Close Menu
    Trending
    Data Science

    Mã thấp/Không có mã – InsideBIGDATA

    By No Comments13 Mins Read

    [ad_1]

    AI đang giúp người dùng doanh nghiệp tiếp cận gần hơn với công nghệ dưới mọi hình thức dễ dàng hơn bao giờ hết, bao gồm cả việc sử dụng phi công phụ để cho phép người dùng cuối tổng hợp dữ liệu, tự động hóa quy trình và thậm chí xây dựng ứng dụng bằng ngôn ngữ tự nhiên. Điều này báo hiệu sự thay đổi theo hướng tiếp cận toàn diện hơn trong phát triển phần mềm, cho phép nhiều cá nhân tham gia hơn, bất kể chuyên môn mã hóa hay kỹ năng kỹ thuật của họ.

    Những tiến bộ công nghệ này cũng có thể gây ra những rủi ro bảo mật mới mà doanh nghiệp phải giải quyết ngay bây giờ; Đơn giản là không thể bỏ qua việc phát triển phần mềm bóng tối. Thực tế là tại nhiều tổ chức, nhân viên và nhà cung cấp bên thứ ba đã sử dụng các loại công cụ này, cho dù doanh nghiệp có biết hay không. Việc không tính đến những rủi ro này có thể dẫn đến truy cập trái phép và xâm phạm dữ liệu nhạy cảm, vì lạm dụng tài khoản Microsoft 365 với PowerApps chứng minh.

    Might mắn thay, bảo mật không phải hy sinh vì năng suất. Các biện pháp bảo mật ứng dụng có thể được áp dụng cho thế giới mới này về cách thức hoạt động kinh doanh mặc dù thực tế là tính năng phát hiện quét mã truyền thống đã trở nên lỗi thời đối với loại hình phát triển phần mềm này.

    Sử dụng low-code/no-code với sự trợ giúp từ AI

    ChatGPT đã trải nghiệm việc áp dụng bất kỳ ứng dụng nào nhanh nhất từ ​​trước đến nay, cài đặt kỷ lục mới về cơ sở người dùng tăng trưởng nhanh nhất – vì vậy có thể bạn và người dùng doanh nghiệp trong tổ chức của bạn đã thử nó trong cuộc sống cá nhân và thậm chí cả công việc của họ. Trong khi ChatGPT đã thực hiện nhiều quy trình cực kỳ đơn giản cho người tiêu dùng, thì về phía doanh nghiệp, các đồng nghiệp như Microsoft Copilot, Salesforce Einstein và OpenAI Enterprise đã mang chức năng AI tổng quát tương tự đến thế giới kinh doanh. Tương tự, công nghệ AI tổng quát và các đồng nghiệp doanh nghiệp đang có tác động lớn đến sự phát triển ít mã và không cần mã.

    Trong quá trình phát triển mã ngắn/không mã truyền thống, người dùng doanh nghiệp có thể kéo và thả các thành phần riêng lẻ vào quy trình làm việc bằng cài đặt dựa trên trình hướng dẫn. Giờ đây, với AI đồng điều khiển, họ có thể nhập: “Xây dựng cho tôi một ứng dụng thu thập dữ liệu từ trang Sharepoint và gửi cho tôi thông báo qua e mail khi có thông tin mới được thêm vào, kèm theo bản tóm tắt về nội dung mới” và thế là bạn đã hiểu. Điều này xảy ra ngoài tầm nhìn của CNTT và chúng được tích hợp vào môi trường sản xuất mà không có sự kiểm tra và cân bằng mà SDLC truyền thống hoặc các công cụ CI/CD sẽ cung cấp.

    Microsoft Energy Automate là một ví dụ về nền tảng phát triển công dân được thiết kế để tối ưu hóa và tự động hóa quy trình công việc cũng như quy trình kinh doanh, đồng thời cho phép mọi người xây dựng các ứng dụng và hoạt động tự động hóa mạnh mẽ trên nền tảng đó. Giờ đây, với việc chèn Microsoft Copilot, trong nền tảng này, bạn có thể nhập lời nhắc khi một mục được thêm vào SharePoint: “Cập nhật Google Trang tính và gửi Gmail”. Trước đây, việc này đòi hỏi một quy trình gồm nhiều bước kéo và thả các thành phần cũng như kết nối tất cả các ứng dụng công việc, nhưng giờ đây bạn chỉ cần nhắc hệ thống xây dựng quy trình.

    Tất cả các trường hợp sử dụng này đều mang lại hiệu quả đáng kinh ngạc nhưng chúng thường không bao gồm kế hoạch bảo mật. Và có rất nhiều điều có thể xảy ra sai sót, đặc biệt là khi các ứng dụng này có thể dễ dàng bị chia sẻ quá mức thông qua doanh nghiệp.

    Giống như việc bạn xem xét cẩn thận weblog do ChatGPT viết đó và tùy chỉnh nó theo quan điểm riêng của mình, điều quan trọng là phải nâng cao các quy trình làm việc và ứng dụng do AI tạo ra bằng các biện pháp kiểm soát bảo mật như quyền truy cập, chia sẻ và thẻ nhạy cảm với dữ liệu. Nhưng điều này thường không xảy ra vì lý do chính là hầu hết mọi người tạo ra các quy trình công việc và tự động hóa này không có đủ kỹ năng kỹ thuật để thực hiện việc này hoặc thậm chí không biết rằng họ cần phải làm vậy. Vì lời hứa của AI đồng điều khiển trong việc xây dựng ứng dụng là nó sẽ làm việc cho bạn nên nhiều người không nhận ra rằng các biện pháp kiểm soát bảo mật chưa được tích hợp hoặc tinh chỉnh.

    Vấn đề rò rỉ dữ liệu

    Rủi ro bảo mật chính bắt nguồn từ sự phát triển được hỗ trợ bởi AI là rò rỉ dữ liệu. Khi bạn đang xây dựng các ứng dụng hoặc máy điều khiển phụ, bạn có thể xuất bản chúng để sử dụng rộng rãi hơn trên toàn công ty cũng như trong ứng dụng và thị trường máy điều khiển phụ. Để các phi công phụ của doanh nghiệp vừa tương tác với dữ liệu theo thời gian thực vừa tương tác với các hệ thống bên ngoài hệ thống đó (tức là nếu bạn muốn Microsoft Copilot tương tác với Salesforce), bạn cần có một plugin. Vì vậy, giả sử người lái phụ mà bạn đã xây dựng cho công ty của mình tạo ra hiệu quả và năng suất cao hơn và bạn muốn chia sẻ điều đó với nhóm của mình. Chà, cài đặt mặc định cho nhiều công cụ này là không yêu cầu xác thực trước khi những công cụ khác tương tác với phi công phụ của bạn.

    Điều đó có nghĩa là nếu bạn xây dựng hệ thống lái phụ và xuất bản nó để Nhân viên A và B có thể sử dụng thì tất cả các nhân viên khác cũng có thể sử dụng nó – họ thậm chí không cần xác thực để làm như vậy. Trên thực tế, bất kỳ ai trong đối tượng thuê đều có thể sử dụng nó, kể cả những người dùng khách ít được tin cậy hơn hoặc bị giám sát như nhà thầu bên thứ ba. Điều này không chỉ giúp công chúng có khả năng chơi đùa với phi công phụ này mà còn giúp những kẻ xấu truy cập vào ứng dụng/bot dễ dàng hơn và sau đó thực hiện một cuộc tấn công tiêm nhiễm ngay lập tức. Hãy coi các cuộc tấn công tiêm nhắc nhanh chóng giống như việc ngắt mạch bot để khiến nó ghi đè chương trình của nó và cung cấp cho bạn thông tin mà lẽ ra nó không nên cung cấp. Vì vậy, việc xác thực kém sẽ dẫn đến việc một phi công phụ có quyền truy cập vào dữ liệu bị chia sẻ quá mức và sau đó dẫn đến việc lộ dữ liệu có khả năng nhạy cảm quá mức.

    Khi bạn đang xây dựng ứng dụng của mình, bạn cũng rất dễ định cấu hình sai một bước do AI hiểu nhầm lời nhắc và dẫn đến việc ứng dụng kết nối tập dữ liệu với tài khoản Gmail cá nhân của bạn. Tại một doanh nghiệp lớn, điều này đồng nghĩa với việc không tuân thủ do dữ liệu thoát ra khỏi ranh giới công ty. Ở đây cũng có rủi ro về chuỗi cung ứng, đó là bất cứ khi nào bạn chèn một thành phần hoặc ứng dụng, sẽ có nguy cơ thực sự là nó bị nhiễm, chưa được vá hoặc không an toàn và điều đó có nghĩa là ứng dụng của bạn hiện cũng đã bị nhiễm. Những plugin này có thể được người dùng cuối “tải trực tiếp” vào ứng dụng của họ và thị trường nơi lưu trữ các plugin này là một hộp đen hoàn toàn để bảo mật. Điều đó có nghĩa là hậu quả an ninh có thể xảy ra trên phạm vi rộng và thảm khốc nếu quy mô đủ lớn (tức là SolarWinds).

    Một rủi ro bảo mật khác thường gặp trong thế giới phát triển phần mềm hiện đại mới này là những gì được gọi là chia sẻ thông tin xác thực. Bất cứ khi nào bạn xây dựng một ứng dụng hoặc một bot, việc nhúng danh tính của chính bạn vào ứng dụng đó là điều rất bình thường. Vì vậy, bất cứ khi nào ai đó đăng nhập hoặc sử dụng bot đó, có vẻ như đó chính là bạn. Kết quả là đội ngũ an ninh thiếu tầm nhìn. Các thành viên trong nhóm của tài khoản có thể truy cập thông tin về khách hàng nhưng các nhân viên khác và thậm chí cả các bên thứ ba không cần quyền truy cập vào thông tin đó cũng có thể truy cập được. Điều đó cũng trở thành vi phạm GDPR và nếu bạn đang xử lý dữ liệu nhạy cảm, điều này có thể mở ra một loạt sâu mới cho các ngành được quản lý chặt chẽ như ngân hàng.

    Cách khắc phục rủi ro bảo mật

    Các doanh nghiệp có thể và nên hưởng lợi từ AI, nhưng các nhóm bảo mật cần áp dụng một số biện pháp bảo vệ nhất định để đảm bảo nhân viên và bên thứ ba có thể làm điều đó một cách an toàn.

    Các nhóm bảo mật ứng dụng cần có sự hiểu biết chắc chắn về chính xác những gì đang xảy ra trong tổ chức của họ và họ phải nhanh chóng nắm bắt được điều đó. Để tránh việc phát triển ít mã và không cần mã được hỗ trợ bởi AI trở thành cơn ác mộng về bảo mật, các nhóm cần:

    • Khả năng hiển thị đầy đủ về những gì tồn tại trên các nền tảng khác nhau này. Bạn muốn hiểu toàn cảnh AI đang được xây dựng cái gì, tại sao và bởi ai – cũng như nó đang tương tác với dữ liệu gì. Điều bạn thực sự quan tâm khi nói về bảo mật là hiểu bối cảnh kinh doanh đằng sau những gì đang được xây dựng, lý do tại sao nó được xây dựng ngay từ đầu và cách người dùng doanh nghiệp tương tác với nó.
    • Hiểu biết về các thành phần khác nhau trong mỗi ứng dụng này. Trong quá trình phát triển AI mã nguồn ngắn và tổng quát, mỗi ứng dụng là một chuỗi các thành phần giúp ứng dụng thực hiện những gì cần làm. Thông thường, các thành phần này về cơ bản được đặt trong phiên bản cửa hàng ứng dụng mà bất kỳ ai cũng có thể tải xuống và chèn vào các ứng dụng của công ty cũng như đồng nghiệp. Sau đó, những điều đó đã chín muồi cho một cuộc tấn công chuỗi cung ứng, nơi kẻ tấn công có thể tải một thành phần có chứa ransomware hoặc phần mềm độc hại. Hơn nữa, mọi ứng dụng sau đó chèn thành phần đó vào đó đều bị xâm phạm. Vì vậy, bạn cũng muốn hiểu sâu về các thành phần trong từng ứng dụng này trên toàn doanh nghiệp để có thể nhận diện được rủi ro. Điều này được thực hiện bằng Phân tích thành phần phần mềm (SCA) và/hoặc hóa đơn vật liệu phần mềm (SBOM) cho AI tổng quát và mã thấp.
    • Cái nhìn sâu sắc về các lỗi và cạm bẫy: Bước thứ ba là xác định tất cả các lỗi đã xảy ra kể từ khi ứng dụng được xây dựng và có thể khắc phục chúng nhanh chóng, chẳng hạn như ứng dụng nào có thông tin xác thực được mã hóa cứng, ứng dụng nào có quyền truy cập và đang rò rỉ dữ liệu nhạy cảm, v.v. Do tốc độ và khối lượng mà các ứng dụng này đang được xây dựng (hãy nhớ rằng không có SDLC và không có sự giám sát của CNTT) nên có thể không chỉ có vài chục ứng dụng cần xem xét. Các nhóm bảo mật được giao nhiệm vụ quản lý hàng chục và hàng trăm nghìn ứng dụng riêng lẻ (hoặc nhiều hơn). Đó có thể là một thách thức lớn. Để theo kịp, các nhóm bảo mật nên triển khai các biện pháp bảo vệ để đảm bảo rằng bất cứ khi nào ứng dụng hoặc phi công phụ có rủi ro được giới thiệu, chúng sẽ được xử lý nhanh chóng; có thể là thông qua các cảnh báo cho nhóm bảo mật, cách ly các ứng dụng đó, xóa kết nối, v.v.

    Làm chủ công nghệ phát triển
    AI đang dân chủ hóa việc sử dụng nền tảng ít mã/không mã và cho phép người dùng doanh nghiệp trên toàn doanh nghiệp được hưởng lợi từ việc tăng năng suất và hiệu quả. Nhưng nhược điểm là các quy trình làm việc và tự động hóa mới không được tạo ra với mục đích bảo mật, điều này có thể nhanh chóng dẫn đến các vấn đề như rò rỉ và đánh cắp dữ liệu. Thần đèn AI ​​sáng tạo sẽ không quay trở lại trong chai, điều đó có nghĩa là các nhóm bảo mật ứng dụng phải đảm bảo họ có bức tranh toàn cảnh về quá trình phát triển mã thấp/không mã đang diễn ra trong tổ chức của họ và đặt các rào chắn bảo vệ phù hợp vào đúng vị trí. Tin vui là bạn không phải hy sinh năng suất để bảo mật nếu làm theo các mẹo nêu trên.

    Giới thiệu về tác giả

    Ben Kliger, Giám đốc điều hành và đồng sáng lập, sự thoải mái.

    Đăng ký miễn phí InsideBIGDATA bản tin.

    Tham gia với chúng tôi trên Twitter: https://twitter.com/InsideBigData1

    Tham gia với chúng tôi trên LinkedIn: https://www.linkedin.com/company/insidebigdata/

    Tham gia cùng chúng tôi trên Fb: https://www.facebook.com/insideBIGDATANOW



    [ad_2]

    Source link

    Share.

    Related Posts

    Add A Comment
    Leave A Reply