”Fler cyberattacker har gjort att mer fokus riktats mot säkerhet i applikationsutvecklingsprocesser. Studier har visat att tre av fyra utvecklare är oroade över just säkerhetsdelen när applikationer utvecklas och över hälften anser att de saknar den säkerhetsexpertis som behövs i dessa processer. Därför behövs nya lösningar och strålkastarljuset har riktats mot assisterad utveckling, där lågkodplattformar spelar en viktig roll. Men just det här området hämmas av en del myter.
En sådan myt är att säkerhet skulle vara en utmaning i lågkodlösningar. Det är speciellt bekymrande eftersom verkligheten är den motsatta. Lågkodsapplikationer har säkerhet inbyggt från grunden och delarna som används kan bidra till att minska sårbarheter för utpressningsattacker.
Dags att spola myterna
Men detta är bara ett av flera sätt som lågkodsapplikationer bidrar till minskad sårbarhet. Jag anser att det nu är dags att spola myterna och lyfta fram hur lågkod faktisk skulle kunna göra svenska företag bättre rustade för exempelvis utpressningsprogramvaror.
Jag menar att lågkodplattformar sparar både tid och resurser för utvecklare genom att automatiskt använda säkra kodskript, standardisera användning av kryptering i behandling av data och konfigurering av policys för datasäkerhet. Processer och verktyg för devops är också ofta en del av lågkodplattformar, vilket bådar för säkra utvecklingscykler. Genom att använda trådmodellering, kodgranskning, statisk kodanalys, dynamisk kodanalys, sårbarhetsbedömningar tillsammans med tydliga ansvarsområden i devops-processerna, skapas på direkten en stadig grund för säker mjukvaruutveckling.
Fler säkerhetslager med moln
Vidare: eftersom lågkodplattformar vanligtvis körs i molninfrastruktur, finns multipla lager av operationella och fysiska säkerhetsmekanismer på plats för att skydda applikationer och kunddata från obehöriga intrång och skadliga programvaror. Det innebär att säkerheten i molnet både hanteras av molnleverantören så väl som av lågkodplattformen.
Dessutom är de fysiska platserna för datacentra ofta väl skyddade, med säkra åtkomstsystem med flerfaktorsautenticering. Utöver detta körs och lagras applikationer, loggar och backuper på olika ställen.
Lågkodplattformar och deras molnpartners agerar också proaktivt när det gäller säkerhet, exempelvis genom att kontinuerligt undersöka indikationer kring hot, exempelvis hög CPU-användning, begränsat diskutrymme eller minne. Det hanteras sedan antingen automatiskt eller via säkerhetsexperter från lågkodplattformen.
Tänk och bygg nytt för säkerheten
Jag vill också lyfta fram hur hanteringskonsoler ger detaljerade spår kring utvecklare och användares aktiviteter, APIer och databasförfrågningar, som kan granskas. Dessa loggar kan användas för kontinuerlig säkerhetsövervakning och användas tillsammans med andra säkerhetssystem.
Attacker med utpressningsprogramvaror blir tyvärr allt mer vanligt och jakten på sårbarheter och nya lösningar sker oförtrutet. Mycket fokus kommer att riktas på applikationer och även om dessa aldrig kommer bli 100 procent säkra, så finns det mycket vi kan göra om vi ser förbi myter och använder de inbyggda säkerhetsmekanismer som numera i moderna verktyg för att både tänka och bygga nytt. Det är en sak som är säker.
Av José Casinha
IT-säkerhetschef
på OutSystems
