldi. Şirketler bu olanakları benimserken, oluşturulan copilot ve uygulamaların sayısını, iş bağlamını ve bunları kimin geliştirdiğini tam olarak anlamak gerektiğini fark etmiyor. Örneğin, uygulamaların ve copilotların kime yönelik olduğunu, hangi veriyle etkileşime girdiğini ve iş amaçlarını anlamaları gerekiyor. Ayrıca, bunları kimin geliştirdiğini bilmeleri gerekiyor. Ancak bunları bilmedikleri ve standart geliştirme uygulamalarının atlandığı için, bu bir tür gölge BT yaratıyor.

Bu, güvenlik ekiplerini zor bir duruma sokuyor; çünkü çeşitli iş birimlerinde (LoB) iş kullanıcıları tarafından, onların bilgisi dışında birçok copilot, uygulama, otomasyon ve rapor oluşturuluyor. Rapor, tüm OWASP (Açık Web Uygulama Güvenlik Projesi) İlk 10 Risk Kategorisinin şirketler genelinde yaygın olduğunu buldu. Ortalama bir şirket, 49.438 güvenlik açığına sahip. Bu, düşük-kod ile oluşturulan copilot ve uygulamaların %62’sinin某 tür güvenlik açığı içerdiği anlamına geliyor.

Farklı Risk Tiplerini Anlama

Copilot’lar, kimlik bilgilerini kullandıkları, hassas verilere erişimleri olduğu ve doğal olarak merakları olduğu için önemli tehdit potansiyeli taşıyor. Gerçekten de, düşük-kod platformları ile oluşturulan copilot’ların %63’ü başkalarıyla paylaşıldı ve birçokları kimlik doğrulama olmadan sohbeti kabul ediyor. Bu, olası.prompt enjeksiyon saldırıları için önemli bir risk oluşturuyor.

Copilot’ların nasıl çalıştığı ve genel olarak AI’ın nasıl çalıştığı nedeniyle, kullanıcı etkileşimlerinin copilot’lar ile paylaşılmasını, uygulamaların çok fazla veya yanlış kişiyle paylaşılmasını, AI aracılığıyla hassas verilere erişimin gereksiz verilmesini önlemek için sıkı güvenlik önlemleri uygulanmalıdır. Bu önlemler yerine getirilmezse, şirketler veri sızıntısı ve kötü niyetli.prompt enjeksiyonuna maruz kalma riskini artırır.

Diğer iki önemli risk:

Uzak Copilot Yürütme (RCE’ler) – Bu güvenlik açıkları, AI uygulamalarına özgü bir saldırı yolunu temsil ediyor. Bu RCE sürümü, bir dış saldırganın, sadece bir e-posta, takvim daveti veya Teams mesajı göndererek, Copilot için M365’i tamamen kontrol altına almasını ve emirlerine uymasını sağlar.

Konuk hesapları: Bir konuk hesabı ve bir düşük-kod platformuna ücretsiz olarak sunulan deneme lisansı kullanarak, bir saldırgan sadece şirketin düşük-kod platformuna veya copilot’a giriş yapmak zorunda. Girdikten sonra, hedef dizine geçer ve platformda etki alanı yöneticisi düzeyinde ayrıcalıklara sahip olur. Dolayısıyla, saldırganlar bu konuk hesaplarını arar ve bu, güvenlik ihlallerine yol açmıştır. Şirket liderleri ve güvenlik ekipleri için korkutucu bir veri noktası: Tipik bir şirket, düşük-kod ve copilot ile geliştirilen uygulamalara erişim sağlayan 8.641’den fazla güvenilmeyen konuk kullanıcısına sahiptir.

Yeni Bir Güvenlik Yaklaşımı Gerekiyor

Güvenlik ekipleri bu yaygın, amorf ve kritik risk karşıtı ne yapabilir? Uygulamaların oluşturulduğu sırada, kimlik bilgisi alma sürecinde güvensiz bir adım veya sabit kodlu bir gizli anahtar olup olmadığını bildiren kontrollerin olduğundan emin olmalılar. Ayrıca, oluşturulan her uygulamaya, özellikle de hassas iç verilere erişim olan iş kritik uygulamalar için uygun kimlik doğrulama kontrolleri olduğundan emin olmak için bağlam eklemeliler.

Bu taktiklerin uygulanmasının ardından, bir sonraki öncelik, hassas verilere erişim gereken uygulamalar için uygun kimlik doğrulamasının kurulmasıdır. Sonrasında, kimlik bilgilerini güvenli bir şekilde bir kimlik bilgisi veya gizli anahtar kasasından alabilecek şekilde ayarlamak, parolaların açık veya düz metin olarak durmamasını garantileyen bir en iyi uygulamadır.

Geleceğinizi Güvenceye Almak

 Düşük-kod ve copilot geliştirme cini şişeden çıktı, bu nedenle onu geri koymaya çalışmak gerçekçi değil. Bunun yerine, şirketlerin riskleri bilmesi ve verilerini güvenli ve doğru bir şekilde yönetmek için önlemler alması gerekiyor. Güvenlik ekipleri, iş liderliğindeki bu yeni geliştirme döneminde birçok zorlukla karşılaştı, ancak yukarıda belirtilen önerilere uyarak, şirket içi copilot ve düşük-kod geliştirme platformlarının sunduğu inovasyonu ve verimliliği güvenli bir şekilde yeni bir geleceğe taşıma konusunda en iyi konumda olacaklar.