أخبار

تعمل عمليات التشغيل الآلي بدون تعليمات برمجية على إنشاء نقطة مخفية مخفية في AppSec

تعمل عمليات التشغيل الآلي بدون تعليمات برمجية على إنشاء نقطة مخفية مخفية في AppSec


يعتقد معظم مسؤولي أمن المعلومات أن لديهم فهمًا معقولًا لبصمة مؤسستهم التي لا تحتوي على تعليمات برمجية. إنهم يعلمون أن الموظفين يقومون ببناء عمليات أتمتة صغيرة لتبسيط المهام. ويفترضون أن بضع عشرات أو بضع مئات من عمليات سير العمل تعمل بهدوء عبر الشركة. ولكن عندما تكتسب فرق الأمن أخيرًا رؤية حقيقية، يظهر واقع مختلف.

من المتوقع أن تجد إحدى المؤسسات العالمية بضع مئات من عمليات سير عمل مستخدمي الأعمال. وكان العدد الفعلي أكثر من 3000. واكتشف آخر أن موظفًا ماليًا واحدًا، ليس لديه خلفية هندسية، قد أنشأ أكثر من 150 عملية تشغيل آلي. كما عثر آخر على سير عمل يقوم بإعادة توجيه البريد الإلكتروني للشركة الخاص بالموظف بصمت إلى حساب Gmail شخصي. لم يتم تسجيل أي منها أو فحصها للتأكد من عدم وجود مخاطر أمنية أو مراقبتها.

هذه ليست حكايات. إنها أعراض التحول الهيكلي. تتعرض الشركات الآن بشكل متزايد للبنية التحتية الظلية غير المرئية وغير المدارة وغير المحمية.

سطح الهجوم المخفي بدون تعليمات برمجية

تم تحسين برامج AppSec التقليدية للتعليمات البرمجية المخزنة في المستودعات، ودفعها عبر خطوط الأنابيب، ونشرها من خلال CI/CD، وليس للتطبيقات التي لا تحتوي على تعليمات برمجية، والموصلات، وعمليات التشغيل الآلي التي تم إنشاؤها على منصات مثل Power Platform، وServiceNow، وSalesforce، وUiPath.

وفي الوقت نفسه، تفترض معظم المؤسسات أن عمليات التشغيل الآلي لمستخدمي الأعمال بسيطة ومنخفضة المخاطر ومحدودة النطاق. أما الواقع فهو أكثر تعقيداً. يفوق عدد مطوري المواطنين الآن عدد مطوري البرامج التقليدية بمراحل كبيرة. بالإضافة إلى ذلك، يقومون بتوصيل مصادر البيانات معًا، وبدء سير عمل متعدد الأنظمة، واستدعاء واجهات برمجة التطبيقات، وليس فقط بناء وحدات ماكرو أساسية أو أدوات مساعدة للأقسام.

ونظرًا لأن عمليات الأتمتة هذه يتم إنشاؤها خارج الإدارة الهندسية، فإن أدوات المراقبة التقليدية لا تراها أبدًا. ولا تمر عبر مراجعات رمز الأمان، أو تخضع لنمذجة التهديدات، أو تنشئ أنواع السجلات التي تتوقعها SIEMs. ومع ذلك، فهم يقومون بإجراءات تؤثر بشكل مباشر على بيانات الإنتاج والعمليات التجارية.

غالبًا ما تؤدي هذه النقطة العمياء إلى تضمين بيانات الاعتماد مباشرة في سير العمل. ويمكنه أيضًا إنشاء عرض لـ SQL وOData في أدوات مثل Microsoft Power BI، وعمليات التشغيل الآلي التي تربط البيئات التي من المفترض أن تظل معزولة، والبيانات الحساسة المكشوفة خارجيًا. في أسوأ الحالات، قد يتمكن وكلاء الذكاء الاصطناعي من الوصول إلى جداول قاعدة البيانات بأكملها لأنه لم يتم تغيير خيار التكوين الافتراضي مطلقًا.

لا يمثل أي من هذه المخاطر الأمنية نوايا خبيثة. إنها النتيجة الحتمية لنظام تم تحسينه من أجل الراحة بدلاً من الإشراف.

أصبح سير العمل بدون تعليمات برمجية بمثابة تكنولوجيا معلومات الظل

بمجرد أن يرى الأمن حجم التطوير بدون تعليمات برمجية، تظهر مشكلة أعمق: الملكية.

ترتبط العديد من عمليات سير العمل بدون تعليمات برمجية بحسابات الخدمة العامة، ولكل منها مئات من عمليات التشغيل الآلي. والبعض الآخر ينتمي إلى الموظفين السابقين. تستمر فجوات الملكية لأن وحدات الأعمال يتم بناؤها بشكل مستقل، ويمكن الوصول إلى أحكام تكنولوجيا المعلومات دون المنطق الحاكم أو تدفقات البيانات، ولا يتمتع الأمان إلا برؤية الأصول التي تمس أدواتها.

يقوم وكلاء الذكاء الاصطناعي بتضخيم هذه المشكلة. عندما يتمكن الموظفون من وصف هدف باللغة الطبيعية، و”تلخيص المعاملات”، و”استثناءات التوجيه”، و”سحب سجلات العملاء”، وتقوم المنصة تلقائيًا بإنشاء سير العمل، يصبح التأليف مجردًا. قد يتم تكرار سير العمل الذي تم إنشاؤه بواسطة الذكاء الاصطناعي دون ملكية واضحة مع مرور الوقت. السؤال “من يملك هذا؟” يصبح من الصعب ماديا الإجابة.

هذه الفجوات في الملكية تجعل الاستجابة للحوادث شبه مستحيلة. إذا بدأ سير العمل في استخراج البيانات، أو قام الموصل بتصعيد امتيازاته فجأة، فلن تعرف فرق الأمان من يفهم المنطق، أو من الذي قام باختيارات التصميم، أو ما إذا كان السلوك متوقعًا. والملاذ الوحيد هو تعطيل سير العمل بالجملة، وتعطيل العمليات الهامة على طول الطريق.

لماذا تفوت أدوات AppSec مخاطر عدم وجود تعليمات برمجية

بمجرد إدراك هذه المشكلة، تلجأ معظم المؤسسات إلى أدوات AppSec المألوفة، مثل SAST وDAST وIAST واختبار الاختراق ومراجعات السياسات. غالبًا ما تتعطل هذه الأساليب لأن عمليات التشغيل الآلي بدون تعليمات برمجية نادرًا ما تنتج تعليمات برمجية يمكن للماسحات الضوئية تحليلها أو تشغيلها في بيئات يمكن للماسحات الضوئية تنفيذها بأمان:

  • السجلات غير متناسقة أو مفقودة.
  • نسب البيانات غير واضح.
  • يمكن أن تمتد الإجراءات إلى أنظمة SaaS متعددة، يتمتع كل منها برؤية جزئية.

حتى أنظمة إدارة الهوية تعاني، نظرًا لأن سير العمل غالبًا ما يتم تشغيله تحت هويات خدمة طويلة الأمد لا يمكن ربط أي إنسان بها.

ما ينشأ هو طبقة ظل من منطق الأعمال التي تقع بالكامل خارج حدود برامج AppSec وDevSecOps وبرامج الهوية التقليدية. وطالما ظلت الملكية مجزأة والاكتشاف بعيد المنال، فإن الديون الأمنية تستمر في النمو دون رادع.

كيفية التحكم في المخاطر الأمنية بدون تعليمات برمجية

التطوير بدون تعليمات برمجية لن يختفي؛ وفي الواقع، فإن إنشاء سير العمل بمساعدة الذكاء الاصطناعي لا يؤدي إلا إلى تسريعه. إن تضييق الخناق على تنمية المواطن لن يؤدي إلا إلى خنق الابتكار وهو ليس خيارا قابلا للتطبيق. إن النهج الأفضل هو اكتساب الرؤية وتأسيس نظام حكم حيث لا يوجد أي نظام موجود حالياً. فيما يلي عملية من خمس خطوات يجب مراعاتها:

  • تنفيذ الاكتشاف المستمر عبر جميع الأنظمة الأساسية التي لا تحتوي على تعليمات برمجية لتحديد سير العمل ومصادر البيانات الخاصة بهم ومستويات الامتياز الخاصة بهم.
  • تعيين ملكية صريحة لكل عملية أتمتة، بما في ذلك سير العمل المرتبط سابقًا بحسابات الخدمة أو الموظفين السابقين.
  • إنشاء حوكمة دورة الحياة يغطي تتبع التغيير، والإصدار، ومعايير التقاعد.
  • مراقبة سير العمل في وقت التشغيل للكشف عن تصعيد الامتيازات، أو الوصول الزائد إلى البيانات، أو سلوك الموصل المريب.
  • دمج حوكمة الأتمتة في الأطر الأمنية الحالية، وبالتالي فإن المنطق الذي يبنيه المواطن يتلقى نفس الإشراف الذي تحصل عليه التطبيقات التقليدية.

نحن ندخل عصرًا لا توجد فيه أخطر نقاط الضعف في التعليمات البرمجية التي تكتبها فرق AppDev، ولكن في الآلاف من عمليات سير العمل والأتمتة التي يبنيها مستخدمو الأعمال بأنفسهم. كلما أسرعت المؤسسات في التعرف على الحالة غير المرئية لعدم وجود كود ومواجهتها، كلما تمكنت بشكل أسرع من تقليل الديون الأمنية المتراكمة داخل البنية التحتية الخاصة بها.

الوسوم

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى