روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در جهان اپ‌های تجاری، کم‌کد[1]، بی‌کد[2] و صفرکد[3] واژگان باب روز هستند. در این اپ‌ها اموری که زمانی نیازمند مهارت برنامه‌نویسان بود اکنون به کاربران معمولی محول شده است. عملکرد مورد نیاز از قالب‌های از پیش آماده جمع‌آوری شده، رابط را –در صورت لزوم- از ادیتور  WYSIWYG گرفته و منطق برنامه هم با جداول ساده یا تکه‌های بسیار کوتاه کد شرح داده می‌شود. همه اینها را یک کاربر لایق پی‌سی بدون آموزش خاصی می‌تواند انجام دهد. اپ کم‌کد به کاهش زمان توسعه کمک می‌کند. این زمان برای یک اپ ساده موبایل می‌تواند از شش ماه به چند هفته تقلیل یابد و این درحالی است که یک آگهی تبلیغاتی برای فروشگاه آنلاین یا گزارش جدید می‌تواند ظرف چند ساعت ارسال گردد. پلت‌فرم‌های بی‌کد زیادی در بازار وجود دارد: Bubble برای توسعه اپ‌های موبایل، Webflow برای طراحی وبسایت‌ها و Parabola و  Airtable برای تحلیل‌ها و دانش داده. همه این سیستم‌ها به شرکت‌ها در کاهش هزینه‌های آی‌تی و افزایش سرعت توسعه عملکردهای تجاری کمک می‌کنند. مطمئناً معایبی هم وجود دارد –مخصوصاً از منظر خطرات سایبری- که در این مقاله قصد داریم بدان‌ها بپردازیم. با ما همراه بمانید.

برای امنیت‌بخشی به داده‌ها و فرآیندهای یک شرکت، این ریسک‌ها را باید درست در مرحله‌ی پیاده‌سازی پلت‌فرم کم‌کد به حداقل رساند:

اکانت‌هایی با مزیت

یک مینی‌اپ توسعه‌داده‌شده توسط شرکت شما روی پلت‌فرم کم‌کد یا بی‌کد اغلب به دسترسی به پایگاه‌های داده مختلف و منابع رایانشی نیاز دارد. معمولاً با مزیت‌های خالقش اجرا شده و همه کاربران بعدی این اپ با همین سطح از دسترسی اقدامات را انجام خواهند داد. از همینجا شمار حملات مربوط به حقوق دسترسی افزایش می‌یابد و پیدا کردن اینکه چه کسی مسئول فعالیت مخرب است مشکل‌ساز خواهد بود.

به حداقل رساندن ریسک

•         پیاده‌سازی اصل اقل مزیت برای همه پایگاه‌های داده و کانکشن‌های API از سیستم بی‌کد.
•         استفاده از اکانت‌های جداگانه برای کاربران مینی‌اپ (با استفاده از اطلاعات محرمانه توسعه‌دهنده اپ پذیرفتنی نیست).
•         معرفی اقدامات ویژه لاگ برای ردیابی اینکه در واقع چه کسی از مینی‌اپ‌ها وقتی در پایگاه‌های اطلاعاتی و API جستجو می‌کنند استفاده می‌کند.

مجوز نادرست

تقریباً همه پلت‌فرم‌های کم‌کد از مفهوم کانتکتور/کانکشن استفاده می‌کنند که به آن‌ها اجازه می‌دهد به پایگاه‌های اطلاعاتی و سایر اپ‌های داخل شرکت استفاده کنند. معماری این سیستم‌ها طوری است که به کاربر کنترل مستقیم روی کانکشن را بعد از اینکه مجوز راه‌اندازی داده شده است نمی‌دهد. این کانکشن می‌تواند از نو استفاده شود تا سایر درخواست‌ها را برای همان داده بسازد- مثلاً از یک مینی‌اپ دیگر یا حتی کاربری متفاوت.

به حداقل رساندن ریسک

•         رفرش مدامِ توکن‌های مجوز در سیستم‌های متصل به پلت‌فرم بی‌کد.
•         نظارت کانکشن‌هایی که به طور فعالانه استفاده می‌شوند.
•         از نو نویسیِ مینی‌اپ‌های ناصحیح برنامه‌نویسی‌شده که از کانکشن‌های قرضی استفاده می‌کنند. غیرفعالسازی کانکشن‌های غیرضروری.
•         باری دیگر، استفاده از اصل اقل مزیت.
•         آموزش به کاربران تجاری برای درک ریسک‌های دسترسی باز به داده‌های اپ.

نشت داده یا دستکاری آن

با توجه به این حقیقت که پلت‌فرم‌های بی‌کد دسترسی بازی به داده‌ها دارند، مینی‌اپ‌های برنامه‌نویسی‌شده توسط غیرمتخصصین می‌توانند در مقایسه با توسعه‌دهنده مورد نظر داده‌های بیشتری را بازگردانند. و خطا در این پروسه‌های داده یا همگام‌سازی بین سیستم‌ها می‌تواند به خرابی شایع و غیرعمدی داده و یا کپی یرقانونی منجر شود.

به حداقل رساندن ریسک

•         محدود کردن دسترسی به داده‌ها، کاهش مجوزهای نوشتن و پاک کردن.
•         به حداقل رساندن فهرست کارمندان مجاز برای ساخت و اصلاح کانکشن‌ها و تنظیمات دسترسی قوانینِ آن‌ها.
•         نظارت داده‌ انتقال‌داده‌شده توسط پلت‌فرم بی‌کد برای شناسایی به جا و به موقعِ مقادیر بیش از حد آن‌ها.

تنظیمات اشتباه امنیت

اشکالات خطرناک و پیکربندی‌های نادرست ممکن است در کدهای مینی‌اپ‌ها رخ دهد، مانند: دسترسی به ذخیره‌سازی فایل بدون رمزگذاری. ذخیره کلیدهای API یا اسرار دیگر درست در کد برنامه؛ دسترسی به سیستم های شرکتی بدون احراز هویت مناسب. به دلیل اینکه بسیاری از برنامه‌های کم‌کد به راحتی قابل تجزیه و تحلیل هستند، مهاجمین می‌توانند به سرعت تمام این اطلاعات را استخراج کرده و از آن برای حملات سایبری و سرقت اطلاعات بیشتر استفاده کنند.

به حداقل رسادن ریسک

•         حصول اطمینان از انطباق با بهترین شیوه‌های صنعتی تنظیمات اپ‌ها و نیز حفظ داده‌های محرمانه.
•         آموزش به کاربران تجاری که برای پایبندی به این تمارین اپ‌های بی‌کد می‌سازند.
•         معرفی اقدامات اضافی امنیتی در سطح زیرساخت. محدود کردن متودهای ناامن دسترسی و نظارت درخواست‌های ناهنجار از سیستم‌های بی کد.

بهداشت ضعیف ورودی

اکثر برنامه‌های کم کد دارای نوعی رابط هستند که به شما امکان می‌دهد داده‌ها را وارد کنید. به عنوان مثال - جزئیات تماس در یک فرم در وبسایت جدید ساخته شده است. راستی‌آزمایی فرم‌های ورودی اغلب کافی نیست یا وجود ندارد، و آنها را برای حملات کلاسیک تزریق SQL باز می‌گذارد.

به حداقل رساندن ریسک

•         آموزش به کاربران تجاری: مینی‌اپ‌هایی که می‌سازند باید هر اطلاعات دریافتی را اعتبارسنجی و بهداشتی کنند- خواه متن باشد خواه فایل CSV خواه هر چیز دیگری.
•         استفاده از ابزارهای اضافی پاکسازی داده- برای مثال موقع گذار از جستجوهای SQL از پلت‌فرم کم‌کد به پایگاه داده.

آسیب‌پذیری‌هایی در ماژول‌ها

بسیاری از پلتفرم‌های بی‌کد دارای معماری ماژولار با فروشگاه‌های اجزای خاص خود برای پروژه‌های کاربر هستند. آسیب‌پذیری‌ها در این مؤلفه‌ها اغلب بسیار جدی هستند و اینکه نمی‌توان آنها را ردیابی کرد و با استفاده از ابزارهای استاندارد به‌سرعت به‌روزرسانی نمود اوضاع را بدتر می‌کند. چنین ماژول هایی حتی می‌توانند در صورت هک شدن توسعه دهنده آنها تروجان شوند.

به حداقل رساندن ریسک

•         پاکسازی مرتب پلت‌فرم. پلاگین‌های بلااستفاده، ماژول‌ها و سایر اجزا باید حذف شوند.
•         محدود کردن لیست اجزای موجود نزد کاربران.
•         رصد همه اجزای در حال استفاده و نظارت آسیب‌پذیری‌ها و عرضه نسخه‌های جدید.
•         استفاده از سیستم‌های محافظتی که مشخصاً برای پلت‌فرم کم‌کد شما طراحی شده‌اند (برای مثال Wordfence برای WordPress).

پردازش غیرقانونی داده

پایگاه‌های داده ذخیره‌شده توسط مینی‌اپ‌ها گاهی اوقات تابع قوانین کلی یک پلت‌فرم کم‌کد خاص هستند، به این معنی که ادمین‌های شرکت کنترل کاملی بر مکان و محتوای آنها ندارند. این ممکن است منجر به نقض قوانین محلی، مانند GDPR، در مورد ذخیره انواع خاصی از داده ها شود.

به حداقل رساندن ریسک

•         آموزش به کاربران تجاری در خصوص قوانین اولیه پردازش داده.
•         همه اپ‌هایی که بالقوه به داده‌های حساس دسترسی دارند باید توسط تیم امنیت اطلاعات بررسی شوند.

اپ‌های فراموش‌شده

به دلیل ماهیت خود، برنامه های بی‌کد به راحتی ایجاد شده و به راحتی قابل اجرا هستند. به عنوان مثال، اگر یک کارمند شرکت را ترک کند، مینی‌اپ او ممکن است به اجرا و ایجاد گزارش های روزانه ادامه دهد. یا ممکن است یکی از همکاران بدون اطلاع تیم IT و infosec از آن استفاده کند.

به حداقل رساندن ریسک

•         حفظ کاتالوگ پرجزئیاتِ مینی‌اپ‌ها، دارندگان آن‌ها و کاربران نهایی.
•         حذف اپ‌ها و کانکشن‌های غیرضروری. بررسی لیست‌های کاربران مجاز و حذف هر کسی که دیگر به اپ نیازی ندارد.

[1] Low code

[2] no code

[3]  zero code

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.