思想领袖

解决 AI 驱动的低代码/无代码开发的顶级安全挑战

mm
发布于
更新于

低代码开发平台 已改变了人们创建自定义业务解决方案的方式,包括应用程序、工作流和协作。这些工具赋予了公民开发者权力,并为应用程序开发创造了更加敏捷的环境。将 AI 添加到这个混合中只会增强这一能力。由于组织中没有足够的人拥有构建所需应用程序、自动化等的技能(和时间),因此出现了低代码/无代码范式。现在,公民开发者无需正式的技术培训,就可以利用用户友好的平台和生成式 AI 创建、创新和部署 AI 驱动的解决方案。

但这种做法有多安全?现实是,它引入了一系列新的风险。好消息是:您不必在安全性和业务创新提供的效率之间做出选择。

超越传统视野的转变

IT 和安全团队习惯于专注于 扫描和寻找编码中的漏洞。他们集中精力确保开发人员构建安全的软件,确保软件安全,然后在软件投入生产后监控它是否有任何异常或可疑行为。

随着 低代码和无代码的崛起,比以往任何时候都有更多的人正在构建应用程序并使用自动化来创建应用程序——这是在传统开发流程之外进行的。这些人通常是具有很少或没有软件开发背景的员工,而这些应用程序是在安全团队的视野之外创建的。

这就造成了一个情况,即 IT 不再为整个组织构建一切,安全团队也缺乏对应用程序的可见性。在一个大型组织中,您可能会通过专业开发每年构建几百个应用程序;而使用低代码/无代码开发,您可能会构建出远远多于这个数字的应用程序。这意味着有很多潜在的应用程序可能没有被安全团队注意到或监控。

新的风险

低代码/无代码开发的一些潜在安全问题包括:

  1. 不在 IT 的视野中——正如刚才提到的,公民开发者在 IT 专业人员的视野之外工作,造成了缺乏可见性和影子应用程序开发。此外,这些工具使得无数人可以快速创建应用程序和自动化,只需点击几下。这意味着有无数的应用程序正在以惊人的速度被创建,由无数的人创建,而 IT 部门对此没有完整的了解。
  2. 没有软件开发生命周期(SDLC)——以这种方式开发软件意味着没有 SDLC,这可能导致不一致、混乱和缺乏责任感,以及风险。
  3. 初学者开发者——这些应用程序通常由具有较少技术技能和经验的人创建,这为错误和安全威胁打开了大门。他们不一定会像专业开发人员或具有更多技术经验的人一样考虑安全性或开发的影响。并且,如果在大量应用程序中嵌入的特定组件中发现了漏洞,它可能会被多个实例利用。
  4. 不良身份实践——身份管理也可能是一个问题。如果您想让业务用户构建应用程序,阻止他们的第一件事可能是缺乏权限。通常,这可以被规避,而发生的情况是用户可能会使用别人的身份。在这种情况下,无法确定他们是否做了什么错误的事情。如果您访问未经授权的内容或尝试执行恶意操作,安全团队将会来找借用身份的用户,因为无法区分他们之间的差异。
  5. 没有代码可扫描——这会导致缺乏透明度,阻碍故障排除、调试和安全分析,以及可能的合规性和监管问题。

这些风险都可能导致潜在的数据泄露。不管应用程序是如何构建的——无论是通过拖放、基于文本的提示还是代码——它都具有身份,具有访问数据的权限,可以执行操作,并需要与用户进行通信。数据正在被移动,通常是在组织的不同位置之间;这很容易打破数据边界或屏障。

数据隐私和合规性也处于风险之中。敏感数据存储在这些应用程序中,但它们是由不知道如何(甚至不考虑)正确存储它们的业务用户处理的。这可能会导致一系列额外的问题,包括合规性违规。

重新获得可见性

正如提到的,低代码/无代码开发的一个大挑战是它不在 IT/安全团队的视野中,这意味着数据正在应用程序之间流动。并不总是清楚谁真正创建了这些应用程序,也缺乏对实际发生情况的可见性。并且并非每个组织都完全了解正在发生的事情。或者,他们认为公民开发不会在他们的组织中发生,但它几乎肯定会发生。

那么,安全领导者如何才能重新获得控制并减轻风险?第一步是调查组织内部的公民开发者计划,找出谁(如果有人)正在领导这些努力,并与他们建立联系。您不希望这些团队感到受到惩罚或阻碍;作为安全领导者,您的目标应该是支持他们的努力,同时提供有关如何使该过程更安全的教育和指导。

安全性必须从可见性开始。关键是创建一个应用程序清单,并了解谁正在构建什么。拥有这些信息将有助于确保,如果发生某种违规行为,您将能够追踪步骤并弄清楚发生了什么。

建立一个框架,用于定义安全开发的标准。这包括确保用户做出正确选择的必要政策和技术控制。即使是专业开发人员,也可能在处理敏感数据时犯错误;对于业务用户来说,这更为困难。但是,有了正确的控制措施,就可以避免错误。

朝着更安全的低代码/无代码发展

传统的手动编码过程已经阻碍了创新,尤其是在竞争激烈的时间到市场场景中。如今,使用低代码和无代码平台,即使没有开发经验的人也可以创建 AI 驱动的解决方案。虽然这已经简化了应用程序开发,但也可能危及组织的安全性和安全。然而,这不必是公民开发和安全之间的选择;安全领导者可以与业务用户合作,找到两者的平衡点。发展经验可以创建 AI 驱动的解决方案。虽然这已经简化了应用程序开发,但也可能危及组织的安全性和安全。然而,这不必是公民开发和安全之间的选择;安全领导者可以与业务用户合作,找到两者的平衡点。

mm

Michael 是 Zenity 的联合创始人和首席技术官。他是网络安全领域的行业专家,关注云计算、SaaS 和应用程序安全。在加入 Zenity 之前,Michael 曾是微软云安全首席技术官办公室的高级架构师,在那里他创立并领导了 IoT、API、IaC 和机密计算的安全产品工作。Michael 正在领导 OWASP 社区关于低代码/无代码安全的工作。