Сенчестият инженеринг – сляпото петно в сигурността

Picture of e-security.bg
e-security.bg
Важно да знаете

„Изчезнал от погледа, излязъл от съзнанието“ не е добър начин да се подходи към киберсигурността или към жизнения цикъл на сигурна разработка на софтуер. Но в бързината на цифровата трансформация много организации са изложени несъзнателно на рискове за сигурността, свързани с приложенията на гражданските разработчици.

Станали възможни благодарение на технологията low-code/no-code (LCNC), която позволява на лица без формално обучение по кодиране или разработване на софтуер лесно да създават приложения, тези приложения породиха нов термин, известен като „инженерство в сянка“. Като предоставят интуитивни интерфейси за плъзгане и пускане и генеративен изкуствен интелект (GenAI), LCNC платформите позволяват на служителите да създават и внедряват самостоятелно приложения извън компетенциите на екипа по сигурността.

Въпреки свързаните с това рискове, LCNC приложенията могат да играят значителна роля в стимулирането на цифровата трансформация. Те предлагат потенциал за генериране на значителни икономии на разходи и, което е по-важно, могат да формират гръбнака на по-голямата част от приложенията, използвани в световен мащаб.

Според Gartner почти две трети от главните информационни директори (CIO) заявяват, че техните организации планират да внедрят LCNC платформи през следващите две години или вече са ги внедрили. В доклада ИТ директорите посочват като най-критични резултати от инвестициите в цифрови технологии превъзходството в опита на клиентите или гражданите, подобряването на оперативните маржове и генерирането на приходи.

LCNC и роботизираната автоматизация на процесите (RPA) демократизираха разработването на приложения, като го поставиха в обсега на потребителите без умения за кодиране. Инженерингът в сянка обаче създава и мъртва зона за сигурност, която излага организациите на рискове, които те не могат да предвидят.

С помощта на платформи за приложения с ниско ниво на кодиране/без кодиране (LCAP) – като Microsoft Power Apps и Power Automate, UiPath, Automation Anywhere или ServiceNow – бизнес потребителите създават приложения и автоматизации, които заобикалят установения жизнен цикъл на разработване на софтуер (SDLC) и неговите процеси за гарантиране на сигурността.

Сенчестото инженерство оставя екипите по сигурността с малък или никакъв контрол върху LCNC приложенията, които гражданските разработчици могат да внедряват. Тези приложения също така заобикалят обичайните тестове на кода, предназначени да сигнализират за софтуерни уязвимости и неправилни конфигурации, които могат да доведат до пробив. Тази липса на видимост пречи на организациите да прилагат политики, които да ги поддържат в съответствие с корпоративните или индустриалните стандарти за сигурност.

Например нискокодова автоматизация, създадена от екипа по продажбите за обработка на плащания с кредитни карти, може да доведе до изтичане на чувствителни данни и да наруши изискванията на PCI DSS, като същевременно е невидима за екипа по операциите по сигурността.

Осветляване на сенчестия инженеринг

Адресирането на рисковете, свързани със сенчестото инженерство, изисква прилагането на традиционните принципи за сигурност на приложенията към LCNC приложенията, които включват следните най-добри практики:

  • Открийте и проследете: Липсата на видимост е основният риск, свързан с инженерството в сянка, и е добро място за започване на ограничаване на рисковете. Открийте и инвентаризирайте всички LCNC приложения и автоматизации, за да идентифицирате и премахнете всички излишни или остарели такива, и отделете всички приложения в реално време, които трябва да бъдат под контрола на политиката на компанията.
  • Защита на приложенията: LCNC приложенията се сблъскват с много от същите проблеми, които се срещат в конвенционално разработения софтуер, като например твърдо кодирани или пароли по подразбиране и изтичане на данни. Едно обикновено приложение, което пита служителите за размера на тениската им за фирмено събитие, може да даде на хакерите достъп до техните HR файлове и защитени данни. LCNC приложенията трябва рутинно да се оценяват за заплахи и уязвимости, за да могат да бъдат открити и отстранени. Междувременно контролите по време на изпълнение могат да се използват за откриване на злонамерено поведение в приложенията и автоматите или от приложенията в домейна.
  • Осигуряване на съответствие: Гражданските разработчици може да не са наясно с разпоредби като GDPR, CCPA, HIPAA, PCI DSS и др. Създайте и прилагайте политики за сигурност на LCNC, за да откривате и предотвратявате нарушения.
  • Дайте възможност на гражданските разработчици: Дайте на гражданските разработчици насоки с лесни за разбиране термини, за да им помогнете сами да отстранят рисковете възможно най-бързо и лесно. Сътрудничете си с бизнес разработчиците, за да гарантирате, че сигурността е интегрирана в процеса на разработване на приложенията на LCNC занапред.
  • Наблюдавайте редовно: Сигурността никога не е еднократна мярка. Извършвайте редовно наблюдение на процеса на разработване на приложенията и извършвайте редовни оценки и одити на сигурността на LCNC приложенията. Проверявайте приложенията и автоматизациите, за да идентифицирате уязвимостите в сигурността, като например пароли по подразбиране. Оценявайте компонентите им от трети страни, за да идентифицирате зловреден код или уязвимости, и проверявайте използването на данни, за да спрете изтичането на данни. Наблюдавайте дейността на разработчиците, като търсите модификации, особено след като приложенията са били публикувани.

 

Демократизацията на разработването на софтуер, възможна благодарение на LCNC и RPA, може да бъде положително развитие, стига организациите да запазят видимостта, необходима за прилагане на контрол на управлението и сигурността. Но в повечето големи организации рисковете, свързани с приложенията на гражданските разработчици, често не се откриват или се пренебрегват и те остават неглижирани.

Стъпките, описани по-горе, осигуряват стабилна основа за осигуряване на сигурността на LCNC приложенията и RPA. За да обуздаете рисковете за сигурността, започнете със структуриран процес за извършване на откриване, оценка, отстраняване и управление на LCNC приложения и RPA задачи.

Автор: Яир Финци, съосновател и главен изпълнителен директор на Nokod Security

#анализи, # тенденции
DARKReading

Подобни

DeepSeek V3.2: Най-евтиният висококласов ИИ модел разклаща глобалната надпревара
4.12.2025
DeepSeek
Anthropic: ИИ експлойтите вече са реалност
3.12.2025
Ai4DiAVrpDttefnJnUpnvh-970-80.jpg
Kакво спира прехода към Windows 11 след края на поддръжката на Windows 10
3.12.2025
windows-10-1535765_1280
„Rage bait“ е думата на годината за 2025 според Oxford University Press
2.12.2025
fish-2006060_640
Вътрешните заплахи в ерата на ИИ
2.12.2025
cyber-security-1721662_960_720
Proton разкрива мащаба на търговията с откраднати удостоверения
2.12.2025
Proton

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Черният петък - реални сделки или маркетингов мираж?
27.11.2025
black_cat_Saro_o_Neal_Alamy
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.