Yakın tarihli bir raporda, Forrester analistleri uyardı 2023’te büyük bir kuruluşta düşük kodlu/kodsuz (LCNC) kullanan iş kullanıcılarından kaynaklanan, yaklaşmakta olan büyük bir güvenlik ihlali. Bu tahminin ilk kısmı, ne yazık ki, ortak bir endüstri varsayımıdır: Büyük manşet güvenlik ihlalleri olmadan koca bir yıl geçirseydik şaşırtıcı olurdu. Ancak ikinci kısım – bu büyük ihlalin LCNC kullanan iş kullanıcılarının, diğer adıyla vatandaş geliştiricilerin sonucu olacağını tahmin etmek – çok geç olmadan güvenlik topluluğunu uyandırmak için olağanüstü bir girişimdir.
Bu tahmin o kadar güçlü ki, bazı güvenlik ekiplerinin iş kullanıcıları tarafından oluşturulan uygulamaları kritik altyapı yerine oyuncak veya POC olarak ele alma eğilimiyle güçlü bir tezat oluşturuyor. Forrester, bu varsayımın yanlış olduğu ve vahim sonuçlara yol açacağı konusunda uyarıyor. Son yıllarda LCNC, kuruluşlarda bir gerçeklik haline geldi ve iş kullanıcıları, güvenlik ekibinin bilgisi olsun ya da olmasın, büyük kuruluşların artık güvendiği etkili uygulamalar geliştiriyor.
Forrester’ın neden bu uyarıyı yayınladığını anlamak için, onun altında yatan varsayımları açıklamalıyız. Bunu yapmak, okuyucunun değerlendirmekte özgür olduğu, analistlerin piyasa okuması ve varsayımı hakkında yeni bilgilerle dolu olduğunu gösterecektir.
Bir güvenlik ihlalinin önemli bir manşet haline gelmesi için gereken faktörleri düşünün. İlk olarak, açıkça bir ihlalin gerçekleşmesi gerekiyor. Bu varsayım önemsiz olsa da, bilgisayar korsanlarının çabalarını LCNC uygulamalarına odakladıkları ve bunları kırmakta başarılı oldukları varsayımına dayandığını unutmayın. Bilgisayar korsanlarının çabalarını LCNC’ye odaklaması için, algılanan ödülün algılanan zorlukla karşılaştırıldığında yeterince büyük olması gerekir; bu, bilgisayar korsanlarının değerli bir hedef olabilmeleri için LCNC’nin önemli iş verilerini tuttuğuna veya önemli iş akışlarını kolaylaştırdığına ikna olmaları gerektiği anlamına gelir. LCNC uygulamalarını ihlal etmedeki başarı, bilgisayar korsanlarının bu uygulamalara sahip olmak için platform veya uygulama düzeyindeki güvenlik açıklarından yararlanabileceği anlamına gelir.
İş kullanıcıları güvenlik uzmanı olmadığından ve genellikle rehberlikten yoksun olduğundan, bu ne yazık ki yapılması kolay bir varsayımdır. Aslında, Microsoft Algılama ve Yanıt ekibi tarafından belgelenen bir durumda, bir APT grubu, savunucular aktif olarak onları kovmaya çalışırken altı aydan fazla bir süre çok uluslu bir organizasyon içinde gizli ve ısrarcı kalmak için bazı LCNC’lerde karadan canlıyı kullandı. Geçen yıl başka bir durumda, basit bir yanlış yapılandırma, İnternete maruz kalan yaklaşık 40 milyon gizli kayıt.
İkincisi, ihlal iş açısından kritik uygulamaları veya verileri içermelidir; aksi takdirde hikaye büyük bir manşet için o kadar ilginç olmayacaktır. Uygulamanın veya verilerin kritikliğinin, bunun ihlal edilen şirket üzerinde önemli bir ticari etkiye sahip olacağının her harici güvenlik uygulayıcısı tarafından açıkça görülebilmesi için işletmenin değer önermesine dayanması gerekir. LCNC ve vatandaş gelişimi son yıllarda önemli ölçüde büyüdü, iş kullanıcılarını kendi ihtiyaçlarını karşılamaları için güçlendirme vaadini yerine getiriyor. İş liderliğindeki geliştirme, bazı kuruluşlarda stratejik bir girişim haline geldi. Birçok büyük kuruluşun, bazen Mükemmeliyet Merkezleri olarak adlandırılan bu LCNC vatandaş geliştirme platformlarını yöneten ve işleten özel bir yönetici grubu vardır.
Üçüncüsü, ihlalin tespit edilmesi gerekiyor. Bir ihlal, ihlal edilen şirkete zarar vermek veya şirketi bilgisayar korsanının taleplerine boyun eğmeye zorlamak için kasten yayınlayan bilgisayar korsanları tarafından kamuya duyurulabilir. İş açısından kritik uygulamaların çalışmayı durdurması veya güvenlik ekiplerinin tespit etmesi durumunda, ihlal edilen şirket içinde de tespit edilebilir. Her durumda, ihlal tespiti yedi ay sonra gelir bilgisayar korsanları ortalama olarak ilk başarılı erişimlerini elde ettiler. Hesabını yaparsak ve 2023’te geleceği tahmin edilen manşetleri düşünürsek, bu, bilgisayar korsanlarının iş açısından kritik LCNC uygulamalarını çoktan ihlal etmiş olabileceği anlamına gelir.
Son olarak ve yine önemsiz bir şekilde, ihlalin kamuoyuna duyurulması gerekiyor. Tabii ki, büyük bir ihlale maruz kalan herhangi bir kuruluş, talihsiz olayının haberi büyük haber kaynaklarına ulaşmadıysa mutlu olacaktır. İhlal edilen kuruluşun buna karşı çalışacağını ve tüm büyük ihlallerin bildirilmediğini varsayarsak, bu, gelecek yıl LCNC ile bina oluşturan iş kullanıcılarından kaynaklanan birden fazla büyük güvenlik ihlaline yol açacağı anlamına gelir.
Forrester’ın 2023 öngörüsünü açmak, şu anda içinde yaşadığımız dünya hakkında bir dizi varsayımı ortaya koyuyor. İş kullanıcıları, LCNC ile iş açısından kritik uygulamalar oluşturuyor. Bilgisayar korsanları, sektör genelinde bu tür uygulamaları ihlal etmek için özel araçlar ve istismarların son derece farkındadır ve muhtemelen geliştirmiştir. Bazı güvenlik ekipleri muhtemelen şu anda tespit edilen bir ihlalle uğraşıyor.
Öngörülen büyük bir ihlali tartışmak kasvetli ve karamsar görünse de, daha büyük mesaj olumlu: İş kullanıcıları, LCNC’yi kullanarak kuruluşta iğneyi hareket ettirmeyi ve sorunları kendi başlarına çözmeyi başarıyorlar.
İşlerini daha iyi yapmak için çözmeleri gereken sorunları ifade edebilen – böylece işi daha güçlü hale getiren – iş kullanıcıları ile baskı altında başarısız olan ve sınırlı kapasiteye sahip olan ve bu onları çoğu sorunu karşılayamaz hale getiren BT ekipleri arasında uzun süredir bir boşluk var. bu gereksinimlerin LCNC, işletme kullanıcılarının sorunlarını uygun gördükleri şekilde ele almalarını sağlayarak bu boşluğu doldurmaya çalışan en son gelişmedir. BT yerelleştirmesinin bir parçası olan iş güçlendirme hedefi, Office gibi üretkenlik araçları, uygulama oluşturucular, görsel kodlayıcılar ve son zamanlarda RPA ve LCNC dahil olmak üzere sonsuz yenilik dalgaları tarafından takip edildi. Yukarıda gördüğümüz gibi, bu tahmin, LCNC’nin iş kullanıcılarını güçlendirmeyi gerçekten başardığı ve karşılığında iş sonuçlarını değiştirmeyi başardığı şaşırtıcı gerçeğine dayanmaktadır.
Her yeni teknoloji gibi, LCNC de bir dizi yeni zorlukla birlikte gelir. İş etkisi için LCNC’den yararlanma konusunda başarılı olsak da bu uygulamaların, kullandıkları kimliklerin ve işledikleri verilerin güvenli olduğundan emin olamadık. Güvenlik ekipleri iş kullanıcılarını ve geliştirdikleri uygulamaları izlemeye ve yönlendirmeye alışık olmadığından, bu kolay bir iş olmayacaktır. Ancak, güvenlik ekipleri olarak bizim rolümüz işletmeyi etkinleştirmektir ve işletme LCNC istediğini açıkça göstermektedir.
siber-1