本文介绍了Ben Kliger,他是Zenity的CEO和联合创始人,Zenity为企业copilot、低代码和无代码应用开发带来了应用安全。Ben在网络安全行业拥有超过16年的丰富经验,他的专业知识涵盖了从实践网络安全、团队建设和领导到商业战略和管理等方面。
越来越多的企业正在使用共同飞行员和低代码平台来使员工能够创建强大的共同飞行员和商业应用,以及处理大量数据。Zenity的一份新报告《2024年企业共同飞行员和低代码开发现状》发现,平均而言,企业有大约80,000个应用和共同飞行员是在标准软件开发生命周期(SDLC)之外创建的。这种发展带来了新的机会,但也带来了新的风险。在这80,000个应用和共同飞行员中,大约有50,000个漏洞。报告指出,这些应用和共同飞行员正在以惊人的速度演变,因此它们正在创建大量的漏洞。企业共同飞行员和应用的风险通常,软件开发人员会仔细按照定义的SDLC(安全开发生命周期)构建应用,每个应用都会不断被设计、部署、测量和分析。但是,如今,这些防护措施已经不复存在。没有开发经验的人现在可以在Power Platform、Microsoft Copilot、OpenAI、ServiceNow、Salesforce、UiPath、Zapier等平台上构建和使用高性能的共同飞行员和商业应用。这些应用帮助业务运作,因为它们传输和存储敏感数据。低代码开发和共同飞行员的采用率增长显著,报告发现其年增长率为39%。由于绕过了SDLC,漏洞无处不在。许多企业热情地接受这些功能,但没有充分理解它们需要掌握多少共同飞行员和应用正在被创建,以及它们的业务背景。例如,他们需要了解这些应用和共同飞行员是为谁设计的、它们与哪些数据交互以及它们的业务目的是什么。他们还需要知道谁正在开发它们。由于他们经常不知道,并且标准开发实践被绕过,这就创造了一个新的影子IT形式。这使得安全团队面临着一个艰难的局面,因为有很多共同飞行员、应用、自动化和报告正在被业务用户在各个业务部门之外构建。报告发现,所有OWASP(开放网页应用安全项目)前10名风险类别都普遍存在于企业中。平均而言,一个企业有49,438个漏洞。这意味着62%的低代码构建的共同飞行员和应用包含某种类型的安全漏洞。了解不同类型的风险共同飞行员呈现出如此重大的潜在威胁,因为它们使用凭据、访问敏感数据,并具有内在的好奇心,使得它们难以被控制。事实上,63%的低代码平台构建的共同飞行员与他人共享——并且其中许多共同飞行员接受未经身份验证的聊天。这使得可能的提示注入攻击风险很大。由于共同飞行员的工作方式和人工智能的工作方式,一定要执行严格的安全措施,以防止与共同飞行员的最终用户交互共享、与太多人或错误的人共享应用、通过人工智能对敏感数据授予不必要的访问权限等。如果这些措施没有到位,企业将面临数据泄露和恶意提示注入的风险增加。其他两个重要风险是:远程共同飞行员执行(RCEs)——这些漏洞代表了人工智能应用程序特有的攻击路径。这种RCE版本允许外部攻击者通过发送一封电子邮件、日历邀请或Teams消息来完全控制M365的共同飞行员并强制其执行命令。客座账户:使用一个客座账户和低代码平台的试用许可(通常在多个工具上免费提供),攻击者只需登录到企业的低代码平台或共同飞行员。一旦进入,攻击者切换到目标目录,然后在平台上拥有域管理员级别的权限。因此,攻击者正在寻找这些客座账户,这些账户已导致安全漏洞。以下是一个数据点,应该让企业领导者和安全团队感到恐惧:典型的企业有超过8,641个不受信任的客座用户,他们可以访问通过低代码和共同飞行员开发的应用。需要新的安全方法安全团队可以对这种无处不在、模糊且至关重要的风险做什么?他们需要确保他们已经实施了控制措施,以便在应用程序的凭据检索过程中发现任何不安全的步骤或硬编码的秘密时发出警报。他们还必须为正在创建的应用程序添加上下文,以确保对具有对敏感内部数据访问权限的业务关键应用程序实施适当的身份验证控制。当这些策略被部署后,下一个优先事项是为需要访问敏感数据的应用程序设置适当的身份验证。之后,最佳实践是设置凭据,以便它们可以从凭据或秘密存储中安全检索,这将保证密码不会以明文或纯文本形式存储。确保您的未来 低代码和共同飞行员开发的魔力已经释放出来,因此试图将其重新封装是不现实的。相反,企业需要意识到风险并实施控制措施,以确保其数据得到安全管理和保护。安全团队在这个业务主导的开发新时代面临了许多挑战,但通过遵循上述建议,他们将处于最佳位置,能够安全地将企业共同飞行员和低代码开发平台带来的创新和生产力引向一个大胆的新未来。安全团队在这个新时代面临了许多挑战,但通过遵循上述建议,他们将处于最佳位置,能够安全地将企业共同飞行员和低代码开发平台带来的创新和生产力引向一个大胆的新未来。安全团队面临了许多挑战,但通过遵循上述建议,他们将处于最佳位置,能够安全地将企业共同飞行员和低代码开发平台带来的创新和生产力引向一个大胆的新未来。 Security teams have faced many challenges in this new era of business-led development, but by adhering to the recommendations noted above, they will...
