Bizimle iletişime geçin

Düşünce Liderleri

Yapay Zeka Odaklı Az Kodlu/Kodsuz Geliştirmenin En Önemli Güvenlik Sorunlarının Aşılması

mm
Yayınlanan

Düşük kodlu geliştirme platformları İnsanların uygulamalar, iş akışları ve yardımcı pilotlar dahil olmak üzere özel iş çözümleri oluşturma biçimini değiştirdi. Bu araçlar, vatandaş geliştiricilere güç veriyor ve uygulama geliştirme için daha çevik bir ortam yaratıyor. Yapay zekanın da eklenmesi, bu yeteneği daha da geliştirdi. Bir kuruluşta, inovasyonu ilerletmek için gereken sayıda uygulama, otomasyon vb. oluşturmak için gereken becerilere (ve zamana) sahip yeterli sayıda insanın olmaması, düşük kodlu/kodsuz paradigmasının ortaya çıkmasına neden oldu. Artık, resmi teknik eğitime ihtiyaç duymadan, vatandaş geliştiriciler, yapay zeka odaklı çözümler oluşturmak, yenilemek ve dağıtmak için kullanıcı dostu platformlardan ve Üretken Yapay Zeka'dan yararlanabilirler.

Peki bu uygulama ne kadar güvenli? Gerçek şu ki bu durum bir dizi yeni riski beraberinde getiriyor. İşte iyi haber: Güvenlik ile iş odaklı inovasyonun sağladığı verimlilik arasında seçim yapmak zorunda değilsiniz.

Geleneksel görüş alanının ötesine geçiş

BT ve güvenlik ekipleri çabalarını şunlara odaklamaya alışkındır: kodda yazılı güvenlik açıklarını taramak ve aramak. Geliştiricilerin güvenli yazılım oluşturduklarından emin olmaya, yazılımın güvenli olduğundan emin olmaya ve üretime girdikten sonra onu sapmalara veya olaydan sonra şüpheli herhangi bir şeye karşı izlemeye odaklandılar.

İle Düşük kodun yükselişi ve kod yok, geleneksel geliştirme sürecinin dışında, her zamankinden daha fazla insan uygulamalar geliştiriyor ve uygulamalar oluşturmak için otomasyonu kullanıyor. Bunlar genellikle yazılım geliştirme geçmişi çok az olan veya hiç olmayan çalışanlardır ve bu uygulamalar güvenliğin kapsamı dışında oluşturulmaktadır.

Bu, BT'nin artık kuruluş için her şeyi oluşturmadığı ve güvenlik ekibinin görünürlükten yoksun olduğu bir durum yaratır. Büyük bir kuruluşta, mesleki gelişim yoluyla yılda birkaç yüz uygulama oluşturabilirsiniz; düşük kodla/kodsuz, bundan çok daha fazlasını elde edebilirsiniz. Bu, güvenlik ekipleri tarafından fark edilmeyen veya izlenmeyen birçok potansiyel uygulama demektir.

Çok sayıda yeni risk

 Az kodlu/kodsuz geliştirmeyle ilişkili potansiyel güvenlik kaygılarından bazıları şunlardır:

  1. BT'nin yetki alanında değil; daha önce de belirtildiği gibi, vatandaş geliştiriciler BT profesyonellerinin sınırlarının dışında çalışarak görünürlük ve gölge uygulama geliştirme eksikliği yaratıyor. Ayrıca bu araçlar, sonsuz sayıda kişinin yalnızca birkaç tıklamayla hızlı bir şekilde uygulama ve otomasyon oluşturmasına olanak tanır. Bu, tam resme sahip BT olmadan, sayısız kişi tarafından, inanılmaz bir hızla, anlatılmamış sayıda uygulamanın oluşturulduğu anlamına geliyor.
  2. Yok hayır yazılım geliştirme yaşam döngüsü (SDLC) – Yazılımın bu şekilde geliştirilmesi, SDLC'nin mevcut olmadığı anlamına gelir; bu da riskin yanı sıra tutarsızlığa, kafa karışıklığına ve sorumluluk eksikliğine yol açabilir.
  3. Acemi geliştiriciler – Bu uygulamalar genellikle daha az teknik beceriye ve deneyime sahip kişiler tarafından geliştiriliyor ve bu da hatalara ve güvenlik tehditlerine kapı açıyor. Güvenlik veya geliştirmenin sonuçlarını, profesyonel bir geliştiricinin veya daha teknik deneyime sahip birinin düşüneceği şekilde düşünmezler. Çok sayıda uygulamaya yerleştirilmiş belirli bir bileşende bir güvenlik açığı bulunursa, bu güvenlik açığının birden fazla örnekte istismar edilme potansiyeli vardır.
  4. Kötü kimlik uygulamaları - Kimlik yönetimi de bir sorun olabilir. Bir işletme kullanıcısının bir uygulama geliştirmesini sağlamak istiyorsanız, onu durdurabilecek en önemli şey izin eksikliğidir. Çoğu zaman bu durum aşılabilir ve bir kullanıcı başka birinin kimliğini kullanabilir. Bu durumda, yanlış bir şey yapıp yapmadıklarını anlamanın bir yolu yoktur. Erişim izniniz olmayan bir şeye erişirseniz veya kötü amaçlı bir şey yapmaya çalışırsanız, güvenlik görevlileri ödünç alınan kullanıcının kimliğini arayacaktır çünkü ikisi arasında ayrım yapmanın bir yolu yoktur.
  5. Taranacak kod yok – Bu, sorun giderme, hata ayıklama ve güvenlik analizinin yanı sıra olası uyumluluk ve mevzuatla ilgili endişeleri engelleyebilecek şeffaflık eksikliğine neden olur.

Bu risklerin tümü potansiyel veri sızıntısına katkıda bulunabilir. Bir uygulama nasıl oluşturulursa oluşturulsun (sürükle bırak yöntemiyle, metin tabanlı bilgi istemiyle veya kodla) bir kimliği vardır, verilere erişimi vardır, işlemleri gerçekleştirebilir ve iletişim kurması gerekir. kullanıcılarla. Veriler genellikle kuruluştaki farklı yerler arasında taşınıyor; bu, veri sınırlarını veya engellerini kolayca aşabilir.

Veri gizliliği ve uyumluluğu da tehlikededir. Hassas veriler bu uygulamaların içinde bulunur, ancak bunları nasıl düzgün bir şekilde saklayacaklarını bilmeyen (hatta saklamayı bile düşünmeyen) iş kullanıcıları tarafından işlenmektedir. Bu, uyumluluk ihlalleri de dahil olmak üzere bir dizi ek soruna yol açabilir.

Görünürlüğün yeniden kazanılması

Bahsedildiği gibi, bunlardan biri Az kodlu/kodsuz olmanın en büyük zorluğu, BT/güvenlik kapsamına girmemesidirBu, verilerin uygulamalar arasında geçiş yaptığı anlamına gelir. Bu uygulamaları gerçekte kimin yarattığına dair her zaman net bir anlayış olmuyor ve gerçekte ne olduğuna dair genel bir görünürlük eksikliği var. Ve her kuruluş olup bitenlerin tam olarak farkında bile değil. Veya kendi kuruluşlarında vatandaş gelişiminin gerçekleşmediğini düşünüyorlar, ama neredeyse kesinlikle öyle.

Peki güvenlik liderleri kontrolü nasıl ele geçirebilir ve riski nasıl azaltabilir? İlk adım, kuruluşunuz içindeki vatandaş geliştirici girişimlerini incelemek, bu çabalara kimin (eğer varsa) liderlik ettiğini bulmak ve onlarla bağlantı kurmaktır. Bu ekiplerin kendilerini cezalandırılmış veya engellenmiş hissetmelerini istemezsiniz; Bir güvenlik lideri olarak amacınız onların çabalarını desteklemek ancak süreci daha güvenli hale getirmeye yönelik eğitim ve rehberlik sağlamak olmalıdır.

Güvenlik görünürlükle başlamalıdır. Bunun anahtarı, uygulamaların bir envanterini oluşturmak ve kimin neyi geliştirdiğine dair bir anlayış geliştirmektir. Bu bilgiye sahip olmak, bir tür ihlal meydana gelmesi durumunda adımları izleyebilmenizi ve ne olduğunu anlayabilmenizi sağlayacaktır.

Güvenli geliştirmenin neye benzeyeceğine dair bir çerçeve oluşturun. Bu, kullanıcıların doğru seçimleri yapmasını sağlayacak gerekli politikaları ve teknik kontrolleri içerir. Konu hassas veriler olduğunda profesyonel geliştiriciler bile hata yapar; iş kullanıcılarıyla bunu kontrol etmek daha da zordur. Ancak doğru kontroller uygulandığında hata yapmayı zorlaştırabilirsiniz.

Daha güvenli düşük kodlu/kodsuz kullanıma doğru

Geleneksel manuel kodlama süreci, özellikle rekabetçi pazara sunma süresi senaryolarında yeniliği engelledi. Günümüzün az kodlu ve kodsuz platformları sayesinde, geliştirme deneyimi olmayan kişiler bile yapay zeka destekli çözümler oluşturabilir. Bu, uygulama geliştirmeyi kolaylaştırmış olsa da kuruluşların emniyetini ve emniyetini de tehlikeye atabilir. Ancak vatandaşların gelişimi ve güvenlik arasında bir seçim yapılması gerekmiyor; güvenlik liderleri, her ikisi için de bir denge bulmak amacıyla iş kullanıcılarıyla ortaklık kurabilir.

İlgili konular:
mm

Michael, Kurucu Ortak ve CTO'dur. Zenite. Bulut, SaaS ve AppSec ile ilgilenen siber güvenlik alanında sektör uzmanıdır. Zenity'den önce Michael, Microsoft Bulut Güvenliği CTO Ofisi'nde kıdemli bir mimardı; burada IoT, API'ler, IaC ve gizli bilgi işlem için güvenlik ürünleri çalışmalarını kurdu ve yönetti. Michael, OWASP topluluğunun düşük kodlu/kodsuz güvenlik konusundaki çabalarına liderlik ediyor.