заглушки Подолання найголовніших викликів безпеки при розробці з низьким вмістом/без коду на основі штучного інтелекту - Unite.AI
Зв'язатися з нами
   Лідери думок  
Подолання найголовніших проблем із безпекою розробок із низьким вмістом/без коду на основі ШІ
 mm
опублікований
 2 тижнів тому
 on
   
 
Платформи розробки з низьким кодом змінили спосіб створення індивідуальних бізнес-рішень, зокрема програм, робочих процесів і копілотів. Ці інструменти дають змогу громадянським розробникам і створюють гнучкіше середовище для розробки програм. Додавання штучного інтелекту лише розширило цю можливість. Той факт, що в організації недостатньо людей, які мають навички (і час) для створення такої кількості додатків, засобів автоматизації тощо, які необхідні для просування інновацій, спричинив низький код/без коду парадигма. Тепер, не потребуючи формальної технічної підготовки, громадянські розробники можуть використовувати зручні платформи та Generative AI для створення, інновацій та розгортання рішень на основі штучного інтелекту.
Але наскільки безпечна така практика? Реальність така, що це створює безліч нових ризиків. Ось хороша новина: вам не потрібно вибирати між безпекою та ефективністю, яку забезпечують бізнес-інновації.
Вихід за межі традиційної компетенції
Команди ІТ та безпеки звикли зосереджувати свої зусилля на сканування та пошук уразливостей, записаних у коді. Вони зосереджені на тому, щоб переконатися, що розробники створюють безпечне програмне забезпечення, гарантуючи безпеку програмного забезпечення, а потім – після того, як воно буде у виробництві – відстежувати його на наявність відхилень або будь-чого підозрілого після факту.
З підвищення низького коду та відсутності коду, більше людей, ніж будь-коли, створюють програми та використовують автоматизацію для створення програм – поза традиційним процесом розробки. Це часто працівники, які майже не мають досвіду розробки програмного забезпечення, і ці програми створюються поза компетенцією безпеки.
Це створює ситуацію, коли ІТ-спеціалісти більше не створюють усе для організації, а команді безпеки бракує видимості. У великій організації ви можете створити кілька сотень додатків за рік завдяки професійному розвитку; з низьким кодом/без коду ви можете отримати набагато більше, ніж це. Це багато потенційних програм, які можуть залишитися непоміченими або неконтрольованими групами безпеки.
Безліч нових ризиків
 Деякі потенційні проблеми безпеки, пов’язані з розробкою з низьким кодом/без коду, включають:
  1. Це не в компетенції ІТ – як щойно згадувалося, громадянські розробники працюють поза лініями ІТ-фахівців, створюючи відсутність видимості та тіньову розробку програм. Крім того, ці інструменти дозволяють нескінченній кількості людей швидко створювати програми та засоби автоматизації лише кількома клацаннями миші. Це означає, що незліченна кількість програм створюється шаленою швидкістю незліченною кількістю людей, але ІТ-спеціалісти не мають повної картини.
  2. Немає життєвий цикл розробки програмного забезпечення (SDLC) – Розробка програмного забезпечення таким чином означає відсутність SDLC, що може призвести до непослідовності, плутанини та відсутності підзвітності на додаток до ризику.
  3. Розробники-початківці. Ці програми часто створюють люди з меншими технічними навичками та досвідом, що відкриває двері для помилок і загроз безпеці. Вони не обов’язково думають про безпеку чи наслідки розвитку так, як це зробив би професійний розробник чи хтось із більшим технічним досвідом. І якщо вразливість буде виявлена ​​в конкретному компоненті, вбудованому у велику кількість програм, вона може бути використана в багатьох випадках
  4. Погана практика ідентифікації. Керування ідентифікацією також може бути проблемою. Якщо ви хочете надати бізнес-користувачам можливість створювати програму, головне, що може зупинити їх – це відсутність дозволів. Часто це можна обійти, і трапляється, що користувач може використовувати чужу особу. У цьому випадку неможливо зрозуміти, чи зробили вони щось не так. Якщо ви отримуєте доступ до чогось, до чого вам заборонено, або намагаєтесь зробити щось зловмисне, система безпеки шукатиме ідентифікаційні дані запозиченого користувача, оскільки їх неможливо розрізнити.
  5. Немає коду для сканування – це спричиняє брак прозорості, що може перешкоджати вирішенню проблем, налагодженню та аналізу безпеки, а також можливим проблемам відповідності та нормативним вимогам.
Усі ці ризики можуть сприяти потенційному витоку даних. Незалежно від того, як створено програму – чи створено її за допомогою перетягування, текстової підказки чи коду – вона має ідентифікатор, має доступ до даних, може виконувати операції та має спілкуватися з користувачами. Дані переміщуються, часто між різними місцями в організації; це може легко порушити межі даних або бар'єри.
Конфіденційність даних і відповідність також поставлені під загрозу. Конфіденційні дані зберігаються в цих програмах, але ними обробляють бізнес-користувачі, які не знають (і навіть не думають) правильно їх зберігати. Це може призвести до безлічі додаткових проблем, у тому числі до порушення відповідності.
Відновлення видимості
Як згадувалося, один із великі проблеми з низьким кодом/без коду полягають у тому, що він не входить до компетенції ІТ/безпеки, що означає, що дані проходять через програми. Не завжди є чітке розуміння того, хто насправді створює ці програми, і загальна відсутність видимості того, що насправді відбувається. І не кожна організація навіть повністю усвідомлює, що відбувається. Або вони думають, що громадянський розвиток не відбувається в їхній організації, але це майже напевно так.
Отже, як керівники безпеки можуть отримати контроль і зменшити ризик? Перший крок — ознайомитися з ініціативами громадянських розробників у вашій організації, з’ясувати, хто (якщо хтось) керує цими зусиллями, і зв’язатися з ними. Ви не хочете, щоб ці команди відчували покарання або перешкоди; як лідер безпеки, вашою метою має бути підтримка їхніх зусиль, але надання освіти та вказівок щодо підвищення безпеки процесу.
Безпека повинна починатися з видимості. Ключем до цього є створення переліку додатків і розвиток розуміння того, хто що створює. Наявність цієї інформації допоможе переконатися, що якщо якесь порушення таки станеться, ви зможете відстежити кроки та з’ясувати, що сталося.
Створіть основу для того, як виглядає безпечна розробка. Це включає необхідні політики та технічні засоби контролю, які забезпечать користувачам правильний вибір. Навіть професійні розробники роблять помилки, коли йдеться про конфіденційні дані; з бізнес-користувачами це ще важче контролювати. Але з правильним керуванням ви можете ускладнити помилку.
До більш безпечного низького/без коду
Традиційний процес ручного кодування заважав інноваціям, особливо в конкурентних сценаріях часу виходу на ринок. Завдяки сучасним платформам із низьким вмістом коду та без коду навіть люди без досвіду розробки можуть створювати рішення на основі ШІ. Хоча це оптимізувало розробку програм, це також може поставити під загрозу безпеку організацій. Однак це не обов’язково вибір між розвитком громадян і безпекою; керівники безпеки можуть співпрацювати з бізнес-користувачами, щоб знайти баланс для обох.
       
 Схожі теми:
 mm
Майкл є співзасновником і технічним директором Зенітність. Він є галузевим експертом з кібербезпеки, який цікавиться хмарою, SaaS і AppSec. До Zenity Майкл був старшим архітектором Microsoft Cloud Security Office CTO Office, де він заснував і очолював розробки продуктів безпеки для IoT, API, IAC і конфіденційних обчислень. Майкл керує зусиллями спільноти OWASP щодо безпеки з низьким кодом/без коду.