Gibi teknolojiler Düşük Kod/Kod (LCNC) ve Robotik Proses Otomasyonu (RPA) şirketlerin dijital dönüşümünde temel haline geldi. Farklı kuruluşlar için yeni olanaklar sağlayarak yazılım geliştirmeyi geliştirmeye ve yeniden tanımlamaya devam ediyorlar. Programlama deneyimi olmayan kullanıcıların (vatandaş geliştiricileri) uygulamalar oluşturmalarını ve süreçleri otomatikleştirmelerini, karmaşık görevleri basitleştirmelerini ve iş operasyonlarını optimize etmelerini sağlar.
Bu teknolojiler için uygulama platformları sezgisel görsel arayüzler sunar. Bunlar, bir işletme uzmanından bir BT çalışanına kadar herkesin özelleştirilmiş uygulamalar geliştirmesine ve tekrarlayan süreçleri hızlı ve verimli bir şekilde otomatikleştirmesine izin verir.
Avantajlarına rağmen, bu teknolojilerin kullanımı, özellikle bilgi güvenliği konusunda zorluklara sahiptir. Geliştirmeyi basitleştirmeyi ve hızlandırmayı amaçlayan bu platformlar, kurumsal verilerin kontrol edilmesi ve korunması ile ilgili riskleri getirebilir. Bu araçların sağladığı çeviklik, geleneksel modellere kıyasla geliştirme süresini ve maliyetlerini önemli ölçüde azaltma eğilimindedir. Bununla birlikte, özellikle teknik olmayan ekiplerin uygulama oluşturmakta özgür olduğu ortamlarda merkezi kontrol eksikliği, güvenlik açıkları üretebilir ve sonuçta daha yüksek maliyetlere yol açabilir.
LCNC, RPA veya diğer otomasyon biçimlerini kullanarak ortamlarda birkaç penetrasyon testi ve risk değerlendirmeleri yaptıktan sonra, bu teknolojiler için daha ayrıntılı güvenlik hususları sunmanın çok önemli olduğunu düşündüm. Şirketler, bu çözümleri benimsemenin getirebileceği potansiyel riskleri ve etkileri anlamalıdır, bu da otomasyonun faydalarının güvenlik ve düzenleyici uyumluluktan ödün vermemesini sağlar.
LCNC ve RPA’nın yaygın bir kullanımı, kazıma olarak bilinen bir teknik olan veri alma işlemlerinin otomatikleştirilmesi ile ilgilidir. Birçok örnekte, bu araçları hem dahili ortamlardan (kurumsal veritabanlarından) hem de harici veritabanlarından (API siteleri) kazıyarak gözlemledim. Bu verilere dayanarak, otomatik “robot”, yeni aramalar gerçekleştirme, dosyalarda veya veritabanlarında bilgi kaydetmek, e -postalar gönderme, uyarılar oluşturma vb.
Surplama yaygın olarak kullanılan bir veri toplama uygulaması olmasına rağmen, yasal sonuçları olabilir, bu nedenle şirketlerin yasal veya risk yönetimi departmanlarına danışmasını öneririm.
Tahmin edebileceğiniz gibi, bu dış bağımlılık, özellikle kuruluşun bu hizmetler üzerinde doğrudan bir kontrolü olmadığında mutlak bir kabus haline gelebilir. Verilerin kullanıma sunulma şekli beklenmedik bir şekilde değişirse, veri ana bilgisayarının adresleme, veri biçimini, sunumunu veya verileri tamamen kaldırması durumunda, otomasyon kritik arızalara karşı savunmasız hale gelebilir. Bu harici bağımlılık, otomasyon işlemi bu verilere dayanıyorsa sorunu daha da kötüleştirir – kullanılamazlık hataları oluşturabilir ve “robot” un daha kritik bir senaryoda yanlış verilerle işlemi yürütmeye devam etmesine izin verir. Bu, hassas finansal veya operasyonel süreçlerde yanlış kararlar gibi, organizasyonu potansiyel olarak ciddi şekilde etkileyen zararlı eylemlere neden olabilir. Otomasyondaki yanlış yönlendirilmiş başarısızlıklar, eski verilerle organizasyonel kararların alınmasına veya kötü kayıtlarla iyi kayıtların üzerine yazarak veri kaybına da yol açabilir.
Bu nedenle, otomasyonla geliştirilen çözümler, veri bulunamaması ile sağlam bir şekilde başa çıkmak için tasarlanmalıdır. Otomasyon, istisna ve hata işlemenin uygun kullanımı da dahil olmak üzere bu senaryoları tespit edebilmeli ve işleyebilmelidir. Bu, veri kaynakları başarısız olsa bile, sistemin güvenli ve öngörülebilir bir şekilde davranabilmesini ve daha fazla hasarı önleyebilmesini sağlayacaktır.
Özellikle LCNC çözümleri geliştiricilerinin genellikle resmi programlama deneyiminden yoksun olduğu kuruluşlarda bir başka önemli nokta, otomatik süreçlerin denetlenmesini ve izlenebilirliğini garanti eden iç politikalar oluşturma ihtiyacıdır. En iyi uygulama, tüm otomasyon adımlarının ayrıntılı günlüklerini uygulamaktır. Bu bilgilerin kaydedilmesi yalnızca BT ekibine veya güvenliğin sorumlu olanların herhangi bir hatayı araştırmasına ve düzeltmesine izin vermeyecektir, aynı zamanda gelecekteki sorunların çözülmesinde de gerekli olacaktır, otomatik süreçler üzerinde daha fazla şeffaflık ve kontrol garanti eder.
Varsayılan olarak, otomasyon işlemleri belirli bir kullanıcı hesabı tarafından çalıştırılır, yani doğrudan o hesapla ilişkili izinler ve ayrıcalıklarla bağlantılıdırlar. Bu kritik bir noktadır ve riskleri önlemek için sürekli olarak izlenmelidir. Bu bağlamda, en az ayrıcalık ilkesini benimseme önerisi temeldir: kullanıcıya yalnızca görevlerini yerine getirmek için gerekli minimum izin düzeyini vermek. Bu, erişim ayrıcalıklarını sınırlar ve hesaptan ödün verilirse etkiyi azaltmaya yardımcı olur.
CMD, Python, VBScript veya PowerShell gibi komut dosyaları ve komut yürütme içeren otomasyon süreçlerini kullanan kuruluşlar söz konusu olduğunda. Bazı durumlarda vazgeçilmez olabileceklerini biliyorum, ancak öneri, genel riski önemli ölçüde artırdıkları için mümkün olduğunca bu teknolojileri kullanmayı yeniden düşünmektir. Kötü niyetli bir kullanıcı, zararlı komut dosyaları oluşturmak ve kötü niyetli etkinlikleri hızlı bir şekilde yürütme yeteneğinden yararlanabilir. İyi bir uygulama, altyapıda katı erişim kontrolleri uygulamak, bu işlevlere erişimi sınırlamak ve kullanımlarını sürekli olarak izlemektir.
Her zaman olduğu gibi, LCNC platformlarının kullanıcıları ve geliştiricileri ve RPA gibi diğer otomasyon süreçleri için güvenlik eğitiminin önemini yeterince vurgulayamıyorum. Temel bilgi güvenliği eğitimine ek olarak, şirketler güvenli kodlama uygulamalarını içermeli ve genel güvenlik en iyi uygulamalarına bağlı kalmayı vurgulamalıdır. Bu, otomatik çözümlerin geliştirilmesine ve işletilmesine katılan herkesin riskleri ve güvenlik açıklarının nasıl hafifletileceğini anlamasını sağlar.
Ağınızdaki düşük kod/kodsuz (LCNC) platformlarını potansiyel bir içeriden gelen tehdit vektörü olarak düşünün. Tarihsel deneyim, birçok siber saldırının kurumsal ağların içinde kötü niyetli ajanların tanıtılmasıyla başladığını göstermektedir. Bu saldırı vektörleri, iç sistemlerdeki güvenlik açıklarından yararlanabilir, bu da hassas verileri işleyen herhangi bir sistemin tasarımında ve uygulanmasında gerekli özen göstermeniz için yeterince olur. Bu nedenle, herhangi bir dahili otomasyonun, özellikle de gizli bilgileri ele alanların, iç tehditlere uygulanan aynı güvenlik uyarısı ile her zaman görülmesi gerektiğini varsaymak ihtiyatlıdır.
Belirtildiği gibi, LCNC ve RPA teknolojileri birçok şirketin geliştirme süreçlerini hızlandırmasına ve maliyetleri azaltmasına izin verse de, güvenliğin genellikle göz ardı edildiğini hatırlamak önemlidir. Bu olduğunda, riskler faydalardan daha ağır basabilir. Kuruluşlar, bu çözümleri korumak için sağlam ve sürekli güvenlik önlemleri almalı, güvenlik maliyetlerinin katlanarak artmasını ve risklerin rahatsız edilemez hale gelmesini önlemelidir.
Yazar hakkında
Jordan Bonagura, Güvenli Fikirlerde Kıdemli Güvenlik Danışmanı
Başlıca Güvenlik Araştırmacısı
Siber güvenlik uzmanı
Profesör ve Konuşmacı
Başka sorunuz varsa, Jordan Bonagura ile iletişime geçin. [email protected]veya onu LinkedIn veya Güvenli Fikirler’de bulabilirsiniz https://www.secureideas.com.