越来越多的企业正在使用副驾驶和低代码平台,使员工(即使是那些技术专长很少或没有技术专长的员工)能够创建强大的副驾驶和业务应用程序,以及处理大量数据。 Zenity 的一份新报告《2024 年企业副驾驶和低代码开发状况》发现,平均而言,企业有大约 80,000 个在标准软件开发生命周期(SDLC)之外创建的应用程序和副驾驶。
这一发展既带来了新机遇,也带来了新风险。在这 8 万个应用程序和副驾驶中,大约有 5 万个漏洞。报告指出,这些应用程序和副驾驶正在以惊人的速度发展。因此,它们正在产生大量漏洞。
企业副驾驶和应用程序的风险
通常,软件开发人员会按照定义的 SDLC(安全开发生命周期)精心构建应用程序,每个应用程序都会不断进行设计、部署、测量和分析。但今天,这些护栏已不复存在。没有开发经验的人现在可以在 Power Platform、Microsoft Copilot、OpenAI、ServiceNow、Salesforce、UiPath、Zapier 等中构建和使用高性能的副驾驶和业务应用程序。这些应用程序在传输和存储敏感数据时有助于业务运营。该领域的增长非常显著;报告发现,低代码开发和副驾驶的采用率同比增长了 39%。
由于绕过了 SDLC,漏洞无处不在。许多企业热情地拥抱这些功能,却没有充分认识到他们需要了解正在创建多少副驾驶和应用程序,以及它们的业务背景。例如,他们需要了解这些应用程序和副驾驶是为谁准备的,应用程序与哪些数据交互,以及它们的业务目的是什么。他们还需要知道是谁在开发它们。由于他们通常不知道,而且由于标准开发实践被绕过,这就形成了一种新的影子 IT。
这使得安全团队陷入困境,因为他们需要面对许多由不同业务线的业务用户在他们不知情的情况下构建的副驾驶、应用程序、自动化和报告。报告发现,OWASP (开放式 Web 应用程序安全项目)十大风险类别在企业中无处不在。平均而言,一家企业有 49,438 个漏洞。这意味着 62% 的副驾驶和通过低代码构建的应用程序包含某种安全漏洞。
了解不同类型的风险
副驾驶员之所以具有如此重大的潜在威胁,是因为他们使用凭证、可以访问敏感数据,并且具有难以控制的内在好奇心。事实上,使用低代码平台构建的副驾驶员中有 63% 与其他人共享过多信息,其中许多人接受未经身份验证的聊天。这为可能的即时注入攻击带来了巨大风险。
由于副驾驶的运作方式和人工智能的一般运作方式,必须采取严格的安全措施,以防止与副驾驶共享最终用户交互、与太多人或错误的人共享应用程序、通过人工智能不必要地授予敏感数据访问权限等。如果不采取这些措施,企业将面临更大的数据泄露和恶意提示注入的风险。
另外两个重大风险是:
远程 Copilot 执行 (RCE) – 这些漏洞代表了特定于 AI 应用程序的攻击途径。此 RCE 版本允许外部攻击者完全控制 M365 的 Copilot,并只需发送一封电子邮件、日历邀请或 Teams 消息即可强制其服从命令。
来宾帐户:攻击者只需使用一个来宾帐户和一个低代码平台的试用许可证(通常在多种工具中免费提供),即可登录企业的低代码平台或副驾驶。进入后,攻击者切换到目标目录,然后在平台上拥有域管理员级别的权限。因此,攻击者会寻找这些导致安全漏洞的来宾帐户。以下数据点应该引起企业领导者及其安全团队的恐惧:典型的企业有超过 8,641 个不受信任的来宾用户实例,这些用户可以访问通过低代码和副驾驶开发的应用程序。
需要一种新的安全方法
安全团队可以采取什么措施来应对这种无处不在、无定形且至关重要的风险?他们需要确保已实施控制措施,以便在任何应用程序的凭证检索过程中出现不安全步骤或硬编码机密时向他们发出警报。他们还必须为正在创建的任何应用程序添加上下文,以确保对任何有权访问敏感内部数据的业务关键型应用程序都有适当的身份验证控制。
部署这些策略后,下一个优先事项是确保为需要访问敏感数据的应用程序设置适当的身份验证。此后,最佳做法是设置凭证,以便可以从凭证或机密库中安全地检索它们,这将确保密码不会以明文或纯文本形式保存。
保障你的未来
低代码和副驾驶开发的魔力已经从瓶子里释放出来,因此试图将其重新放回瓶子里是不现实的。相反,企业需要意识到风险并实施控制措施,以确保其数据安全并得到妥善管理。在这个以业务为主导的新时代,安全团队面临着许多挑战,但通过遵守上述建议,他们将处于最佳位置,以安全地将企业副驾驶和低代码开发平台提供的创新和生产力带向崭新的未来。
原创文章,作者:点点,如若转载,请注明出处:https://www.dian8dian.com/ying-dui-fu-jia-shi-de-an-quan-feng-xian