作为企业辅助工具和低代码开发安全领域的领导者 Zenity,今天发布了其报告《2024年企业辅助工具与低代码开发现状》。该报告的数据来自对全球众多大型组织的调查,这些组织涵盖了技术、医疗、制造、能源和金融服务等行业。报告发现,企业辅助工具和低代码开发的进展速度前所未有,同时它们也暴露出大量的安全漏洞。
现在,任何人都可以借助 Microsoft Copilot、Power Platform、Salesforce、ServiceNow、Zapier、OpenAI 等平台构建或利用企业 Copilot 和业务应用。通过拖放界面和自然语言文本提示,内部或外部用户可以创建或操作用于访问、传输和存储敏感数据并为关键业务运营做出贡献的应用。然而,Copilot 和低代码平台的开发生命周期中缺乏安全防护和威胁检测机制,这可能会导致严重风险和恶意活动。
随着这个以商业为主导的新世界的发展速度和规模不断扩大,问题已经超出了控制范围,并产生了企业需要注意的新的、巨大的攻击面。
该报告的主要发现包括:
1. 随着采用和增长进入超速发展阶段,风险也随之增加。
大型企业平均拥有近 80,000 个在传统软件开发生命周期 (SDLC) 之外开发的应用程序和代码辅助工具。在这 80,000 个应用程序和代码辅助工具中,大约有 50,000 个漏洞。
2. 人工智能的采用(和风险)非常重要。
平均每个大型组织使用低代码平台开发了 2,600 多个自己的主动代码辅助工具;然而,其中 63% 被过度分享给企业和公众成员,造成了即时注入和数据泄露的风险。
3. 访客访问提供对内部资源的不受监控的访问。
只需一个访客帐户和一个低代码平台的试用许可证,攻击者只需登录企业代码辅助工具或低代码平台,切换到目标目录,就可以在平台上拥有域管理员级别的权限。平均每个企业有 6,200 多名访客,他们有代码辅助工具和低代码应用程序的特权访问权限。
4. 低代码环境下供应链风险猖獗。
平均每个企业有近 2,000 个应用程序,其中包含来自分散库的开源组件,这些组件可能包含窃取密码和其他敏感数据的恶意软件。这为攻击者提供了机会,他们可以轻松地将有风险和危险的软件注入开源组件,从而在不同企业中产生连锁反应。
Zenity联合创始人兼首席执行官Ben Kliger 表示: “企业代码辅助工具和低代码开发平台虽然带来了创新和生产力,但也带来了新的重大风险。如果你是一家大型企业,那么你就会拥有许多代码辅助工具、应用程序、自动化和报告,这些是由你的业务线中的业务用户在你不知情的情况下构建的。我们很自豪能够支持我们的客户负责任地采用这些强大的业务支持工具,并将这项研究回馈给社区,以帮助提高人们对当今企业独特风险的认识。”
本文由LowCode低码时代根据公开资料整理,如有侵权请联系删除。
– END –
报告下载
大佬观点
西门子低代码-王炯 | 西门子低代码-阮铭 | 微软-李威 | 微软-徐玉涛 | 葡萄城-李佳佳 | 葡萄城-宁伟 | SAP-陈泽平 | 华为-周明旺 | 华为云-董鑫武 | 钉钉宜搭-邵磊 | 轻流-严琦东 | 腾讯云微搭-骆勤 | 网易数帆-陈谔、严跃杰 | 百特搭-姜楠
