人工智能正在迅速改变人们开发和构建自己的应用程序、自动化和副驾驶的方式,帮助企业提高效率和产出,而不会给 IT 和服务台带来进一步的压力。虽然这为软件开发创造了公平的竞争环境,但也带来了更大的网络安全风险。
对于安全领导者来说,了解这一新的业务应用和人工智能开发浪潮以及随之而来的风险非常重要,并制定应对这些风险的计划。好消息是,您不必在人工智能驱动的开发和安全/合规性之间做出选择。
人工智能在无代码/低代码领域的崛起
Gartner 预测低代码/无代码开发将导致到 2025 年,云将占所有新应用的 70% 以上。该分析公司还预测,到 2026 年,超过 80 % 的组织将在生产环境中使用 GenAI 应用程序编程接口 (API) 或模型和/或支持 GenAI 的应用程序。这将是一个巨大的转变,因为去年只有不到 5% 的人这样做。所谓的“公民开发者”只需询问副驾驶即可创建数据流、自动化、应用程序等 – GenAI 对话界面 – 构建它。他们现在甚至能够构建自己的副驾驶< /a> 然后可以在开发平台的“商店”。
工作效率提高,但安全性却未能提高
这里存在两个主要风险。首先,不再是数十甚至数百个应用程序被引入生产环境,而是由各种技术背景的用户创建数以万计的新应用程序、连接和自动化。这只会增加威胁形势。主要威胁包括数据泄露和帐户假冒,我将很快对此进行解释。其次,平台合并了许多默认设置,这些设置都是出于好意,目的是让任何人都能轻松构建自己的应用程序。然而,这也使得开发过程中很容易出错,这会让安全专业人员夜不能寐。
通常,当公司制定安全和合规计划时,他们的目标是传统专业开发人员正在完成的工作。但今天,有了人工智能,每个人都可以成为开发者。人们现在正在 IT 范围之外创建应用程序和自动化。他们能够在不需要所需技术知识的情况下自行构建所需的内容,这是一个很大的变化。
业务线内发生的这些活动并不总是受到监控或跟踪,这在安全方面产生了问题,因为真正保护公司内部一切的最大需求之一就是可见性。你无法保护你看不到的东西。
这对几乎所有公司来说都是一个问题,尤其是对于那些处于严格监管行业(例如金融和医疗保健)的公司来说,这些行业需要遵守严格的法规和合规标准。随着越来越多的人创建应用和使用人工智能,越来越多的系统需要访问敏感数据。如果不彻底检查谁在创建什么并确定哪些应用程序正在访问真正敏感的数据,它们可能会面临新的罚款和更严格的监管审查。
在不牺牲生产力的情况下收回控制权
尝试完全禁止员工和第三方(又称访客)用户使用这些工具来避免安全挑战可能很诱人,但这是不现实的。人们将找到获取所需工具的方法;禁止这些工具不太可能奏效,而且可能会阻碍创新、降低效率并降低生产率。安全领导者越来越需要展示他们如何成为业务支持策略的一部分,而不是看门人。
相反,它是关于如何使这些工具的使用更安全。与大多数安全措施一样,获得可见性是第一步。您的安全团队需要了解正在使用的工具和正在开发的应用程序,同时深入了解每个应用程序对企业的业务影响。
获得这种可见性 – 并确保安全团队保持循环并能够处理这些见解并采取行动 – 需要以下要素:
- 识别应用包含 AI 的每个实例和/或使用 AI 来帮助构建资源的每个实例。此外,制定有关每一项资源的业务背景的知识基线。这包括用户是谁、他们为什么使用资源、资源与哪些数据交互等等。
- 确保需要访问敏感数据的自动化和应用具有正确的数据敏感度标签,以及正确的身份验证协议、身份、异常检测和访问工具。
- 评估每个资源是否存在威胁,帮助安全团队了解如何确定违规、警报等的优先级。
- 确保每个应用仅与适当的人员共享。许多现代开发平台使用默认权限,允许租户或目录中的任何人访问和使用这些应用程序。
- 安全优先;制定规则并与实际开发者和公民开发者联系,以确保他们在使用 GenAI 进行开发时符合组织的标准。
- 实施持续的漏洞扫描,以在构建应用程序时检测配置错误和/或不安全的应用程序。
安全开发策略
公民发展为跨行业的公司,但它也可能带来新的安全风险和合规问题,特别是现在人工智能如此容易获得和使用。随着这些技术成为常态,组织需要知道谁在开发什么,以便维护安全性和合规性。可见性是关键,因此使用所需元素列表不仅可以确保安全性和合规性,还可以确保生产力和效率。