Ci risiamo: ogni volta che una innovazione che rende meravigliosamente semplice fare cose e automatizzare processi, ci ritroviamo per le mani un potenziale disastro dal punto di vista della sicurezza. È accaduto con il software containerizzato, con la virtualizzazione as a service e sta succedendo di nuovo con i servizi di creazione di app senza codice.
Una situazione pericolosa che sta passando inosservata alla maggior parte dei responsabili di sicurezza che ancora non ha preso le misure con il nuovo trend nello sviluppo “al volo” di nuove “app aziendali”. Una ricerca di Dark Readings rivolta agli specialisti di sicurezza nelle grandi aziende ha rivelato quattro grandi preoccupazioni sulla crescente adozione delle app low-code/no-code negli uffici di tutto il mondo.
La prima riguarda la governance. Quando si aggancia una app low-code a un sistema aziendale (il caso tipico è quello della posta, ma non mancano i database o i file nelle cartelle condivise) praticamente non sappiamo nulla su come le credenziali vengano gestite. Il grande vantaggio di queste app, infatti, è la semplicità con cui ci si connette a più fonti e le fa lavorare insieme, ma come viene gestita l’identità degli utenti? Siamo sicuri che non sia possibile intercettare le credenziali usate per il dropbox aziendale quando questo viene collegato a un’app low code? Quasi certamente, non ci sono restrizioni ai privilegi che vengono concessi all’app in questione e quindi tutto il contenuto è comunque gestibile senza il nostro controllo diretto. Inoltre, queste app spesso spostano dati: ma dove? E come? Tutte domande che restano senza una risposta chiara e che non sono un rischio accettabile al giorno d’oggi. Molte operazioni compiute “in scioltezza” tramite una di queste piattaforme low-code, inoltre, potrebbero violare le norme GDPR in quanto i dati della nostra azienda prendono il volo verso destinazioni ignote e sicuramente non esplicitate nelle informative. Infine, siamo sicuri che i sistemi di Data Loss Prevention controllino i canali usati da queste piattaforme per compiere il loro lavoro? O queste ultime possono essere usate come comoda “uscita dal retro” per i dati che un eventuale attaccante vuole esfiltrare?
Come se tutto questo non bastasse, c’è un’altra importante domanda da porsi: ci fidiamo delle piattaforme di Low-Code? Cosa sappiamo delle loro procedure di sicurezza? Come possiamo esser sicuri che una volta che le nostre credenziali sono conservate sui loro server per far girare le automazioni che abbiamo creato, queste non siano anche a disposizione di eventuali pirati che sono riusciti a entrare nei loro sistemi? Esattamente come abbiamo dovuto mettere in sicurezza le macchine che gestiscono il software containerizzato, in teoria servirebbero degli strumenti che possano darci la sicurezza che i server su cui girano le nostre automazioni siano effettivamente scevri da manipolazioni non autorizzate. Ma non ci sono. Passiamo poi ad un aspetto più squisitamente tecnico: come facciamo a esser sicuri che il nostro codice non presenti delle falle? Sappiamo bene come l’interazione tra servizi diversi possa aprire delle “porte collaterali” che possono esser sfruttate in maniera malevola e chi sviluppa app in ambiente enterprise ha tutta una serie di strumenti che tiene sotto controllo questo aspetto, validando il software durante la compilazione. Purtroppo, anche in questo caso per il momento non abbiamo a disposizione nulla di simile in ambito Low-code.
E poi abbiamo l’eterno problema della visibilità. Se già lo shadow-it è un tema ricorrente nelle aziende in ambito hardware, con l’avvento delle app low code potrebbe diventarlo anche in ambito software. La maggior parte delle app low-code, infatti, non viene sviluppata dal comparto IT, ma autonomamente da qualcuno che appartiene a un reparto diverso. E quando questo accade, nessuno mette al corrente l’IT, aprendo le porte a potenziali problemi di sicurezza. Un esempio è quello di un’azienda americana al cui interno un addetto aveva creato un’app per automatizzare alcuni passaggi meccanici e noiosi nella procedura di rimborso spese. In breve, ha iniziato a usarla tutta l’azienda, compresi gli impiegati che gestivano i rimborsi, mentre l’IT è venuto a saperlo solo dopo settimane. Del resto, dal punto di vista dell’IT, una app low code non è altro che una serie di accessi a diversi servizi già autorizzati e una serie di movimenti di piccola entità. Solo che all’esterno c’è un server che gestisce il tutto senza alcun controllo da parte degli interni.
Quindi che fare? Come tutte le innovazioni dirompenti, lo sviluppo low-code è qui per restare e porterà anche molti benefici alle aziende di tutto il mondo. Purtroppo, deve esser tenuta sotto stretta sorveglianza, altrimenti torneremo ai tempi in cui le aziende mettevano i loro dati in cloud senza protezione, a quando tutti gli IoT erano oggetti alla mercè di qualsiasi pirata informatico avesse bisogno di un bot per le proprie malefatte e dei server Kubernetes sfruttati da gang di criminali per fare criptomining a spese di terzi.
I piú letti
-
Doppia SIM su IPHONE: come funziona?
-
Tutti gli attacchi informatici portano all’esfiltrazione di dati
-
Guida alla crittografia dei dati nel cloud
-
System Administrator Salary : Quanto si può guadagnare ?
-
VMware, Broadcom e la nuova dimensione del mercato della virtualizzazione. Tutto quello che serve sapere
