Vượt qua những thách thức bảo mật hàng đầu của quá trình phát triển mã thấp/không mã dựa trên AI

Nền tảng phát triển mã thấp đã thay đổi cách mọi người tạo ra các giải pháp kinh doanh tùy chỉnh, bao gồm ứng dụng, quy trình làm việc và người điều khiển phụ. Những công cụ này trao quyền cho các nhà phát triển công dân và tạo ra một môi trường linh hoạt hơn để phát triển ứng dụng. Việc thêm AI vào hỗn hợp chỉ nâng cao khả năng này. Thực tế là không có đủ người tại một tổ chức có đủ kỹ năng (và thời gian) để xây dựng số lượng ứng dụng, tự động hóa, v.v. cần thiết để thúc đẩy đổi mới phát triển đã dẫn đến tình trạng ít mã/không mã mô hình. Giờ đây, không cần đào tạo kỹ thuật chính thức, các nhà phát triển công dân có thể tận dụng các nền tảng thân thiện với người dùng và Generative AI để tạo, đổi mới và triển khai các giải pháp dựa trên AI.

Nhưng thực hành này an toàn đến mức nào? Thực tế là nó đang tạo ra một loạt rủi ro mới. Đây là tin tốt: bạn không phải lựa chọn giữa tính bảo mật và hiệu quả mà sự đổi mới do doanh nghiệp mang lại.

Một sự thay đổi vượt ra ngoài tầm nhìn truyền thống

Các nhóm CNTT và bảo mật đã quen với việc tập trung nỗ lực vào quét và tìm kiếm các lỗ hổng được ghi vào mã. Họ tập trung vào việc đảm bảo các nhà phát triển đang xây dựng phần mềm an toàn, đảm bảo phần mềm được an toàn và sau đó - khi nó được đưa vào sản xuất - giám sát nó để phát hiện những sai lệch hoặc bất kỳ điều gì đáng ngờ sau thực tế.

Với sự gia tăng của mã thấp và không có mã, ngày càng có nhiều người xây dựng ứng dụng và sử dụng tự động hóa để tạo ứng dụng – ngoài quy trình phát triển truyền thống. Đây thường là những nhân viên có ít hoặc không có nền tảng phát triển phần mềm và những ứng dụng này được tạo ra ngoài phạm vi hoạt động của bảo mật.

Điều này tạo ra tình huống CNTT không còn xây dựng mọi thứ cho tổ chức và nhóm bảo mật thiếu tầm nhìn. Trong một tổ chức lớn, bạn có thể xây dựng vài trăm ứng dụng trong một năm thông qua quá trình phát triển chuyên môn; với mã thấp/không có mã, bạn có thể nhận được nhiều hơn thế. Đó là rất nhiều ứng dụng tiềm năng có thể không được các nhóm bảo mật chú ý hoặc giám sát.

Nhiều rủi ro mới

 Một số mối lo ngại về bảo mật tiềm ẩn liên quan đến việc phát triển mã thấp/không mã bao gồm:

1. Không nằm trong tầm nhìn của CNTT – như vừa đề cập, các nhà phát triển công dân làm việc bên ngoài các chuyên gia CNTT, tạo ra sự thiếu khả năng hiển thị và phát triển ứng dụng ngầm. Ngoài ra, những công cụ này cho phép vô số người tạo ứng dụng và tự động hóa một cách nhanh chóng chỉ bằng vài cú nhấp chuột. Điều đó có nghĩa là có vô số ứng dụng được tạo ra với tốc độ chóng mặt bởi vô số người, tất cả đều không có bộ phận CNTT có bức tranh đầy đủ.
2. Không vòng đời phát triển phần mềm (SDLC) – Phát triển phần mềm theo cách này đồng nghĩa với việc không có SDLC, điều này có thể dẫn đến sự thiếu nhất quán, nhầm lẫn, thiếu trách nhiệm bên cạnh rủi ro.
3. Nhà phát triển mới vào nghề – Những ứng dụng này thường được xây dựng bởi những người có ít kỹ năng và kinh nghiệm kỹ thuật hơn, dẫn đến sai sót và các mối đe dọa bảo mật. Họ không nhất thiết phải nghĩ về các phân nhánh phát triển hoặc bảo mật theo cách mà một nhà phát triển chuyên nghiệp hoặc một người có nhiều kinh nghiệm kỹ thuật hơn sẽ làm. Và nếu tìm thấy lỗ hổng trong một thành phần cụ thể được nhúng vào một số lượng lớn ứng dụng, thì lỗ hổng đó có khả năng bị khai thác trên nhiều phiên bản
4. Thực tiễn nhận dạng xấu – Quản lý danh tính cũng có thể là một vấn đề. Nếu bạn muốn trao quyền cho người dùng doanh nghiệp xây dựng một ứng dụng, điều số một có thể ngăn cản họ là thiếu quyền. Thông thường, điều này có thể tránh được và điều xảy ra là bạn có thể có người dùng sử dụng danh tính của người khác. Trong trường hợp này, không có cách nào để biết liệu họ có làm gì sai hay không. Nếu bạn truy cập thứ gì đó mà bạn không được phép hoặc bạn cố gắng làm điều gì đó độc hại, bộ phận bảo mật sẽ tìm kiếm danh tính của người dùng mượn vì không có cách nào để phân biệt giữa hai người.
5. Không có mã để quét – Điều này gây ra sự thiếu minh bạch có thể cản trở việc khắc phục sự cố, gỡ lỗi và phân tích bảo mật cũng như các mối lo ngại về tuân thủ và quy định có thể có.

Những rủi ro này đều có thể góp phần gây rò rỉ dữ liệu tiềm ẩn. Bất kể ứng dụng được xây dựng như thế nào – cho dù ứng dụng đó được xây dựng bằng cách kéo và thả, lời nhắc dựa trên văn bản hay bằng mã – thì ứng dụng đó đều có danh tính, có quyền truy cập vào dữ liệu, có thể thực hiện các thao tác và cần giao tiếp với người dùng. Dữ liệu đang được di chuyển, thường là giữa các nơi khác nhau trong tổ chức; điều này có thể dễ dàng phá vỡ ranh giới hoặc rào cản dữ liệu.

Quyền riêng tư và tuân thủ dữ liệu cũng đang bị đe dọa. Dữ liệu nhạy cảm tồn tại trong các ứng dụng này nhưng nó đang được xử lý bởi những người dùng doanh nghiệp không biết cách (thậm chí không nghĩ đến) cách lưu trữ dữ liệu đó đúng cách. Điều đó có thể dẫn đến một loạt vấn đề khác, bao gồm cả vi phạm tuân thủ.

Lấy lại khả năng hiển thị

Như đã đề cập, một trong những thách thức lớn với mức thấp/không có mã là nó không thuộc phạm vi quản lý của CNTT/bảo mật, có nghĩa là dữ liệu đang truyền qua các ứng dụng. Không phải lúc nào cũng có sự hiểu biết rõ ràng về ai thực sự tạo ra những ứng dụng này và thiếu tầm nhìn tổng thể về những gì đang thực sự xảy ra. Và không phải mọi tổ chức đều nhận thức đầy đủ về những gì đang xảy ra. Hoặc họ cho rằng việc phát triển công dân không diễn ra trong tổ chức của họ, nhưng gần như chắc chắn là như vậy.

Vì vậy, làm thế nào các nhà lãnh đạo an ninh có thể giành quyền kiểm soát và giảm thiểu rủi ro? Bước đầu tiên là xem xét các sáng kiến ​​của nhà phát triển công dân trong tổ chức của bạn, tìm ra ai (nếu có) đang lãnh đạo những nỗ lực này và kết nối với họ. Bạn không muốn những đội này cảm thấy bị phạt hoặc bị cản trở; với tư cách là người lãnh đạo bảo mật, mục tiêu của bạn phải là hỗ trợ những nỗ lực của họ nhưng cung cấp kiến ​​thức và hướng dẫn để làm cho quy trình trở nên an toàn hơn.

Bảo mật phải bắt đầu bằng khả năng hiển thị. Chìa khóa của việc này là tạo ra một kho ứng dụng và phát triển sự hiểu biết về ai đang xây dựng cái gì. Việc có được thông tin này sẽ giúp đảm bảo rằng nếu một loại vi phạm nào đó xảy ra, bạn sẽ có thể theo dõi các bước và tìm hiểu điều gì đã xảy ra.

Thiết lập một khuôn khổ cho sự phát triển an toàn trông như thế nào. Điều này bao gồm các chính sách cần thiết và biện pháp kiểm soát kỹ thuật sẽ đảm bảo người dùng đưa ra những lựa chọn đúng đắn. Ngay cả các nhà phát triển chuyên nghiệp cũng mắc lỗi khi xử lý dữ liệu nhạy cảm; việc kiểm soát điều này với người dùng doanh nghiệp thậm chí còn khó hơn. Nhưng với các biện pháp kiểm soát phù hợp, bạn có thể khó mắc sai lầm.

Hướng tới mã thấp/không mã an toàn hơn

Quy trình mã hóa thủ công truyền thống đã cản trở sự đổi mới, đặc biệt là trong các tình huống cạnh tranh về thời gian đưa sản phẩm ra thị trường. Với nền tảng mã ngắn và không có mã ngày nay, ngay cả những người không có kinh nghiệm phát triển cũng có thể tạo ra các giải pháp dựa trên AI. Mặc dù điều này giúp hợp lý hóa việc phát triển ứng dụng nhưng nó cũng có thể gây nguy hiểm cho sự an toàn và bảo mật của các tổ chức. Tuy nhiên, đó không nhất thiết phải là sự lựa chọn giữa phát triển công dân và an ninh; các nhà lãnh đạo bảo mật có thể hợp tác với người dùng doanh nghiệp để tìm sự cân bằng cho cả hai.