Düşük kodlu ve kodsuz uygulama geliştirme platformları, uzun geliştirme birikimlerine hızlı geçici çözümler arayan iş grupları arasında daha fazla geçerlilik kazandıkça, uygulama güvenliğiyle ilgili endişeler artıyor.
Düşük kod hareketi, geliştiricilerin çalışmalarını hızlandırarak ve teknik olmayan iş kullanıcılarının kendi uygulamalarını oluşturmalarını ve mühendislik ekibiyle çalışmaya ihtiyaç duymadan mevcut araçlara yeni özellikler eklemelerini sağlayarak yazılım mühendisliği çevikliğini artırır. Düşük kodlu geliştirme, büyük dijital dönüşüm özlemleri olan yöneticiler için karşı konulamaz türden zarif bir basitlik sunar.
Ancak bu tür “işe yarıyor” opaklığı, siber güvenlik gazilerinin tüylerini ürpertiyor. Gelişmekte olan teknoloji döngüleri konusunda deneyime sahip herhangi bir güvenlik uzmanı, ne tür canavarlarla uğraştığımızı henüz tam olarak belirlememiş olsalar bile, içgüdüsel olarak sularda düşük kodlu/kodsuz için bekleyen ejderhalar olduğunu anlar. henüz neredeler.
Low-Code/No-Code OWASP İlk 10’un yazarı Michael Bargury, San Francisco’daki RSA Konferansı’nda low-code/no-code’un en büyük güvenlik risklerinden bazılarının gerçek doğasını açıklayacak. Bunların en önemlisi, kuruluşların rol tabanlı erişim kontrolü ve kimlik yönetimine yaptıkları yatırımların çoğunu pencereden dışarı atabilecek izin verme kalıplarıdır.
Düşük Kodun Beklenen Patlaması
Düşük kodlu ve kodsuz teknolojiler, yoğun el kodlaması olmadan hızla gelişen iş kullanım durumları için uygulamalar ve yeni özellikler tasarlamayı ve dağıtmayı mümkün kılan grafik kullanıcı arabirimi (GUI) ortamları sağlar. Bu teknolojiler, diğerlerinin yanı sıra düşük kodlu uygulama platformları (LCAP), robotik süreç otomasyonu (RPA) ve iş süreci otomasyonu (BPA) içerir. Gartner’ın yakın tarihli tahmini, gelecek yıl LCAP pazarının 2021’deki gelirini ikiye katlayacağını ve daha geniş düşük kod segmentinin yaklaşık 32 milyar dolara ulaşacağını gösteriyor.
Bu düşük kodlu teknolojiler, geliştirme ekipleri tarafından çalışmalarını hızlandırmak ve ölçeklendirmek için, geliştirici ekipleri ve iş paydaşları tarafından hızlı hareket eden dijital girişimlerde işbirliğini geliştirmek için ve kendi uygulamalarını oluşturan yeni bir yurttaş geliştirici sınıfı tarafından kullanılmaktadır. geliştirme kaynaklarını bekliyorum.
Düşük kodlu ve kodsuz platformların patlamasını ve daha geniş SaaS uygulama ekosistemlerinde düşük kod işlevselliğinin kullanımını körükleyen bu son gruptur. Gartner, genel düşük kod pazarının 2023’te %19,6 artacağını ve en hızlı büyüyen segmentin %30’un üzerinde artması beklenen vatandaş otomasyonu geliştirme platformları olacağını tahmin ediyor. Firmadaki analistler, resmi BT departmanları dışındaki geliştiricilerin zaten az kod kullanan kullanıcı tabanının %60’ından fazlasını oluşturduğunu ve 2026’da vatandaş geliştiriciler ve diğer geleneksel olmayan uygulama tasarımcılarının az kod kullanan kullanıcıların %80’ini oluşturacağını söylüyor.
Gartner’ın seçkin VP analisti Jason Wong, firma tarafından yakın zamanda yapılan düşük kodlu bir tahminde, “İşletme teknolojisi uzmanları ve yurttaş teknoloji uzmanı kişiler, gelişmiş üretkenlik, etkinlik ve çeviklik için iş birimi ihtiyaçlarını karşılamak için hafif çözümler geliştiriyorlar – genellikle füzyon ekipleri olarak” dedi.
Low-Code’un IAM Bombası
Düşük kod teknolojisindeki tüm bu büyüme karşısında Bargury, güvenlik yöneticilerini yakın ve uzun vadede uygulama güvenliği ve siber güvenlik duruşlarına yönelik riskler konusunda uyarma görevini üstleniyor. En büyük risklerden biri, bu platformların yıllar içinde kuruluşlar tarafından oluşturulan katı erişim kontrollerini aşmak için kimlik bilgilerini yaygın bir şekilde paylaşması gerçeğidir, diyor Bargury, düşük kod/hayır odaklı bir girişim olan Zenity’nin kurucu ortağı ve CTO’su -kod güvenliği.
“Halihazırda bir SaaS platformunuz olduğunu ve bu düşük kodlu platformu SaaS üzerine kurduğunuzu varsayalım. Artık iş kullanıcıları kendi uygulamalarını oluşturabilir ve bu uygulamaları kullanmak üzere ekipleri ve diğer çalışanlarla paylaşabilir. şirkette bunu yapmalarını engelleyen bir numaralı şey ne olabilir?” Bargury diyor. “Cevap izinlerdir.”
Açıkladığı gibi, bir işletme kullanıcısı kendi uygulamasını oluşturmak isterse, o uygulamaya veri depolarına erişim sağlamak ve diğer sistemlerle entegre olmasını sağlamak için verilen izinleri alması gerekir. Ve bunu elde etmek için, bu vatandaş geliştiricilerin geleneksel olarak BT’den birinin bunu onaylamasını beklemesi gerekir. Bu uygulama tasarımcıları, muhtemelen bu ekiplerden çok sayıda “hayır” almakla kalmayacak, aynı zamanda provizyon sürecinin kendi rotasını yürütmesini beklemek, ilk etapta düşük kod kullanmanın tüm çeviklik değeri önermesini esasen etkisiz hale getirecektir.
Dolayısıyla, bu sorunu aşmak için, birçok düşük kodlu/kodsuz platform, iş kullanıcılarının kendi kimlik bilgilerini ve kimliklerini kullanarak uygulamalar oluşturmasına olanak tanır. Bu uygulamaları daha geniş kullanım için diğer kullanıcılarla paylaştıklarında, bu kimlik bilgileri herkes tarafından paylaşılır.
“Diyelim ki finans sektöründe çalışıyorum. Bir uygulama geliştiriyorum ve o uygulamanın içine üstü kapalı olarak kendi kimliğimi yerleştiriyorum ve şimdi o uygulamayı sizinle paylaşıyorum” diyor. “Uygulamayı kullanıyorsunuz ve her şey çalışıyor ve sorun yok, verilere erişiminiz var. Ancak temeldeki uygulama, bu erişimi sağlamak için aslında hala benim kimliğimi kullanıyor. Ben buna hizmet olarak kimlik bilgisi paylaşımı diyorum.”
Ve kendi ifadesiyle, bu, az kodlu geliştirme platformlarının üretkenliği mümkün kıldıkları için gurur duydukları ve aktif olarak pazarladıkları bir özelliktir. Ancak güvenlik açısından bakıldığında, hızla bir kabusa dönüşebilir. Ayrıcalıklı erişim yönetimi şirketi BeyondTrust’un CSO’su Morey Haber, rol tabanlı erişim kontrollerinin bütünlüğünü baltalayabilir, kullanıcı ve varlık davranışsal analitiği ortadan kaldırabilir ve gelecekte büyük uyumluluk riskleri yaratabilir, diyor.
Haber, “Bir hizmet olarak kimlik bilgisi paylaşımı, bir kuruluşun hizmeti kullanan tüm kimlikler için doğru bir şekilde tasdik raporlaması sağlama yeteneğini etkileyecektir” diyor. “Düşük kod geliştirme platformu ortamından sunulan hesaplar, yabancı kimlikler de dahil olmak üzere kimin erişimi olduğu konusunda kesin bir bilinmezlik sağlayacaktır.”
CISO ve Aquia’nın kurucu ortağı Chris Hughes’a göre, izinleri bu şekilde işleyen düşük kodlu platformların güvenli kodlama ortamlarında nasıl kullanılabileceğini görmekte zorlanıyor.
“Sadece uyumlu değiller” diyor. “Adil olmak gerekirse, bu, bu çözümler için şu anda maruz kalınan yeni bir risktir ve artık bu bilgiler halka açık olduğundan, tüm kuruluşların riski ölçmesi ve bu tür bilgileri kullanarak herhangi bir yasayı ihlal edip etmediklerini belirlemesi için bu bilginin güçlendirilmesi gerekir. yazılım.”
Başka Bir BYOD Senaryosu
Ancak Bargury, düşük kodlu geliştirmeyi engellemenin bu risklere çözüm olduğuna inanmıyor.
iPhone’un ve diğer tüketici sınıfı cihazların ve bulut hizmetlerinin ortaya çıkışı sırasında etrafta olan güvenlik uzmanları, bu düşük kodlu geliştirme dalgasının, kendi cihazını getir aldatmacasının ilk günlerinde karşılaştıkları zorlukların aynısını yansıtacağını anlayacaktır. Appsec profesyonelleri bu riskleri etkili bir şekilde yönetmenin yollarını aramak zorunda olsa da bunu düşük kodlu yük trenini durdurarak yapmalarının hiçbir yolu yok.
Bargury, “İnsanların cep telefonunu kullanmaya başlaması ve güvenlik ekiplerinin ‘Evet, hiç kimse şirket verilerimizle mobil kullanmayacak’ demesi gibi. Engellemeye çalıştık ama işe yaramadı” diyor Bargury.
Düşük kodlu/kodsuz teknolojinin kuruluşta halihazırda birçok güvenlik uzmanının düşündüğünden bile daha yaygın olduğunu söylüyor.
Bargury, ServiceNow, Salesforce, Microsoft gibi satıcılara işaret ederek, “Bu alanı ileriye taşıyan birden fazla satıcı var, ancak bunlardan bazıları mevcut tekliflerine düşük kodlu/kodsuz kod ekleyen SaaS satıcılarıdır” diye açıklıyor. ve bu özellikleri zaten kurumsal tekliflerine aktarmış olan birçok kişi. “Bu çok önemli bir nokta, çünkü bu zaten orada olduğu için hiç kimsenin düşük kodlu/kodsuz olup olmayacağına karar veremeyeceği anlamına geliyor.”
İş kullanıcılarının ve yönetici sponsorların düşük kodlu teknolojileri sevdiği gerçeğinden bahsetmiyorum bile. Düşük kodlu platformlar, yıllardır dijital dönüşüm çabalarına engel olan uzun uygulama özelliği istek biriktirme listelerinin üstesinden gelmelerine yardımcı oluyor. Düşük kodun çevikliği ve yatırım getirisi, güvenlik uygulayıcılarının göz ardı edemeyeceği bir şeydir. Bargury, tıpkı BYOD’de olduğu gibi, bu kazanamayacakları siyasi bir savaş, diyor.
Bargury’nin RSA Konferansı’ndaki konuşmasının çoğu, appsec uygulayıcılarının, işin daha geniş güvenlik ve uyumluluk gereksinimleriyle daha uyumlu hale getirmek için düşük kodlu platformlar etrafında kurabilecekleri güvenlik bariyeri türlerini anlamalarına yardımcı olmaya odaklanacak.
Bu, kuruluş içinde hangi düşük kodlu teknolojilerin kullanıldığının daha iyi incelenmesini, düşük kodlu platformların ürettikleri uygulamalar içinde erişimin sağlanmasını nasıl düzenlediğine ilişkin politikaların ve yapılandırmanın daha titiz bir şekilde geliştirilmesini ve üretilen uygulamaların daha sağlam kara kutu testini içerir. düşük kod teknolojisi.
“Bence en kötü yaklaşım, düşük kodu engellemeye çalışmak olacaktır çünkü insanlar başka bir şey kullanacak” diyor. “En iyi yaklaşım, burada birkaç onaylı platform olduğunu söylemek olacaktır. Bunlarda istediğinizi yapabilirsiniz. Sizi korumaya yardımcı olacak otomatik yönergeler var. Arkanızı kolladık. Güvenliği düşünmeyin. Finans sektöründesiniz, satıştaysanız, işinizi yapın. Bu, güvenlik uygulayıcıları olarak proaktif olmamız gereken bir konu.”