Đối mặt với Rủi ro An ninh của Copilot

Ngày càng nhiều, các doanh nghiệp đang sử dụng copilot và các nền tảng low-code để cho phép nhân viên – thậm chí những người có ít hoặc không có chuyên môn kỹ thuật – tạo ra các copilot và ứng dụng kinh doanh mạnh mẽ, cũng như xử lý lượng lớn dữ liệu. Một báo cáo mới của Zenity, Tình trạng của Copilot và Phát triển Low-Code Doanh nghiệp vào năm 2024, cho thấy rằng trung bình, các doanh nghiệp có khoảng 80.000 ứng dụng và copilot được tạo ra ngoài chu kỳ phát triển phần mềm tiêu chuẩn (SDLC).

Sự phát triển này mang lại cơ hội mới nhưng cũng mang lại rủi ro mới. Trong số 80.000 ứng dụng và copilot này, có khoảng 50.000 điểm yếu. Báo cáo cho biết rằng các ứng dụng và copilot này đang phát triển với tốc độ chóng mặt. Do đó, chúng tạo ra một số lượng lớn điểm yếu.

Rủi ro của Copilot và Ứng dụng Doanh nghiệp

Typically, các nhà phát triển phần mềm xây dựng ứng dụng cẩn thận dọc theo một SDLC (chu kỳ phát triển phần mềm an toàn) được định nghĩa, nơi mọi ứng dụng đều được thiết kế, triển khai, đo lường và phân tích liên tục. Nhưng ngày nay, những rào cản này không còn tồn tại. Những người không có kinh nghiệm phát triển có thể xây dựng và sử dụng các copilot và ứng dụng kinh doanh mạnh mẽ trong Power Platform, Microsoft Copilot, OpenAI, ServiceNow, Salesforce, UiPath, Zapier và các công cụ khác. Những ứng dụng này giúp với các hoạt động kinh doanh khi chúng chuyển và lưu trữ dữ liệu nhạy cảm. Sự tăng trưởng trong lĩnh vực này đã rất đáng kể; báo cáo cho thấy sự tăng trưởng 39% hàng năm trong việc áp dụng phát triển low-code và copilot.

Kết quả của việc bỏ qua SDLC, các điểm yếu là phổ biến. Nhiều doanh nghiệp nhiệt tình chấp nhận các khả năng này mà không hoàn toàn đánh giá được thực tế rằng họ cần phải hiểu được số lượng copilot và ứng dụng đang được tạo ra – và bối cảnh kinh doanh của chúng. Ví dụ, họ cần hiểu ứng dụng và copilot này dành cho ai, dữ liệu nào mà ứng dụng tương tác và mục đích kinh doanh của chúng là gì. Họ cũng cần biết ai đang phát triển chúng. Vì họ thường không làm như vậy, và vì các thực hành phát triển tiêu chuẩn bị bỏ qua, điều này tạo ra một hình thức mới của shadow IT.

Điều này đặt các đội an ninh vào vị trí khó khăn với rất nhiều copilot, ứng dụng, tự động hóa và báo cáo được xây dựng ngoài kiến thức của họ bởi người dùng kinh doanh ở các bộ phận khác nhau. Báo cáo cho thấy rằng tất cả các danh mục rủi ro hàng đầu của OWASP (Dự án An ninh Ứng dụng Web Mở) đều phổ biến trên toàn doanh nghiệp. Trung bình, một doanh nghiệp có 49.438 điểm yếu. Điều này tương đương với 62% copilot và ứng dụng được xây dựng thông qua low-code chứa điểm yếu an ninh của một loại nào đó.

Hiểu về các loại rủi ro khác nhau

Copilot trình bày rủi ro tiềm năng đáng kể vì chúng sử dụng thông tin đăng nhập, có quyền truy cập vào dữ liệu nhạy cảm và sở hữu sự tò mò nội tại khiến chúng khó kiểm soát. Trên thực tế, 63% copilot được xây dựng với các nền tảng low-code đã được chia sẻ quá mức với người khác – và nhiều trong số chúng chấp nhận trò chuyện không xác thực. Điều này cho phép rủi ro đáng kể cho các cuộc tấn công tiêm lệnh có thể xảy ra.

Do cách copilot hoạt động và cách AI hoạt động nói chung, các biện pháp an toàn nghiêm ngặt phải được thực thi để ngăn chặn việc chia sẻ tương tác của người dùng cuối với copilot, chia sẻ ứng dụng với quá nhiều hoặc người sai, việc cấp quyền truy cập không cần thiết vào dữ liệu nhạy cảm thông qua AI, v.v. Nếu các biện pháp này không được thực hiện, doanh nghiệp sẽ gặp rủi ro cao hơn về việc rò rỉ dữ liệu và tiêm lệnh độc hại.

Hai rủi ro đáng kể khác là:

Sự thực thi Copilot từ xa (RCEs) – Những điểm yếu này đại diện cho một con đường tấn công cụ thể cho các ứng dụng AI. Phiên bản RCE này cho phép một kẻ tấn công bên ngoài kiểm soát hoàn toàn Copilot cho M365 và buộc nó tuân theo lệnh của họ chỉ bằng cách gửi một email, lời mời lịch hoặc tin nhắn Teams.

Tài khoản khách: Sử dụng chỉ một tài khoản khách và giấy phép thử nghiệm cho một nền tảng low-code – thường có sẵn miễn phí trên nhiều công cụ – một kẻ tấn công chỉ cần đăng nhập vào nền tảng low-code hoặc copilot của doanh nghiệp. Một khi đã vào, kẻ tấn công chuyển sang thư mục mục tiêu và sau đó có đặc quyền quản trị cấp miền trên nền tảng. Do đó, các kẻ tấn công tìm kiếm các tài khoản khách, điều này đã dẫn đến các vi phạm an ninh. Dưới đây là một điểm dữ liệu mà nên gây sợ hãi cho các nhà lãnh đạo doanh nghiệp và các đội an ninh của họ: Doanh nghiệp điển hình có hơn 8.641 trường hợp của người dùng không đáng tin cậy có quyền truy cập vào các ứng dụng được phát triển thông qua low-code và copilot.

Một cách tiếp cận an ninh mới là cần thiết

Các đội an ninh có thể làm gì để chống lại rủi ro phổ biến, không rõ ràng và quan trọng này? Họ cần đảm bảo rằng họ đã thiết lập các biện pháp kiểm soát để cảnh báo họ về bất kỳ ứng dụng nào có bước không an toàn trong quá trình lấy thông tin đăng nhập hoặc một bí mật được mã hóa cứng. Họ cũng phải thêm bối cảnh vào bất kỳ ứng dụng nào được tạo để đảm bảo rằng có các biện pháp kiểm soát xác thực phù hợp cho bất kỳ ứng dụng kinh doanh quan trọng nào cũng có quyền truy cập vào dữ liệu nội bộ nhạy cảm.

Khi những chiến thuật này đã được triển khai, ưu tiên tiếp theo là đảm bảo rằng xác thực phù hợp được thiết lập cho các ứng dụng cần truy cập vào dữ liệu nhạy cảm. Sau đó, đây là một thực hành tốt để thiết lập thông tin đăng nhập để chúng có thể được lấy một cách an toàn từ một kho thông tin đăng nhập hoặc bí mật, điều này sẽ đảm bảo rằng mật khẩu không nằm trong văn bản rõ ràng hoặc văn bản thường.

Bảo mật Tương lai của Bạn

 Thần đèn của phát triển low-code và copilot đã ra khỏi chai, vì vậy không thực tế khi cố gắng đưa nó trở lại. Thay vào đó, các doanh nghiệp cần nhận thức được rủi ro và thiết lập các biện pháp kiểm soát để giữ dữ liệu của họ an toàn và quản lý đúng cách. Các đội an ninh đã đối mặt với nhiều thách thức trong kỷ nguyên phát triển kinh doanh mới này, nhưng bằng cách tuân theo các khuyến nghị được ghi chú ở trên, họ sẽ ở vị trí tốt nhất có thể để mang lại sự đổi mới và năng suất mà các nền tảng phát triển low-code và copilot doanh nghiệp mang lại cho một tương lai mới táo bạo.