بیشتر و بیشتر، شرکتها از کوپیلوتها و پلتفرمهای کمکد استفاده میکنند تا کارمندان – حتی آنهایی که تخصص فنی کمی دارند یا اصلاً تخصص ندارند – بتوانند نسخههای کمکی قدرتمند و برنامههای تجاری بسازند و همچنین حجم وسیعی از دادهها را پردازش کنند. گزارش جدید Zenity، وضعیت کوپایلوتهای سازمانی و توسعه کد پایین در سال 2024، دریافت که به طور متوسط، شرکت ها حدود 80000 برنامه و نسخه کمکی دارند که خارج از چرخه عمر توسعه نرم افزار استاندارد (SDLC).
این توسعه فرصت های جدید اما خطرات جدیدی را نیز ارائه می دهد. در بین این 80000 برنامه و نسخه کمکی تقریباً 50000 آسیب پذیری وجود دارد. این گزارش خاطرنشان کرد که این برنامهها و نسخههای کمکی با سرعت سرسامآوری در حال تکامل هستند. در نتیجه، آنها تعداد زیادی آسیب پذیری ایجاد می کنند.
خطرات کمک خلبان ها و برنامه های سازمانی
به طور معمول، توسعهدهندگان نرمافزار برنامهها را با دقت در طول یک SDLC (چرخه عمر توسعه امن) تعریف شده میسازند که در آن هر برنامه به طور مداوم طراحی، استقرار، اندازهگیری و تجزیه و تحلیل میشود. اما امروزه دیگر این گاردریل ها وجود ندارند. افرادی که هیچ تجربه ای در زمینه توسعه ندارند، اکنون می توانند در Power Platform، Microsoft Copilot، OpenAI، ServiceNow، Salesforce، UiPath، Zapier و غیره، کوپیلوت ها و برنامه های تجاری پرقدرت بسازند و استفاده کنند. این برنامهها در حین انتقال و ذخیره دادههای حساس به عملیات تجاری کمک میکنند. رشد در این زمینه قابل توجه بوده است. این گزارش رشد 39 درصدی را در سال به سال در پذیرش توسعه کد پایین و نسخههای کمکی نشان میدهد.
در نتیجه این دور زدن SDLC، آسیب پذیری ها فراگیر می شوند. بسیاری از شرکتها با اشتیاق از این قابلیتها استقبال میکنند بدون اینکه به طور کامل این واقعیت را درک کنند که باید تعداد برنامههای کمکی و برنامههای در حال ایجاد – و همچنین زمینه کسبوکارشان را درک کنند. به عنوان مثال، آنها باید بدانند که برنامهها و نسخههای کمکی برای چه کسانی طراحی شدهاند، برنامه با کدام دادهها تعامل دارد و اهداف تجاری آنها چیست. آنها همچنین باید بدانند چه کسی آنها را توسعه می دهد. از آنجایی که اغلب این کار را نمی کنند، و از آنجایی که رویه های توسعه استاندارد دور زده می شوند، این شکل جدیدی از IT سایه ایجاد می کند.
این تیمهای امنیتی را در موقعیت دشواری قرار میدهد، زیرا بسیاری از نسخهها، برنامهها، اتوماسیونها و گزارشهایی که خارج از دانش آنها توسط کاربران تجاری در LoBهای مختلف ساخته میشوند، قرار میگیرند. این گزارش نشان داد که همه OWASP (پروژه امنیتی برنامه وب باز) 10 دسته خطر برتر همه جا در سراسر شرکت ها وجود دارند. به طور متوسط، یک شرکت دارای 49438 آسیب پذیری است. این به معنای 62 درصد از برنامههای کمکی و برنامههایی است که از طریق کد پایین ساخته شدهاند که دارای نوعی آسیبپذیری امنیتی هستند.
شناخت انواع مختلف ریسک ها
خلبانان چنین تهدید بالقوه مهمی را ارائه می دهند زیرا از اعتبارنامه ها استفاده می کنند، به داده های حساس دسترسی دارند و کنجکاوی ذاتی دارند که مهار آنها را دشوار می کند. در واقع، 63 درصد از خلبانهایی که با پلتفرمهای کمکد ساخته شدهاند، بیش از حد با دیگران به اشتراک گذاشته شدهاند – و بسیاری از آنها چت غیرمجاز را میپذیرند. این امر خطر قابل توجهی را برای حملات احتمالی تزریق سریع ممکن می کند.
به دلیل نحوه عملکرد خلبان ها و نحوه عملکرد هوش مصنوعی به طور کلی، باید تدابیر ایمنی سختگیرانه ای برای جلوگیری از به اشتراک گذاری تعاملات کاربر نهایی با کمک خلبان ها، اشتراک گذاری برنامه ها با افراد بسیار زیاد یا اشتباه، اعطای دسترسی غیر ضروری به داده های حساس از طریق هوش مصنوعی، اعمال شود. و غیره اگر این اقدامات وجود نداشته باشد، شرکتها در معرض افزایش قرار گرفتن در معرض نشت دادهها و تزریق سریع مخرب قرار میگیرند.
دو خطر مهم دیگر عبارتند از:
Remote Copilot Execution (RCEs) – این آسیب پذیری ها نشان دهنده یک مسیر حمله خاص برای برنامه های کاربردی هوش مصنوعی هستند. این نسخه RCE یک مهاجم خارجی را قادر میسازد تا کنترل کامل Copilot برای M365 را در دست بگیرد و آن را به سادگی با ارسال یک ایمیل، دعوتنامه تقویم یا پیام تیمها مجبور به اطاعت از دستورات خود کند.
حسابهای مهمان: با استفاده از تنها یک حساب مهمان و مجوز آزمایشی برای یک پلتفرم با کد پایین – معمولاً بهصورت رایگان در چندین ابزار موجود است – مهاجم فقط باید به پلتفرم کمکد شرکت یا کمککننده وارد شود. پس از ورود، مهاجم به دایرکتوری هدف سوئیچ میکند و سپس دارای امتیازات مدیریت سطح دامنه در پلتفرم است. در نتیجه، مهاجمان به دنبال این حساب های مهمان هستند که منجر به نقض امنیت شده است. در اینجا یک نقطه داده وجود دارد که باید باعث ترس رهبران سازمانی و تیمهای امنیتی آنها شود: یک شرکت معمولی بیش از 8641 نمونه از کاربران مهمان غیرقابل اعتماد دارد که به برنامههایی دسترسی دارند که از طریق کد پایین و نسخههای کمکی توسعه داده شدهاند.
یک رویکرد امنیتی جدید مورد نیاز است
تیم های امنیتی در برابر این خطر فراگیر، بی شکل و بحرانی چه کاری می توانند انجام دهند؟ آنها باید مطمئن شوند که کنترلهایی را برای هشدار دادن به هر برنامهای که مرحله ناامنی در فرآیند بازیابی اعتبار یا یک رمز سخت رمزگذاری شده دارد، در نظر گرفتهاند. آنها همچنین باید زمینه را به هر برنامه ای که ایجاد می شود اضافه کنند تا مطمئن شوند که کنترل های احراز هویت مناسب برای برنامه های مهم تجاری که به داده های داخلی حساس نیز دسترسی دارند وجود دارد.
هنگامی که این تاکتیک ها به کار گرفته شدند، اولویت بعدی این است که مطمئن شوید احراز هویت مناسب برای برنامه هایی که نیاز به دسترسی به داده های حساس دارند تنظیم شده است. پس از آن، راهاندازی اعتبارنامهها به گونهای است که بتوان آنها را بهطور ایمن از مخزن اعتبارنامه یا اسرار بازیابی کرد، که تضمین میکند رمزهای عبور در متن واضح یا ساده قرار نگیرند.
تضمین آینده شما
ژن توسعه کد پایین و کمکی از بطری خارج شده است، بنابراین تلاش برای بازگرداندن آن واقع بینانه نیست. در عوض، شرکت ها باید از خطرات آن آگاه باشند و کنترل هایی را در محل قرار دهند که داده های آنها را ایمن نگه می دارد و به درستی مدیریت می کند. . تیمهای امنیتی در این دوره جدید توسعه مبتنی بر کسبوکار با چالشهای زیادی مواجه شدهاند، اما با رعایت توصیههای ذکر شده در بالا، آنها در بهترین موقعیت ممکن خواهند بود تا بهطور ایمن نوآوری و بهرهوری شرکتهای کمکی و پلتفرمهای توسعه کد پایین را به سمت یک پیشنهاد ارائه کنند. آینده جدید جسورانه