مقابله با خطرات امنیتی خلبانان

aiweblog


بیشتر و بیشتر، شرکت‌ها از کوپیلوت‌ها و پلت‌فرم‌های کم‌کد استفاده می‌کنند تا کارمندان – حتی آن‌هایی که تخصص فنی کمی دارند یا اصلاً تخصص ندارند – بتوانند نسخه‌های کمکی قدرتمند و برنامه‌های تجاری بسازند و همچنین حجم وسیعی از داده‌ها را پردازش کنند. گزارش جدید Zenity، وضعیت کوپایلوت‌های سازمانی و توسعه کد پایین در سال 2024، دریافت که به طور متوسط، شرکت ها حدود 80000 برنامه و نسخه کمکی دارند که خارج از چرخه عمر توسعه نرم افزار استاندارد (SDLC).

این توسعه فرصت های جدید اما خطرات جدیدی را نیز ارائه می دهد. در بین این 80000 برنامه و نسخه کمکی تقریباً 50000 آسیب پذیری وجود دارد. این گزارش خاطرنشان کرد که این برنامه‌ها و نسخه‌های کمکی با سرعت سرسام‌آوری در حال تکامل هستند. در نتیجه، آنها تعداد زیادی آسیب پذیری ایجاد می کنند.

خطرات کمک خلبان ها و برنامه های سازمانی

به طور معمول، توسعه‌دهندگان نرم‌افزار برنامه‌ها را با دقت در طول یک SDLC (چرخه عمر توسعه امن) تعریف شده می‌سازند که در آن هر برنامه به طور مداوم طراحی، استقرار، اندازه‌گیری و تجزیه و تحلیل می‌شود. اما امروزه دیگر این گاردریل ها وجود ندارند. افرادی که هیچ تجربه ای در زمینه توسعه ندارند، اکنون می توانند در Power Platform، Microsoft Copilot، OpenAI، ServiceNow، Salesforce، UiPath، Zapier و غیره، کوپیلوت ها و برنامه های تجاری پرقدرت بسازند و استفاده کنند. این برنامه‌ها در حین انتقال و ذخیره داده‌های حساس به عملیات تجاری کمک می‌کنند. رشد در این زمینه قابل توجه بوده است. این گزارش رشد 39 درصدی را در سال به سال در پذیرش توسعه کد پایین و نسخه‌های کمکی نشان می‌دهد.

در نتیجه این دور زدن SDLC، آسیب پذیری ها فراگیر می شوند. بسیاری از شرکت‌ها با اشتیاق از این قابلیت‌ها استقبال می‌کنند بدون اینکه به طور کامل این واقعیت را درک کنند که باید تعداد برنامه‌های کمکی و برنامه‌های در حال ایجاد – و همچنین زمینه کسب‌وکارشان را درک کنند. به عنوان مثال، آنها باید بدانند که برنامه‌ها و نسخه‌های کمکی برای چه کسانی طراحی شده‌اند، برنامه با کدام داده‌ها تعامل دارد و اهداف تجاری آن‌ها چیست. آنها همچنین باید بدانند چه کسی آنها را توسعه می دهد. از آنجایی که اغلب این کار را نمی کنند، و از آنجایی که رویه های توسعه استاندارد دور زده می شوند، این شکل جدیدی از IT سایه ایجاد می کند.

این تیم‌های امنیتی را در موقعیت دشواری قرار می‌دهد، زیرا بسیاری از نسخه‌ها، برنامه‌ها، اتوماسیون‌ها و گزارش‌هایی که خارج از دانش آن‌ها توسط کاربران تجاری در LoB‌های مختلف ساخته می‌شوند، قرار می‌گیرند. این گزارش نشان داد که همه OWASP (پروژه امنیتی برنامه وب باز) 10 دسته خطر برتر همه جا در سراسر شرکت ها وجود دارند. به طور متوسط، یک شرکت دارای 49438 آسیب پذیری است. این به معنای 62 درصد از برنامه‌های کمکی و برنامه‌هایی است که از طریق کد پایین ساخته شده‌اند که دارای نوعی آسیب‌پذیری امنیتی هستند.

شناخت انواع مختلف ریسک ها

خلبانان چنین تهدید بالقوه مهمی را ارائه می دهند زیرا از اعتبارنامه ها استفاده می کنند، به داده های حساس دسترسی دارند و کنجکاوی ذاتی دارند که مهار آنها را دشوار می کند. در واقع، 63 درصد از خلبان‌هایی که با پلتفرم‌های کم‌کد ساخته شده‌اند، بیش از حد با دیگران به اشتراک گذاشته شده‌اند – و بسیاری از آن‌ها چت غیرمجاز را می‌پذیرند. این امر خطر قابل توجهی را برای حملات احتمالی تزریق سریع ممکن می کند.

به دلیل نحوه عملکرد خلبان ها و نحوه عملکرد هوش مصنوعی به طور کلی، باید تدابیر ایمنی سختگیرانه ای برای جلوگیری از به اشتراک گذاری تعاملات کاربر نهایی با کمک خلبان ها، اشتراک گذاری برنامه ها با افراد بسیار زیاد یا اشتباه، اعطای دسترسی غیر ضروری به داده های حساس از طریق هوش مصنوعی، اعمال شود. و غیره اگر این اقدامات وجود نداشته باشد، شرکت‌ها در معرض افزایش قرار گرفتن در معرض نشت داده‌ها و تزریق سریع مخرب قرار می‌گیرند.

دو خطر مهم دیگر عبارتند از:

Remote Copilot Execution (RCEs) – این آسیب پذیری ها نشان دهنده یک مسیر حمله خاص برای برنامه های کاربردی هوش مصنوعی هستند. این نسخه RCE یک مهاجم خارجی را قادر می‌سازد تا کنترل کامل Copilot برای M365 را در دست بگیرد و آن را به سادگی با ارسال یک ایمیل، دعوت‌نامه تقویم یا پیام تیم‌ها مجبور به اطاعت از دستورات خود کند.

حساب‌های مهمان: با استفاده از تنها یک حساب مهمان و مجوز آزمایشی برای یک پلت‌فرم با کد پایین – معمولاً به‌صورت رایگان در چندین ابزار موجود است – مهاجم فقط باید به پلتفرم کم‌کد شرکت یا کمک‌کننده وارد شود. پس از ورود، مهاجم به دایرکتوری هدف سوئیچ می‌کند و سپس دارای امتیازات مدیریت سطح دامنه در پلتفرم است. در نتیجه، مهاجمان به دنبال این حساب های مهمان هستند که منجر به نقض امنیت شده است. در اینجا یک نقطه داده وجود دارد که باید باعث ترس رهبران سازمانی و تیم‌های امنیتی آنها شود: یک شرکت معمولی بیش از 8641 نمونه از کاربران مهمان غیرقابل اعتماد دارد که به برنامه‌هایی دسترسی دارند که از طریق کد پایین و نسخه‌های کمکی توسعه داده شده‌اند.

یک رویکرد امنیتی جدید مورد نیاز است

تیم های امنیتی در برابر این خطر فراگیر، بی شکل و بحرانی چه کاری می توانند انجام دهند؟ آن‌ها باید مطمئن شوند که کنترل‌هایی را برای هشدار دادن به هر برنامه‌ای که مرحله ناامنی در فرآیند بازیابی اعتبار یا یک رمز سخت رمزگذاری شده دارد، در نظر گرفته‌اند. آنها همچنین باید زمینه را به هر برنامه ای که ایجاد می شود اضافه کنند تا مطمئن شوند که کنترل های احراز هویت مناسب برای برنامه های مهم تجاری که به داده های داخلی حساس نیز دسترسی دارند وجود دارد.

هنگامی که این تاکتیک ها به کار گرفته شدند، اولویت بعدی این است که مطمئن شوید احراز هویت مناسب برای برنامه هایی که نیاز به دسترسی به داده های حساس دارند تنظیم شده است. پس از آن، راه‌اندازی اعتبارنامه‌ها به گونه‌ای است که بتوان آن‌ها را به‌طور ایمن از مخزن اعتبارنامه یا اسرار بازیابی کرد، که تضمین می‌کند رمزهای عبور در متن واضح یا ساده قرار نگیرند.

تضمین آینده شما

ژن توسعه کد پایین و کمکی از بطری خارج شده است، بنابراین تلاش برای بازگرداندن آن واقع بینانه نیست. در عوض، شرکت ها باید از خطرات آن آگاه باشند و کنترل هایی را در محل قرار دهند که داده های آنها را ایمن نگه می دارد و به درستی مدیریت می کند. . تیم‌های امنیتی در این دوره جدید توسعه مبتنی بر کسب‌وکار با چالش‌های زیادی مواجه شده‌اند، اما با رعایت توصیه‌های ذکر شده در بالا، آنها در بهترین موقعیت ممکن خواهند بود تا به‌طور ایمن نوآوری و بهره‌وری شرکت‌های کمکی و پلت‌فرم‌های توسعه کد پایین را به سمت یک پیشنهاد ارائه کنند. آینده جدید جسورانه



منبع:unite.ai

پست های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *