Connect with us

Лідери думок

Протистояння безпеці ризикам копілотів

mm
Published
Updated

Все більше й більше підприємства використовують копілоти та платформи з низьким кодуванням, щоб дозволити працівникам – навіть тим, хто має мало або жодного технічного досвіду – створювати потужні копілоти та бізнес-додатки, а також обробляти великі об’єми даних. Нова звітність компанії Zenity, Стан підприємства копілотів та розробки з низьким кодуванням у 2024 році, виявила, що в середньому підприємства мають близько 80 000 додатків і копілотів, створених зовні стандартного життєвого циклу розробки програмного забезпечення (SDLC).

Цей розвиток пропонує нові можливості, але також нові ризики. Серед цих 80 000 додатків і копілотів близько 50 000 уразливостей. У звіті зазначено, що ці додатки та копілоти розвиваються зі швидкістю, яку важко контролювати. В результаті вони створюють величезну кількість уразливостей.

Ризики підприємства копілотів і додатків

Зазвичай розробники програмного забезпечення створюють додатки обережно згідно з визначеним життєвим циклом розробки програмного забезпечення (SDLC), де кожен додаток постійно проходить етапи розробки, розгортання, вимірювання та аналізу. Але сьогодні ці обмеження більше не існують. Люди без досвіду розробки можуть тепер створювати та використовувати потужні копілоти та бізнес-додатки в рамках Power Platform, Microsoft Copilot, OpenAI, ServiceNow, Salesforce, UiPath, Zapier та інших. Ці додатки допомагають у бізнес-операціях, оскільки передають та зберігають конфіденційні дані. Ріст у цій галузі був суттєвим; звіт виявив 39% річного зростання прийняття розробки з низьким кодуванням і копілотів.

В результаті обходу SDLC уразливості є повсюдними. Багато підприємств з ентузіазмом приймають ці можливості, не повністю розуміючи того факту, що їм потрібно зрозуміти, скільки копілотів і додатків створюється – і їх бізнес-контексту теж. Наприклад, їм потрібно зрозуміти, для кого призначені ці додатки та копілоти, з якими даними взаємодіє додаток, та які їх бізнес-цілі. Вони також повинні знати, хто їх розробляє. Оскільки вони часто цього не роблять, а стандартні практики розробки обходяться, це створює нову форму тіньової ІТ.

Це ставить команди безпеки у складне становище з великою кількістю копілотів, додатків, автоматизації та звітів, які створюються зовні їхньої інформації бізнес-користувачами в різних підрозділах. У звіті зазначено, що всі OWASP (Відкритий веб-проект безпеки додатків) Топ 10 категорій ризиків є повсюдними у підприємствах. В середньому підприємство має 49 438 уразливостей. Це означає, що 62% копілотів і додатків, створених за допомогою низького кодування, містять певну уразливість безпеки.

Розуміння різних типів ризиків

Копілоти представляють такий значний потенційний загрозу, оскільки вони використовують облікові дані, мають доступ до конфіденційних даних і володіють внутрішньою цікавістю, яка робить їх важкими для контролю. Насправді 63% копілотів, створених за допомогою платформ з низьким кодуванням, були надто поширені серед інших – і багато з них приймають неавторизований чат. Це створює суттєвий ризик можливих атак на ін’єкцію запиту.

Через те, як копілоти працюють і як працює штучний інтелект загалом, повинні бути застосовані суворі заходи безпеки, щоб запобігти спільному доступу до взаємодій користувачів з копілотами, спільному доступі до додатків з багатьма або неправильними людьми, наданню необґрунтованого доступу до конфіденційних даних через штучний інтелект тощо. Якщо ці заходи не будуть застосовані, підприємства ризикують збільшенням експозиції до витоку даних і зловмисної ін’єкції запиту.

Два інших суттєвих ризиків:

Віддалена виконання копілота (RCE) – ці уразливості представляють шлях атаки, специфічний для додатків штучного інтелекту. Ця версія RCE дозволяє зовнішньому атакуванню взяти повний контроль над копілотом для M365 і примусити його виконувати їхні команди просто відправивши одне електронне повідомлення, запрошення на календар або повідомлення у Teams.

Гостьові облікові записи: Використовуючи лише один гостьовий обліковий запис і пробну ліцензію на платформу з низьким кодуванням – зазвичай доступну безкоштовно на декілька інструментів – атакувачеві потрібно лише увійти до платформи з низьким кодуванням підприємства або копілота. Як тільки він увійде, атакувач перемикається на цільовий каталог і отримує привілеї адміністратора домену на платформі. В результаті атакувачі шукають ці гостьові облікові записи, які призвели до порушення безпеки. Ось дані, які повинні викликати страх у лідерів підприємств і їхніх команд безпеки: Типове підприємство має понад 8 641 екземплярів недовіри гостьових користувачів, які мають доступ до додатків, розроблених за допомогою низького кодування і копілотів.

Необхідність нового підходу до безпеки

Що можуть зробити команди безпеки проти цього повсюдного, аморфного та критичного ризику? Вони повинні переконатися, що вони встановили контроль, який сповістить їх про будь-який додаток, який має невиправний крок у процесі отримання облікових даних або жорстко закодований секрет. Вони також повинні додати контекст до будь-якого додатку, який створюється, щоб переконатися, що існують відповідні засоби контролю автентифікації для будь-яких бізнес-критичних додатків, які також мають доступ до конфіденційних внутрішніх даних.

Коли ці тактики будуть розгорнуті, наступним пріоритетом буде забезпечення належної автентифікації для додатків, які потребують доступу до конфіденційних даних. Після цього найкращою практикою буде встановлення облікових даних так, щоб вони могли бути безпечно отримані з сховища облікових даних або секретів, що гарантує, що паролі не будуть зберігатися у відкритому або простому тексті.

Захист вашого майбутнього

 Джин низького кодування та розробки копілотів вийшов з пляшки, тому не реально спробувати повернути його назад. Натомість підприємства повинні бути обізнані про ризики та встановити контроль, який утримуватиме їхні дані в безпеці та належному управлінні. Команди безпеки зіткнулися з багатьма викликами в цій новій ері бізнес-орієнтованої розробки, але дотримуючись рекомендацій, зазначених вище, вони будуть у найкращому можливому становищі, щоб безпечно привнести інновації та продуктивність підприємства копілотів і платформ розробки з низьким кодуванням у сміливе нове майбутнє.

Related Topics:
mm

Ben Kliger є CEO та співзасновником Zenity, який привносить безпеку застосунків у світ корпоративних копілотів, низькокодової та безкодової розробки застосунків. Ben має величезний досвід у сфері кібербезпеки, який охоплює понад 16+ років. Його фаховість охоплює ручну кібербезпеку, будівництво команд та лідерство через бізнес-стратегію та управління.