YORUM
“Gözden uzak, akıldan uzak” siber güvenliğe veya güvenli yazılım geliştirme yaşam döngüsüne yaklaşmanın iyi bir yolu değildir. Ancak dijital dönüşüm telaşında birçok kuruluş farkında olmadan vatandaş geliştirici uygulamalarıyla ilişkili güvenlik risklerine maruz kalıyor.
Resmi kodlama veya yazılım geliştirme eğitimi olmayan kişilerin kolayca uygulamalar oluşturmasına olanak tanıyan düşük kodlu/kodsuz (LCNC) teknolojisiyle mümkün kılınan bu uygulamalar, “gölge mühendisliği” olarak bilinen yeni bir terimin ortaya çıkmasına neden oldu. LCNC platformları, sezgisel, sürükle-bırak ve üretken yapay zeka (GenAI) arayüzleri sunarak çalışanların güvenlik ekibinin yetki alanı dışında bağımsız olarak uygulamalar oluşturmasına ve dağıtmasına olanak tanır.
İlgili risklere rağmen LCNC uygulamaları dijital dönüşümün desteklenmesinde önemli bir rol oynayabilir. Önemli maliyet tasarrufu sağlama potansiyeli sunarlar ve daha da önemlisi, dünya çapında kullanılan uygulamaların çoğunun omurgasını oluşturabilirler.
Gartner’a göreEnformasyon şeflerinin (CIO’lar) neredeyse üçte ikisi, kuruluşlarının önümüzdeki iki yıl içinde LCNC platformlarını devreye almayı planladığını veya halihazırda devreye aldığını söylüyor. Raporda CIO’lar, müşteri veya vatandaş deneyiminde mükemmelleşmeyi, faaliyet marjlarını iyileştirmeyi ve gelir elde etmeyi dijital teknoloji yatırımlarından elde edilen en kritik sonuçlar olarak gösterdi.
LCNC ve robotik süreç otomasyonu (RPA), uygulama geliştirmeyi demokratikleştirerek kodlama becerisine sahip olmayan kullanıcıların erişimine sundu. Ancak gölge mühendislik aynı zamanda kuruluşları tahmin edemeyecekleri risklere maruz bırakan bir güvenlik kör noktası da yaratıyor.
Microsoft Power Apps ve Power Automate, UiPath, Automation Anywhere veya ServiceNow gibi az kodlu/kodsuz uygulama platformlarını (LCAP) kullanan iş kullanıcıları, yerleşik yazılım geliştirme yaşam döngüsünü (SDLC) atlayan uygulamalar ve otomasyonlar oluşturuyor ve güvenlik güvencesi süreçleri.
Gölge mühendisliği, güvenlik ekiplerinin vatandaş geliştiricilerin konuşlandırabileceği LCNC uygulamaları üzerinde çok az kontrole sahip olmasına veya hiç kontrole sahip olmamasına neden oluyor. Bu uygulamalar aynı zamanda ihlale yol açabilecek yazılım açıklarını ve yanlış yapılandırmaları işaretlemek için tasarlanmış olağan kod testlerini de atlar. Bu görünürlük eksikliği, kuruluşların kendilerini kurumsal veya sektör güvenlik standartlarına uygun tutacak politikaları uygulamasını engellemektedir.
Örneğin, satış ekibi tarafından kredi kartı ödemelerini işlemek için oluşturulan düşük kodlu bir otomasyon, güvenlik operasyonları ekibi tarafından görülmezken hassas verileri sızdırabilir ve PCI DSS gereksinimlerini ihlal edebilir.
Gölge Mühendisliğine Işık Tutmak
Gölge mühendisliğiyle ilişkili risklerin ele alınması, aşağıdaki en iyi uygulamaları içeren geleneksel uygulama güvenliği ilkelerinin LCNC uygulamalarına uygulanmasını gerektirir:
-
Keşfedin ve takip edin: Görünürlük eksikliği, gölge mühendisliğinin oluşturduğu başlıca risktir ve riskleri azaltmaya başlamak için iyi bir yerdir. Gereksiz veya güncel olmayan uygulamaları belirleyip ortadan kaldırmak ve şirketin politika kontrolü altında olması gereken canlı uygulamaları ayırmak için tüm LCNC uygulamalarını ve otomasyonlarını keşfedin ve envanterini çıkarın.
-
Uygulamaları koruyun: LCNC uygulamalarında aynı sorunların çoğu var Sabit kodlanmış veya varsayılan şifreler ve sızdıran veriler gibi geleneksel olarak geliştirilmiş yazılımlarda bulunur. Bir şirket etkinliği için çalışanlardan tişört bedenlerini isteyen basit bir uygulama, bilgisayar korsanlarının İK dosyalarına ve korunan verilere erişmesini sağlayabilir. LCNC uygulamalarının tespit edilip düzeltilebilmesi için tehditler ve güvenlik açıkları açısından düzenli olarak değerlendirilmesi gerekir. Bu arada, uygulamalar ve otomasyonlar içindeki veya etki alanındaki uygulamalar tarafından yapılan kötü amaçlı davranışları tespit etmek için çalışma zamanı kontrolleri kullanılabilir.
-
Uyumluluğu zorunlu kılın: Vatandaş geliştiriciler GDPR, CCPA, HIPAA, PCI DSS vb. düzenlemelerden haberdar olmayabilir. İhlalleri tespit etmek ve önlemek için LCNC güvenlik politikaları oluşturun ve uygulayın.
-
Vatandaş geliştiricileri güçlendirin: Vatandaş geliştiricilere, riskleri mümkün olduğunca hızlı ve kolay bir şekilde düzeltmelerine yardımcı olmak için anlaşılması kolay terimlerle rehberlik sağlayın. Güvenliğin ileriye yönelik LCNC uygulamalarının geliştirme sürecine entegre edilmesini sağlamak için iş geliştiricileriyle işbirliği yapın.
-
Düzenli olarak izleyin: Güvenlik hiçbir zaman tek seferlik bir olay değildir. Uygulama geliştirme sürecini düzenli olarak izleyin ve LCNC uygulamalarına yönelik düzenli güvenlik değerlendirmeleri ve denetimleri gerçekleştirin. Varsayılan parolalar gibi güvenlik açıklarını belirlemek için uygulamaları ve otomasyonları inceleyin. Kötü amaçlı kodları veya güvenlik açıklarını belirlemek için üçüncü taraf bileşenlerini değerlendirin ve veri sızıntılarını durdurmak için veri kullanımlarını kontrol edin. Özellikle uygulamalar yayınlandıktan sonra geliştirici etkinliğini izleyin ve değişiklikleri arayın.
LCNC ve RPA tarafından mümkün kılınan yazılım geliştirmenin demokratikleşmesi, kuruluşlar yönetişim ve güvenlik kontrollerini uygulamak için gereken görünürlüğü koruduğu sürece olumlu bir gelişme olabilir. Ancak çoğu büyük kuruluşta vatandaş geliştirici uygulamalarıyla ilişkili riskler genellikle fark edilmiyor veya ihmal ediliyor ve hafifletilmeden kalıyor.
Yukarıda açıklanan adımlar, LCNC uygulamalarını ve RPA’yı güvence altına almak için güçlü bir temel sağlar. Güvenlik risklerini dizginlemek için LCNC uygulamalarının ve RPA görevlerinin keşfi, değerlendirilmesi, iyileştirilmesi ve yönetilmesini gerçekleştirmek için yapılandırılmış bir süreçle başlayın.