管理低代码/无代码安全风险

持续威胁暴露管理 (CTEM) 是 Gartner 提出的一个概念，它持续而非间歇性地监控网络安全威胁。

这个五阶段框架（范围界定、发现、优先级排序、验证和动员）使组织能够不断评估和管理其安全态势，减少威胁暴露，并将风险管理整合到持续评估和行动循环中。

CTEM 保护范围内的主要候选对象是在低代码/无代码 (LCNC) 和机器人过程自动化 (RPA) 环境中创建的软件。

LCNC 开发平台拥有易于使用的界面，并辅以生成式 AI，扩大了大多数组织的攻击面，通常超出了安全人员的视野。

这是因为它们允许任何员工（即“公民开发者”）创建和部署应用程序或 RPA，以实现数据集成、表单自动化、自定义报告等业务流程的自动化。

这种“影子工程”已被管理层所接受——64%的首席信息官表示他们已经或将在两年内部署LCNC技术。

但它使网络风险管理变得复杂，因为它允许代码（包括潜在危险的软件漏洞）不受控制地进入网络。

将 LCNC 应用程序和 RPA 纳入 CTEM 的管辖范围，有助于组织查明漏洞和暴露，将它们与潜在的攻击媒介和漏洞关联起来，根据业务影响和资产的关键性确定优先级，并验证补救措施。

以下是如何将五阶段 CTEM 方法与 LCNC 和 RPA 相结合：

范围

首先根据业务关键性评估哪些 LCNC 和 RPA 资产应由 CTEM 管理。

范围界定可能包括选择用户组、连接、连接器、应用程序、流程和自动化。

这些可以按业务环境、业务部门、平台环境或地理位置进行划分。

发现

在此阶段，目标是编目和发现可见和隐藏的资产、漏洞和错误配置。

缺乏对 LCNC 应用程序和自动化的可见性可能会使映射 LCNC 活动和维护与这些平台相关的所有资产的最新清单变得具有挑战性。

应持续扫描威胁、风险或任何安全问题，并与所有利益相关者沟通，提供尽可能多的细节，以支持模型的下一阶段。

问题的发现可能需要应用基于规则或 AI 逻辑的策略引擎，由应用程序安全研究和知识提供支持。

优先级

处理安全风险需要评估紧急程度、严重程度、可用控制措施、风险偏好以及组织的整体风险水平。

预定义的基础安全评分是不够的；LCNC 中的优先级排序应将传统的基于风险的评分与特定于平台和组织的输入相结合。

建议使用CVSS等成熟的评分方法作为起点。不过，评分还应受到可访问性、应用程序是否启用或禁用以及部署环境（例如，生产环境与开发环境）的影响。

由于检测到的威胁和问题规模巨大、资产众多，且应用程序创建者的安全专业知识相对有限，因此优先级在 LCNC 中至关重要。

验证

验证步骤旨在实现三个关键目标。首先，确认攻击者是否可以利用已知漏洞。其次，应评估防御失败的最坏影响。第三，必须确保流程能够应对任何安全问题。

虽然 LCNC 应用程序的验证实践通常与传统应用程序安全（例如渗透测试、红队练习和模拟）相似，但它们带来了特定挑战，需要量身定制的验证技术。

这些挑战包括考虑可视化开发界面、快速部署周期以及对预构建组件的依赖。

动员

在 LCNC 中，让业务用户和公民开发者参与进来至关重要。安全团队无法独自处理众多问题，因为他们不熟悉 LCNC 平台和需要所有者参与的特定权限模型。

动员可以是手动的，也可以是自动的，但必须提供清晰的背景信息，包括威胁解释和补救步骤。

采用 CTEM 确保 LCNC 安全

要将 LCNC 和 RPA 安全性集成到 CTEM 中，请考虑以下最佳实践：

与现有工作流程集成：确保将 LCNC 和 RPA 安全性纳入 CTEM 补救和事件响应工作流程中，特别注重识别漏洞、自动化威胁检测以及确保持续监控人机交互。

增强可见性：实施监控工具，提供对 LCNC 和 RPA 部署的可见性，确保它们受到监督。

优先考虑高风险资产：通过关注对业务影响最大的领域，识别并优先考虑 LCNC 和 RPA 环境中最关键的漏洞，并首先针对这些高风险领域采取补救措施。

持续适应：利用每个 CTEM 循环产生新的见解，改进 LCNC 和 RPA 安全措施，并适应新出现的威胁和漏洞。

跨团队协作：培养安全、IT 和业务团队之间的协作文化。确保所有利益相关者都了解 CTEM 流程并了解他们在维护 LCNC 和 RPA 资产安全方面的作用。

由于 LCNC 应用程序开发是一门新兴学科，因此需要记住 CTEM 是一个持续的过程。

通过关注这些最佳实践，首席安全官 CISO 可以在提供网络安全综合方法的 CTEM 计划下有效地管理 LCNC 应用程序和 RPA 引入的安全风险。