„Изчезнал от погледа, излязъл от съзнанието“ не е добър начин да се подходи към киберсигурността или към жизнения цикъл на сигурна разработка на софтуер. Но в бързината на цифровата трансформация много организации са изложени несъзнателно на рискове за сигурността, свързани с приложенията на гражданските разработчици.
Станали възможни благодарение на технологията low-code/no-code (LCNC), която позволява на лица без формално обучение по кодиране или разработване на софтуер лесно да създават приложения, тези приложения породиха нов термин, известен като „инженерство в сянка“. Като предоставят интуитивни интерфейси за плъзгане и пускане и генеративен изкуствен интелект (GenAI), LCNC платформите позволяват на служителите да създават и внедряват самостоятелно приложения извън компетенциите на екипа по сигурността.
Въпреки свързаните с това рискове, LCNC приложенията могат да играят значителна роля в стимулирането на цифровата трансформация. Те предлагат потенциал за генериране на значителни икономии на разходи и, което е по-важно, могат да формират гръбнака на по-голямата част от приложенията, използвани в световен мащаб.
Според Gartner почти две трети от главните информационни директори (CIO) заявяват, че техните организации планират да внедрят LCNC платформи през следващите две години или вече са ги внедрили. В доклада ИТ директорите посочват като най-критични резултати от инвестициите в цифрови технологии превъзходството в опита на клиентите или гражданите, подобряването на оперативните маржове и генерирането на приходи.
LCNC и роботизираната автоматизация на процесите (RPA) демократизираха разработването на приложения, като го поставиха в обсега на потребителите без умения за кодиране. Инженерингът в сянка обаче създава и мъртва зона за сигурност, която излага организациите на рискове, които те не могат да предвидят.
С помощта на платформи за приложения с ниско ниво на кодиране/без кодиране (LCAP) – като Microsoft Power Apps и Power Automate, UiPath, Automation Anywhere или ServiceNow – бизнес потребителите създават приложения и автоматизации, които заобикалят установения жизнен цикъл на разработване на софтуер (SDLC) и неговите процеси за гарантиране на сигурността.
Сенчестото инженерство оставя екипите по сигурността с малък или никакъв контрол върху LCNC приложенията, които гражданските разработчици могат да внедряват. Тези приложения също така заобикалят обичайните тестове на кода, предназначени да сигнализират за софтуерни уязвимости и неправилни конфигурации, които могат да доведат до пробив. Тази липса на видимост пречи на организациите да прилагат политики, които да ги поддържат в съответствие с корпоративните или индустриалните стандарти за сигурност.
Например нискокодова автоматизация, създадена от екипа по продажбите за обработка на плащания с кредитни карти, може да доведе до изтичане на чувствителни данни и да наруши изискванията на PCI DSS, като същевременно е невидима за екипа по операциите по сигурността.
Адресирането на рисковете, свързани със сенчестото инженерство, изисква прилагането на традиционните принципи за сигурност на приложенията към LCNC приложенията, които включват следните най-добри практики:
Демократизацията на разработването на софтуер, възможна благодарение на LCNC и RPA, може да бъде положително развитие, стига организациите да запазят видимостта, необходима за прилагане на контрол на управлението и сигурността. Но в повечето големи организации рисковете, свързани с приложенията на гражданските разработчици, често не се откриват или се пренебрегват и те остават неглижирани.
Стъпките, описани по-горе, осигуряват стабилна основа за осигуряване на сигурността на LCNC приложенията и RPA. За да обуздаете рисковете за сигурността, започнете със структуриран процес за извършване на откриване, оценка, отстраняване и управление на LCNC приложения и RPA задачи.
Автор: Яир Финци, съосновател и главен изпълнителен директор на Nokod Security
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.