Copilotos e aplicativos de baixo código estão criando uma nova ‘vasta superfície de ataque’ – 4 maneiras de corrigir isso

É provável que as grandes empresas médias de hoje tenham quase 80.000 aplicativos construídos a partir de copilotos e plataformas de baixo código. Isto representa um potencial pesadelo de segurança, já que mais de seis em cada dez, 62%, têm vulnerabilidades de segurança, conclui um estudo recente.

O estudo divulgado pela Zenity conclui que os copilotos empresariais e o desenvolvimento de baixo código estão observando um crescimento de 40% ano a ano no uso dessas ferramentas. O estudo baseia-se em dados levantados e recolhidos junto de grandes organizações, mas as implicações são igualmente aplicáveis ​​às pequenas e médias empresas.

Além disso: a linha entre desenvolvedores cidadãos e profissionais de TI fica mais confusa

Atualmente, o cliente empresarial típico no estudo tem uma média de 79.602 aplicativos construídos em vários copilotos e plataformas de baixo código. Em comparação, os autores do estudo estimam que uma grande empresa média tenha pelo menos 473 aplicativos baseados em SaaS.

Os autores do estudo definem “copilots” como a gama de ferramentas e plataformas sem código e com pouco código, incluindo Microsoft Copilot, Power Platform, Salesforce, ServiceNow, Zapier, OpenAI e muito mais. A grande organização média tem cerca de sete plataformas copiloto e de baixo código em uso, estimam.

Entre os 80 mil aplicativos e copilotos desenvolvidos fora do ciclo de vida tradicional de desenvolvimento de software, há cerca de 50 mil vulnerabilidades, conclui o estudo. O principal risco citado é que “os usuários empresariais tenham a capacidade de criar aplicativos e copilotos sem a necessidade de experiência em codificação e sem proteções de segurança adequadas”, observam os autores do estudo. Os principais riscos técnicos observados nas plataformas copiloto e de baixo código incluem uso indevido de autorização, falhas de autenticação e manipulação de dados e segredos, conclui o estudo.

“No desenvolvimento tradicional de aplicativos, os aplicativos são cuidadosamente construídos ao longo do ciclo de vida de desenvolvimento do software, onde cada aplicativo é continuamente planejado, projetado, implementado, medido e analisado”, explicam. “No entanto, no desenvolvimento de aplicações empresariais modernas, não existem tais verificações e equilíbrios e surge uma nova forma de shadow IT.”

Dentro da gama de soluções de copiloto, “qualquer pessoa pode criar e acessar aplicativos de negócios e copilotos poderosos que acessam, transferem e armazenam dados confidenciais e contribuem para operações comerciais críticas com apenas alguns cliques do mouse ou uso de prompts de texto em linguagem natural”, o estudo adverte. “A velocidade e a magnitude desta nova onda de desenvolvimento de aplicações criam uma nova e vasta superfície de ataque”.

Além disso: os dados sugerem que a geração AI aumenta a produtividade do software – para esses desenvolvedores

Muitas empresas que incentivam o desenvolvimento de copiloto e low-code “não estão aceitando totalmente que precisam contextualizar e compreender não apenas quantos aplicativos e copilotos estão sendo construídos, mas também o contexto de negócios, como com quais dados o aplicativo interage, a quem se destina para o qual e qual a função comercial que ele pretende cumprir.”

Como resultado, “há muitas vulnerabilidades e configurações incorretas que são difíceis de contextualizar e definir quem precisa fazer o que para mitigar os riscos”.

O acesso de convidados não confiáveis ​​por meio de aplicativos copiloto e de baixo código é outro problema. “A empresa média no estudo tem mais de 8.641 casos de usuários convidados não confiáveis ​​que têm acesso a aplicativos desenvolvidos por meio de copilotos e low-code”, mostra o estudo. Mais de 72% desses casos “fornecem acesso privilegiado a convidados não confiáveis; o que significa que convidados não monitorados e não gerenciados podem criar, modificar ou excluir esses aplicativos”.

Além disso: codifique mais rápido com IA generativa, mas tome cuidado com os riscos ao fazê-lo

Aqui estão algumas das etapas que os autores do estudo recomendam para resolver essas vulnerabilidades:

• Configure a segurança antecipadamente: Certifique-se de que os controles estejam em vigor “para sinalizar qualquer aplicativo que contenha um segredo codificado ou uma etapa insegura na forma como ele recupera credenciais”, eles insistem. “Contextualizar os aplicativos que estão sendo desenvolvidos para garantir que os aplicativos comerciais críticos que também entram em contato com dados internos confidenciais tenham controles de autenticação adequados. Feito isso, garantir que a autenticação adequada esteja em vigor para aplicativos que exigem acesso a dados confidenciais é uma prioridade. prioridade.”
• Estabeleça guarda-corpos: “Devido à natureza dos copilotos e da IA ​​em geral, é necessário implementar proteções rígidas para evitar o compartilhamento excessivo de aplicativos, a ponte desnecessária entre o acesso a dados confidenciais por meio da IA, o compartilhamento de interações do usuário final com os copilotos e muito mais. Sem eles, as empresas são encarando riscos aumentados de injeção imediata maliciosa e vazamento de dados.”
• Regular o acesso de convidados: Os usuários convidados “são submetidos a diferentes padrões de segurança como funcionários em tempo integral, mas ainda possuem acesso privilegiado a aplicativos e copilotos construídos em plataformas de baixo código”, apontam os autores do estudo. É fundamental “limitar o acesso de aplicativos e copilotos apenas a quem precisa deles para desempenhar suas respectivas funções”.
• Repense os conectores para dados confidenciais: Entenda quais aplicativos estão conectados a dados confidenciais, recomendam os autores. “Em seguida, estabeleça como os dados são enviados e recebidos para esses aplicativos, garantindo que todos os conectores, especialmente aqueles que acessam dados confidenciais, estejam usando chamadas HTTPS”.