A low-code/no code alkalmazások sötét oldala

  • 4 perc olvasási idő
zolikovacs
  • 2023.12.19.
0 Shares
0
0
0
Shares
0
0
0

A low-code/no-code (LCNC) rendszerek óriási népszerűségre tettek szert, de vajon mennyire biztonságosak? Elég figyelmet fordít-e a fejlesztők biztonsági csapata a gyors digitális átalakulás korában, amikor az üzleti felhasználóknak lehetőségük van arra, hogy gyorsan hozzanak létre alkalmazásokat?

lcnc.jpeg

A valóságot gyakorlatilag minden LCNC fejlesztő cég a szőnyeg alá söpri. Míg a LCNC alkalmazások hatékonyságot és az agilitást segítik elő, van egy sötét, biztonsági követelményekhez kötődő oldaluk. A LCNC alkalmazások biztonsága viszonylag új területet jelent és még a tapasztalt biztonsági szakemberek és csapatok is megküzdenek a LCNC alapon fejlesztett alkalmazások dinamikus természetével és mennyiségével. A LCNC fejlesztés felgyorsult üteme egyedülálló kihívás elé állítja a biztonsági szakembereket, és rámutat arra, hogy szükség van a LCNC fejlesztési környezetek biztonsági követelményeinek hatékony kezelésére irányuló erőfeszítésekre és megoldásokra.

Digitális átalakulás

Az egyik ok, amiért a biztonság háttérbe szorul, az az a gyakori aggodalom, hogy a biztonsági ellenőrzések potenciális sebességgátló tényezőt jelentenek a digitális átalakulás során. Sok LCNC fejlesztő törekszik a gyors alkalmazáskészítésre, de ezzel egyidejűleg tudtukon kívül új kockázatokat is létrehoznak.

A LCNC alkalmazások számos üzleti alkalmazást ugyanolyan kockázatoknak tesznek ki, mint a hagyományosan fejlesztett társaik. Végső soron a LCNC-hez kapcsolódóan összehangolt biztonsági megoldásokra van szükség ahhoz, hogy az üzleti siker, a folyamatosság és a biztonság egyensúlyba kerülhessen. Ezt a ma Magyarországon elérhető, magyar fejlesztésű LCNC rendszerek nem biztosítják.

A szervezetek fejest ugranak az LCNC megoldásokba, de itt az ideje, hogy felismerjék, hogy a jelenlegi IT háttér nem megfelelő az LCNC alkalmazások által okozott problémák megoldására és az adatok védelmére.

Biztonsági kihívások az LCNC környezetekben

Bár a LCNC környezetek biztonsági kihívásai hasonlónak tűnhetnek a hagyományos szoftverfejlesztéshez, az ördög a részletekben rejlik. A szoftverfejlesztés szélesebb körben történő demokratizálása, a LCNC fejlesztési környezetek, folyamatok és résztvevők nem kívánatos változásokat hoznak.

Ez a fajta decentralizált alkalmazáskészítés három fő kihívással jár.

Először is, a LCNC fejlesztők hajlamosabbak a nem szándékos, logikai hibákra, amelyek biztonsági réseket eredményezhetnek. Másodszor, a láthatóság szempontjából a biztonsági csapatok egy újfajta árnyékfejlesztői tevékenységgel állnak szemben. Harmadszor, a biztonsági csapatoknak alig, vagy egyáltalán nincs ellenőrzésük a LCNC alkalmazások életciklusa felett.

Irányítás, megfelelés, biztonság: háromszoros fenyegetés

A CISO-kat, biztonsági architekteket és csapatokat kísértő háromfejű szörny – governance, compliance és security – egyre fenyegetőbb az LCNC környezetekben. Ennek illusztrálására álljon itt néhány, természetesen nem teljes körű példa:

  • A governance kihívások az alkalmazások elavult verzióiban és a használatból kivont alkalmazásokban nyilvánulnak meg, instant problémákat okozva.
  • A compliance szabályainak megsértése, a PII kiszivárgásától a HIPAA megsértéséig, azt mutatják, hogy az LCNC alkalmazások szabályozási kerete nem olyan szilárd, mint amilyennek lennie kellene.A jogosulatlan adathozzáféréssel és az alapértelmezett jelszavakkal kapcsolatos ősi biztonsági aggályok továbbra is fennállnak, megkérdőjelezve azt a felfogást, hogy az LCNC platformok bolondbiztos védelmet nyújtanak.

Négy kulcsfontosságú biztonsági lépés

A LCNC-alkalmazások fejlesztésénél négylépcsős folyamatot lehet és kell bevezetni.

A négy alapvető lépés:

  • ·       Felfedezés – A robusztus biztonsághoz elengedhetetlen az összes alkalmazás és automatizálás átfogó átláthatóságának megteremtése és fenntartása. A pontos, naprakész leltár elengedhetetlen a vakfoltok leküzdéséhez és a megfelelő biztonsági és megfelelőségi folyamatok biztosításához.
  • Monitoring – Az átfogó monitoring magában foglalja a harmadik féltől származó komponensek értékelését, a rosszindulatú kódok hiányát megerősítő folyamatok végrehajtását és a véletlen adatszivárgások megelőzését. A kritikus adatszivárgás kockázatának hatékony elhárítása az adatfelhasználás aprólékos azonosítását és osztályozását igényli, biztosítva, hogy az alkalmazások és automatizálási rendszerek az adatokat a megfelelő osztályozásuk szerint kezeljék. A compliance irányítása magában foglalja a fejlesztői tevékenység proaktív nyomon követését és a közzététel után végrehajtott módosítások vizsgálatát.
  • Intézkedés a szabályzás megsértései esetén – A hatékony megoldás érdekében be kell vonnia az LCNC fejlesztőt. Világos kommunikációt kell használniFelfedezés – A robusztus biztonsághoz elengedhetetlen az összes alkalmazás és automatizálás átfogó átláthatóságának megteremtése és fenntartása. A pontos, naprakész leltár elengedhetetlen a vakfoltok leküzdéséhez és a megfelelő biztonsági és megfelelőségi folyamatok biztosításához.
  • Monitoring – Az átfogó monitoring magában foglalja a harmadik féltől származó komponensek értékelését, a rosszindulatú kódok hiányát megerősítő folyamatok végrehajtását és a véletlen adatszivárgások megelőzését. A kritikus adatszivárgás kockázatának hatékony elhárítása az adatfelhasználás aprólékos azonosítását és osztályozását igényli, biztosítva, hogy az alkalmazások és automatizálási rendszerek az adatokat a megfelelő osztályozásuk szerint kezeljék. A compliance irányítása magában foglalja a fejlesztői tevékenység proaktív nyomon követését és a közzététel után végrehajtott módosítások vizsgálatát.
  • Intézkedés a szabályzás megsértései esetén – A hatékony megoldás érdekében be kell vonnia az LCNC fejlesztőt. Világos kommunikációt kell használni, közérthető nyelven és az LCNC platform-specifikus terminológiával, lépésről lépésre történő javítási útmutatással kísérve. A javítási forgatókönyvek kezelése során be kell vonnia a szükséges ellenőrzési lépéseket.
  • Az alkalmazások védelme – használjon valós idejű ellenőrzéseket az alkalmazásokon és automatizálásokon belüli vagy a tartományban lévő alkalmazások által elkövetett rosszindulatú viselkedés észlelésére., közérthető nyelven és az LCNC platform-specifikus terminológiával, lépésről lépésre történő javítási útmutatással kísérve. A javítási forgatókönyvek kezelése során be kell vonnia a szükséges ellenőrzési lépéseket.
  • Az alkalmazások védelme – használjon valós idejű ellenőrzéseket az alkalmazásokon és automatizálásokon belüli vagy a tartományban lévő alkalmazások által elkövetett rosszindulatú viselkedés észlelésére.

Bár a fent vázolt lépések kellő alapot nyújtanak a biztonság megteremtéséhez, a jelenlegi alkalmazásbiztonsági stack által feltárt növekvő támadási felület valósága a helyzet újraértékelésére kényszerít bennünket. Többségében a jelenlegi biztonsági folyamatok nem eléggé skálázhatók, amikor a szervezetek hetente több tucat LCNC-alkalmazást pörgetnek ki. A manuális megközelítés hatékonysága korlátozott, különösen akkor, ha a vállalatok több LCNC platformot használnak. Itt az ideje az LCNC alkalmazások biztonságát szolgáló dedikált biztonsági megoldásoknak.

Következtetés

A jelenleg használt üzleti technológiák tájékán a low-code/no-code (LCNC) platformok szervezetek általi széles körű elfogadása új korszakot nyitott meg. Az innovációs hullám ellenére kritikus biztonsági rések vannak. A vállalkozásoknak átfogó betekintést kell nyerniük abba, hogy ezek a csúcstechnológiát képviselő alkalmazások megfelelnek-e a biztonsági követelményeknek, nem tartalmaznak-e sebezhetőségeket. Ez a bővülő támadási felület, amelyet a jelenlegi alkalmazásbiztonsági intézkedések gyakran nem vesznek észre, és ezek jelentős kockázatot jelentenek.

0
0
0
Share 0
Tweet 0
Post written by:
Follow
Előző cikk
Következő Cikk
You May Also Like