为什么低代码/无代码应用程序开发具有固有的安全风险
许多组织现在依靠低代码/无代码应用程序开发平台来经济高效地满足业务运营不同方面的各种应用程序需求。最近的一项调查显示,47% 的组织已经在使用这些技术,而没有使用这些技术的组织中有 20% 表示打算在未来 12 个月内采用该技术。
低代码/无代码趋势正在改变组织构建应用程序以满足其需求的方式。
企业可以使用低代码/无代码开发平台来创建数字化和自动化手动和纸质流程的应用程序。它们可用于开发客户参与工具。他们可以构建应用程序,以便轻松地与业务合作伙伴共享数据。
这是因为低代码/无代码技术将权力掌握在业务用户手中,他们是决定公司下一步需要构建什么的最佳人选。现在他们有能力自己建造它。
与每一次重大技术浪潮一样,创新也可能带来新的风险,低代码/无代码技术也不例外。公民发展的安全风险是真实存在的,可以抵消优势。
相关:低代码/无代码开发的演变
以下是突出低代码/无代码应用程序开发及其产生的应用程序的风险倾向的不同点的概要。
应用程序安全的共同责任
与公共云一样,无代码/低代码平台可以更轻松、更快速地开发应用程序和自动化(针对不同的用户和不同的用例),但这又带来了安全成本。
LCNC 平台负责确保他们的平台不会被黑客入侵。组织面临的问题是专业和公民开发人员使用这些平台的方式以及他们构建/实施应用程序和自动化的方式。它还与实现的业务逻辑有关。
当专业或公民开发人员创建的应用程序使组织面临安全或合规风险时,例如向任何用户公开管理员凭据的应用程序,或将敏感数据移动到不受控制的位置的自动化,或错误处理 PII 的应用程序— 跟踪此类威胁并推动补救是组织的责任。
缺乏可见性导致不可能的治理
无代码/低代码开发的问题之一是安全团队缺乏可见性。正如云安全专家Chris Hughes解释的那样,“您正在使用该软件,因此不了解源代码、相关漏洞或平台所经历的潜在测试和严格程度。”这是因为平台抽象了“代码”,使您无法启用依赖于清点和扫描代码的传统方法。
相关:低代码开发人员报告的工作满意度更高
无代码/低代码平台无处不在;从 微软、Salesforce或ServiceNow等企业中已经可用的 SaaS 解决方案,到企业中直接采用的 Zapier 等平台。安全团队无法知道使用了什么、制造商是谁、关键业务应用程序是否是使用此类工具开发的,以及它们是否涉及敏感数据。
安全团队如何保护和管理他们看不到的东西?
为了解决缺乏可见性和治理困难的挑战,最可行的解决方案是选择一个低代码/无代码平台,该平台具有支持可见性的功能,例如与现有安全控制或第三方集成的能力。基于派对云的安全验证工具。与安全解决方案或平台集成对于能够跟踪正在部署的低代码应用程序非常重要,特别是它们生成、处理、存储和传输的数据。
压倒性的影子 IT
以低代码/无代码应用程序的速度,尤其是在大型和复杂的组织中,组织看到他们的影子 IT 越来越大并不应该感到惊讶。Everest Group的一项研究表明,影子 IT 占 IT 支出的 50% 或更多。这对网络安全来说并不是一个好兆头,特别是考虑到 Gartner 的预测,即大约 30% 的安全漏洞可归因于影子 IT。
相关:首个无代码日凸显了不断增长的应用领域
需要强调的是,影子 IT 是指使用没有 IT 部门明确或明确批准的 IT 系统,从硬件到软件。这是低代码/无代码应用程序的开发和使用通常会发生的情况。将低代码/无代码与影子 IT 问题分开是不合适的。
影子 IT 对组织不利,原因有很多。最值得注意的是,它会导致以下结果:
- 无法了解和监控 IT 资产意味着无法看到大局。它使组织无法清楚地知道他们拥有什么以及需要保护什么。
- 影子 IT 使识别威胁和有效预测、阻止或缓解威胁变得困难。构成影子 IT 一部分的应用程序可能成为数据泄漏的根源,但 IT 部门或网络安全团队可能很难查明它们并相应地解决问题。
- 拥有更多的软件通常意味着更多的故障点。在某些情况下,低代码/无代码应用程序不再受到监控,因为它们被认为是微不足道的或良性的,最终成为漏洞,因为它们泄漏数据或允许脚本注入。
- 此外,影子 IT 是组织流程中的一个不可控因素。影子 IT 面纱下的低代码/无代码应用程序无法与组织的安全态势保持一致,并且如果它们产生安全问题,则无法轻松追踪和修复。控制它们的唯一方法是让这些影子 IT 组件曝光,这意味着它们必须停止成为影子 IT。
许多 IT 专家赞同影子 IT 不是问题本身,而是一种症状的观点。如果员工从组织的已知 IT 设置和资源中获取他们需要的 IT 资源,它就不会存在。通过适当的治理和安全验证,低代码/无代码应用程序不必成为影子 IT 的一部分。
缺乏网络安全专业知识
用户不需要深厚的技术知识来弄清楚如何使用低代码/无代码开发平台,更不用说网络安全知识来确保他们不会构建和部署可能会造成安全漏洞或与其组织的安全态势。
这显然是任何组织固有的安全风险。现在任何人都可以通过直观的界面构建应用程序,但几乎所有人都对潜在风险一无所知。教授和学习安全应用程序开发的基础并不容易。
OWASP 十大低代码/无代码安全风险涵盖了可归因于低代码/无代码用户缺乏网络安全知识的不同风险。有一种趋势是创建具有不安全身份验证、数据泄漏问题、应用程序和组件过度共享、数据和秘密处理失败、配置错误、依赖注入风险、非托管自定义模式以及启用权限升级的漏洞的应用程序。
普通用户可能甚至没有听说过这些安全风险。他们不太可能知道避免这些情况所必需的措施。即使应用程序开发平台附带提供安全问题提醒的向导,许多用户也可能对它们的确切含义一无所知。
综上所述
不过,低代码/无代码应用程序开发安全风险的问题并不是组织无法解决的问题。许多平台已经开始更加意识到安全影响。现在,领先的平台在设计时就考虑到了网络安全。
对于那些想要尝试低代码应用程序构建平台的人来说,这里描述的问题绝不是隐含的威慑。风险是真实存在的,但并非没有相应的有效解决方案。借助正确的网络安全知识和安全验证工具,组织可以从低代码/无代码应用程序和应用程序开发中受益,而不会出现安全问题。
Ben Kliger 是Zenity的首席执行官和联合创始人。