Cada vez mais, as empresas estão usando copilotos e plataformas de baixo código para permitir que os funcionários – mesmo aqueles com pouca ou nenhuma experiência técnica – criem copilotos e aplicativos de negócios poderosos, bem como processem grandes quantidades de dados. Um novo relatório da Zenity, O estado dos copilotos empresariais e do desenvolvimento de baixo código em 2024descobriu que, em média, as empresas têm cerca de 80.000 aplicativos e copilotos que foram criados fora do ciclo de vida de desenvolvimento de software program padrão (SDLC).
Este desenvolvimento oferece novas oportunidades, mas também novos riscos. Entre esses 80.000 aplicativos e copilotos, há aproximadamente 50.000 vulnerabilidades. O relatório observou que esses aplicativos e copilotos estão evoluindo a uma velocidade vertiginosa. Consequentemente, eles estão criando um número enorme de vulnerabilidades.
Riscos dos copilotos e aplicativos empresariais
Normalmente, os desenvolvedores de software program criam aplicativos cuidadosamente ao longo de um SDLC (ciclo de vida de desenvolvimento seguro) definido, onde cada aplicativo é constantemente projetado, implantado, medido e analisado. Mas hoje, essas proteções não existem mais. Pessoas sem experiência em desenvolvimento agora podem criar e usar copilotos e aplicativos de negócios de alta potência no Energy Platform, Microsoft Copilot, OpenAI, ServiceNow, Salesforce, UiPath, Zapier e outros. Esses aplicativos ajudam nas operações de negócios à medida que transferem e armazenam dados confidenciais. O crescimento nessa área tem sido significativo; o relatório encontrou um crescimento de 39% ano a ano na adoção de desenvolvimento de baixo código e copilotos.
Como resultado desse desvio do SDLC, as vulnerabilidades são generalizadas. Muitas empresas abraçam entusiasticamente esses recursos sem apreciar totalmente o fato de que precisam entender quantos copilotos e aplicativos estão sendo criados – e seu contexto de negócios também. Por exemplo, elas precisam entender para quem os aplicativos e copilotos são destinados, com quais dados o aplicativo interage e quais são seus propósitos comerciais. Elas também precisam saber quem os está desenvolvendo. Como muitas vezes não sabem, e como as práticas de desenvolvimento padrão são ignoradas, isso cria uma nova forma de TI paralela.
Isso coloca as equipes de segurança em uma posição difícil com muitos copilotos, aplicativos, automações e relatórios que estão sendo criados fora do conhecimento deles por usuários empresariais em vários LoBs. O relatório descobriu que todas as 10 principais categorias de risco do OWASP (Open Net Utility Safety Undertaking) são onipresentes em todas as empresas. Em média, uma empresa tem 49.438 vulnerabilidades. Isso se traduz em 62% dos copilotos e aplicativos criados por meio de low-code contendo uma vulnerabilidade de segurança de algum tipo.
Compreendendo os diferentes tipos de riscos
Os copilotos apresentam uma ameaça potencial tão significativa porque usam credenciais, têm acesso a dados sensíveis e possuem uma curiosidade intrínseca que os torna difíceis de conter. Na verdade, 63% dos copilotos construídos com plataformas de baixo código foram compartilhados em excesso com outros – e muitos deles aceitam bate-papo não autenticado. Isso permite um risco substancial para possíveis ataques de injeção rápida.
Devido à forma como os copilotos operam e como a IA opera em geral, medidas de segurança rigorosas devem ser aplicadas para evitar o compartilhamento de interações do usuário closing com copilotos, o compartilhamento de aplicativos com muitas pessoas ou com as pessoas erradas, a concessão desnecessária de acesso a dados confidenciais through IA e assim por diante. Se essas medidas não estiverem em vigor, as empresas correm o risco de maior exposição a vazamento de dados e injeção de immediate maliciosa.
Dois outros riscos significativos são:
Distant Copilot Execution (RCEs) – Essas vulnerabilidades representam um caminho de ataque específico para aplicativos de IA. Esta versão RCE permite que um invasor externo assuma o controle whole sobre o Copilot para M365 e o drive a obedecer aos seus comandos simplesmente enviando um e-mail, convite de calendário ou mensagem do Groups.
Contas de convidado: usando apenas uma conta de convidado e uma licença de teste para uma plataforma de baixo código — normalmente disponível gratuitamente em várias ferramentas — um invasor precisa apenas fazer login na plataforma de baixo código da empresa ou no copiloto. Uma vez dentro, o invasor muda para o diretório de destino e então tem privilégios de nível de administrador de domínio na plataforma. Consequentemente, os invasores procuram essas contas de convidado, o que levou a violações de segurança. Aqui está um ponto de dados que deve causar medo nos líderes empresariais e suas equipes de segurança: a empresa típica tem mais de 8.641 instâncias de usuários convidados não confiáveis que têm acesso a aplicativos que são desenvolvidos por meio de baixo código e copilotos.
É necessária uma nova abordagem de segurança
O que as equipes de segurança podem fazer contra esse risco onipresente, amorfo e crítico? Elas precisam ter certeza de que colocaram controles em prática para alertá-las sobre qualquer aplicativo que tenha uma etapa insegura em seu processo de recuperação de credenciais ou um segredo codificado. Elas também devem adicionar contexto a qualquer aplicativo que esteja sendo criado para garantir que haja controles de autenticação apropriados para quaisquer aplicativos críticos para os negócios que também tenham acesso a dados internos confidenciais.
Quando essas táticas forem implantadas, a próxima prioridade é garantir que a autenticação apropriada seja configurada para aplicativos que precisam de acesso a dados confidenciais. Depois disso, é uma prática recomendada configurar credenciais para que elas possam ser recuperadas com segurança de um cofre de credenciais ou segredos, o que garantirá que as senhas não estejam em texto claro ou simples.
Garantindo seu futuro
O gênio do desenvolvimento de low-code e copiloto saiu da garrafa, então não é realista tentar colocá-lo de volta. Em vez disso, as empresas precisam estar cientes dos riscos e colocar controles em prática que mantenham seus dados seguros e gerenciados adequadamente. As equipes de segurança enfrentaram muitos desafios nesta nova period de desenvolvimento liderado pelos negócios, mas ao aderir às recomendações mencionadas acima, elas estarão na melhor posição possível para trazer com segurança a inovação e a produtividade que os copilotos corporativos e as plataformas de desenvolvimento de low-code oferecem em direção a um novo futuro ousado.
