„Изчезнал от погледа, излязъл от съзнанието“ не е добър начин да се подходи към киберсигурността или към жизнения цикъл на сигурна разработка на софтуер. Но в бързината на цифровата трансформация много организации са изложени несъзнателно на рискове за сигурността, свързани с приложенията на гражданските разработчици.

Станали възможни благодарение на технологията low-code/no-code (LCNC), която позволява на лица без формално обучение по кодиране или разработване на софтуер лесно да създават приложения, тези приложения породиха нов термин, известен като „инженерство в сянка“. Като предоставят интуитивни интерфейси за плъзгане и пускане и генеративен изкуствен интелект (GenAI), LCNC платформите позволяват на служителите да създават и внедряват самостоятелно приложения извън компетенциите на екипа по сигурността.

Въпреки свързаните с това рискове, LCNC приложенията могат да играят значителна роля в стимулирането на цифровата трансформация. Те предлагат потенциал за генериране на значителни икономии на разходи и, което е по-важно, могат да формират гръбнака на по-голямата част от приложенията, използвани в световен мащаб.

Според Gartner почти две трети от главните информационни директори (CIO) заявяват, че техните организации планират да внедрят LCNC платформи през следващите две години или вече са ги внедрили. В доклада ИТ директорите посочват като най-критични резултати от инвестициите в цифрови технологии превъзходството в опита на клиентите или гражданите, подобряването на оперативните маржове и генерирането на приходи.

LCNC и роботизираната автоматизация на процесите (RPA) демократизираха разработването на приложения, като го поставиха в обсега на потребителите без умения за кодиране. Инженерингът в сянка обаче създава и мъртва зона за сигурност, която излага организациите на рискове, които те не могат да предвидят.

С помощта на платформи за приложения с ниско ниво на кодиране/без кодиране (LCAP) – като Microsoft Power Apps и Power Automate, UiPath, Automation Anywhere или ServiceNow – бизнес потребителите създават приложения и автоматизации, които заобикалят установения жизнен цикъл на разработване на софтуер (SDLC) и неговите процеси за гарантиране на сигурността.

Сенчестото инженерство оставя екипите по сигурността с малък или никакъв контрол върху LCNC приложенията, които гражданските разработчици могат да внедряват. Тези приложения също така заобикалят обичайните тестове на кода, предназначени да сигнализират за софтуерни уязвимости и неправилни конфигурации, които могат да доведат до пробив. Тази липса на видимост пречи на организациите да прилагат политики, които да ги поддържат в съответствие с корпоративните или индустриалните стандарти за сигурност.

Например нискокодова автоматизация, създадена от екипа по продажбите за обработка на плащания с кредитни карти, може да доведе до изтичане на чувствителни данни и да наруши изискванията на PCI DSS, като същевременно е невидима за екипа по операциите по сигурността.

Осветляване на сенчестия инженеринг

Адресирането на рисковете, свързани със сенчестото инженерство, изисква прилагането на традиционните принципи за сигурност на приложенията към LCNC приложенията, които включват следните най-добри практики:

• Открийте и проследете: Липсата на видимост е основният риск, свързан с инженерството в сянка, и е добро място за започване на ограничаване на рисковете. Открийте и инвентаризирайте всички LCNC приложения и автоматизации, за да идентифицирате и премахнете всички излишни или остарели такива, и отделете всички приложения в реално време, които трябва да бъдат под контрола на политиката на компанията.
• Защита на приложенията: LCNC приложенията се сблъскват с много от същите проблеми, които се срещат в конвенционално разработения софтуер, като например твърдо кодирани или пароли по подразбиране и изтичане на данни. Едно обикновено приложение, което пита служителите за размера на тениската им за фирмено събитие, може да даде на хакерите достъп до техните HR файлове и защитени данни. LCNC приложенията трябва рутинно да се оценяват за заплахи и уязвимости, за да могат да бъдат открити и отстранени. Междувременно контролите по време на изпълнение могат да се използват за откриване на злонамерено поведение в приложенията и автоматите или от приложенията в домейна.
• Осигуряване на съответствие: Гражданските разработчици може да не са наясно с разпоредби като GDPR, CCPA, HIPAA, PCI DSS и др. Създайте и прилагайте политики за сигурност на LCNC, за да откривате и предотвратявате нарушения.
• Дайте възможност на гражданските разработчици: Дайте на гражданските разработчици насоки с лесни за разбиране термини, за да им помогнете сами да отстранят рисковете възможно най-бързо и лесно. Сътрудничете си с бизнес разработчиците, за да гарантирате, че сигурността е интегрирана в процеса на разработване на приложенията на LCNC занапред.
• Наблюдавайте редовно: Сигурността никога не е еднократна мярка. Извършвайте редовно наблюдение на процеса на разработване на приложенията и извършвайте редовни оценки и одити на сигурността на LCNC приложенията. Проверявайте приложенията и автоматизациите, за да идентифицирате уязвимостите в сигурността, като например пароли по подразбиране. Оценявайте компонентите им от трети страни, за да идентифицирате зловреден код или уязвимости, и проверявайте използването на данни, за да спрете изтичането на данни. Наблюдавайте дейността на разработчиците, като търсите модификации, особено след като приложенията са били публикувани.

Демократизацията на разработването на софтуер, възможна благодарение на LCNC и RPA, може да бъде положително развитие, стига организациите да запазят видимостта, необходима за прилагане на контрол на управлението и сигурността. Но в повечето големи организации рисковете, свързани с приложенията на гражданските разработчици, често не се откриват или се пренебрегват и те остават неглижирани.

Стъпките, описани по-горе, осигуряват стабилна основа за осигуряване на сигурността на LCNC приложенията и RPA. За да обуздаете рисковете за сигурността, започнете със структуриран процес за извършване на откриване, оценка, отстраняване и управление на LCNC приложения и RPA задачи.

Автор: Яир Финци, съосновател и главен изпълнителен директор на Nokod Security