Düşük kodlu/kodsuz (LCNC) platformlar, vatandaş geliştiricilerin uygulama geliştirmesine olanak tanır ve genellikle güvenlik gözetiminden kaçan “gölge mühendislik” projeleri üretir. Power BI raporları ve otomatikleştirilmiş iş akışları gibi LCNC çözümleri çevikliği ve yenilikçiliği desteklerken aynı zamanda veri sızıntısı gibi önemli riskleri de beraberinde getirir.
LCNC’de veri sızıntısı riskleri
LCNC ortamlarındaki en büyük güvenlik endişelerinden biri hassas varlıkların yanlışlıkla açığa çıkmasıdır.
Örnekler şunları içerir:
- Yanlış yapılandırılmış uygulamalar: Raporlar, veri portalları ve yapay zeka aracıları gibi LCNC tarafından oluşturulan varlıklar, kasıtsız olarak kamuya açıklanarak kritik verilerin açığa çıkmasına neden olabilir. Resmi eğitim almayan vatandaş geliştiriciler bu maruziyetin boyutunu anlayamayabilir.
- Güvenli olmayan veri akışları: Otomasyonlar genellikle hassas verileri yanlış yönetir ve bunları bir çalışanın OneDrive’ı veya yaygın olarak erişilebilen bir SharePoint sitesi gibi onaylanmamış konumlarda depolar ve bu da güvenlik ve uyumluluk ihlallerine yol açar. Bazı iş akışları, verileri iletmek için şifrelenmemiş kanallar veya güvenli olmayan protokoller kullanır ve bu da riski artırır.
- Verilerin kötüye kullanılması: Deneyimsiz LCNC geliştiricileri, dahili bilgi göndermek için kişisel e-posta kullanmak, dosyalara veya SharePoint listelerine anonim erişim bağlantıları oluşturmak veya giden URL’lere gömülü kimlik bilgilerini açığa çıkarmak gibi hassas verileri istemeden harici olarak paylaşabilir.
Geleneksel güvenlik kontrolleri neden yeterli değil?
LCNC platformları, geleneksel güvenlik araçlarının erişim alanı dışında çalışarak BT ekiplerinin veri akışlarını izlemesini ve politikaları uygulamasını zorlaştırıyor. Temel zorluklar şunları içerir:
- Boğulma noktalarının eksikliği: Geleneksel DLP çözümleri uç noktaları ve ağ geçitlerini izler ancak LCNC veri akışları bu kontrolleri tamamen atlar.
- Kontrolsüz paylaşım: Kullanıcıların Google Drive veya SharePoint gibi platformlarda depolanan dosyalar için paylaşım bağlantıları oluşturması yaygın bir durumdur. Bu bağlantılar, DLP korumalarını ve diğer güvenlik önlemlerini atlayarak, gözetim olmadan dahili ve harici olarak paylaşılabilir.
- Dağıtım hızı: Vatandaş geliştiricileri yeni uygulamaları ve otomasyonları, çoğu zaman standart güvenlik protokollerini takip etmeden hızlı bir şekilde başlatabilirler. Daha büyük kuruluşlarda bu, her biri veri sızıntısı potansiyeli olan yüzlerce hatta binlerce izlenmeyen uygulamaya yol açabilir.
Bu zorluklar, kuruluşların geleneksel kontrollerin gideremediği boşlukları kapatmak için neden LCNC’ye özgü güvenlik önlemlerini benimsemeleri gerektiğini vurguluyor.
LCNC’de veri sızıntısını azaltma
LCNC ortamlarının oluşturduğu benzersiz riskler göz önüne alındığında, veri sızıntısını en aza indirmeye yönelik bazı en iyi uygulamalar şunlardır:
- Veri akışlarını izleyin: LCNC uygulamalarında hareket eden verileri izleyen izleme sistemlerini uygulayın. Güvenlik ekipleri, kaynaktan hedefe veri akışlarının bir haritasını oluşturarak sızıntıya işaret edebilecek olağandışı hareketleri tespit edebilir. Bu görünürlük, potansiyel sızıntıların gerçekleşmeden önce tespit edilmesi açısından önemlidir.
- Veri akışı politikalarını uygulayın: LCNC veri akışlarının kurumsal depolama veya güvenli API’ler gibi onaylanmış, izlenen kanalları kullanmasını zorunlu kılın. Bu, DLP ve erişim günlüğü gibi güvenlik kontrolleriyle uyumluluğu sağlar, görünürlük sağlar ve açığa çıkma veya yetkisiz erişim risklerini azaltır.
- Herkese açık kaynakları belirleyin: Portallar, botlar ve raporlar gibi LCNC platformları tarafından oluşturulan halka açık kaynakları tespit etmek için mekanizmalar oluşturun. Hassas kurumsal verileri açığa çıkarmadıklarından emin olmak için bu varlıkları inceleyin.
- Zaman içinde genel erişilebilirliği izleyin: Paylaşılan bağlantılar, API’ler veya dosyalar gibi halka açık olabilecek kaynaklar açısından LCNC uygulamalarını sürekli olarak denetlemek için sistemler uygulayın. Periyodik taramalar yeni güvenlik açıklarını ortaya çıkararak kuruluşların kaynak erişilebilirliğindeki değişiklikleri hızlı bir şekilde tespit etmesine ve ele almasına olanak tanır.
- Otomasyonlara izinler ve kontroller uygulayın: Riski azaltmak için LCNC araçları içindeki otomasyonların kapsamını sınırlayın. Örneğin, hassas veri havuzlarına erişimi kısıtlayın veya yalnızca belirli kullanıcı gruplarının iş akışları oluşturmasına izin verin. Kuruluşlar katı izinler uygulayarak, yetkisiz verilerin açığa çıkması olasılığını en aza indirebilir.
LCNC güvenliğini artırma
Bazı kuruluşların her yıl binlerce uygulama ve otomasyon geliştirmesiyle LCNC’nin benimsenmesi hızlanıyor. Bu büyüme, inovasyonu engellemeden LCNC ortamlarını geniş ölçekte güvence altına alması gereken güvenlik profesyonelleri için ek zorluklar ortaya çıkarıyor.
İşte yardımcı olacak bazı stratejiler:
- Denetimi merkezileştirin: LCNC uygulamalarını ve otomasyonlarını incelemek ve onaylamaktan sorumlu merkezi bir sistem veya ekip düşünün. Bu ekip, yeni uygulamaların güvenli ve veri koruma standartlarına uygun olarak oluşturulmasını sağlamak için bir kontrol noktası görevi görebilir.
- Güvenlik incelemelerini otomatikleştirin: LCNC kullanımı ölçeklendikçe manuel gözetim bir darboğaz haline gelebilir. Potansiyel riskleri ortaya çıktıkça yakalamak için yeni iş akışları ve paylaşım bağlantıları için güvenlik kontrollerini otomatikleştirin. Otomatik inceleme süreçleri, ekibinizin bunalmadan yeni otomasyonlar hakkında bilgi sahibi olmasına olanak tanır.
- Düzenli denetimler yapın: Rutin denetimler izlenmeyen uygulamaları ortaya çıkarabilir ve iş akışlarının güvenlik protokollerine uymasını sağlayabilir.
- LCNC için bir yazılım geliştirme yaşam döngüsü (SDLC) süreci oluşturun: Güvenlik ekiplerinin ve geliştiricilerin katılımını sağlayan, LCNC platformları için özel olarak tasarlanmış güvenli bir SDLC oluşturun. Geliştirme sırasında güvenlik açıklarını işaretleyen araçları kullanarak erken tespit ve düzeltmeye odaklanın.
Veri sızıntısının LCNC’nin benimsenmesinin bir yan etkisi olması gerekmez. Kuruluşlar, LCNC platformları kadar uyarlanabilir kontroller uygulayarak inovasyonu güvenlikle dengeleyebilir.