rh2010 - stock.adobe.com
Low-Code/No-Code: Anwendungsfälle für die Sicherheit
Low-Code/No-Code-Ansätze bringen durchaus Herausforderungen in Sachen Sicherheit mit sich. Das bedeutet aber nicht, dass sie nicht auch für Security-Teams hilfreich sein können.
Die Security-Gemeinschaft ist sehr besorgt über die zunehmende Verwendung von Low-Code/No-Code-Anwendungen und Entwicklungsmethoden, aber das bedeutet nicht, dass diese Plattformen nicht auch zur Verbesserung der Sicherheit eingesetzt werden können.
Zunächst einmal sind die Sicherheitsbedenken gerechtfertigt - zum größten Teil. Die meisten Low-Code/No-Code-Plattformen werden gehostet, so dass die Kunden nicht immer sicher sein können, welche Sicherheitspraktiken und -kontrollen in der Bereitstellungsumgebung eingesetzt werden. Dies ist vergleichbar mit dem Dilemma der Cloud-Service-Anbieter, bei denen die Kunden Fragen zur Sicherheit an die CSPs stellen und im Gegenzug oft relativ allgemeine Bestätigungen, wenn überhaupt, erhalten.
Darüber hinaus gewähren Low-Code-/No-Code-Plattformen oft nur wenig Einblick in ihre Programmier- und Entwicklungsprozesse, was bedeutet, dass Benutzer schnell und einfach Code zusammenschustern können, der nicht den bewährten Sicherheitsverfahren entspricht. Außerdem werden statische und dynamische Code-/Anwendungs-Scans in diesen Umgebungen nur selten durchgeführt - sofern die Kunden davon wissen.
Das alles fühlt sich ungewohnt und unangenehm an, aber mit diesen Tools und Diensten entstehen einige wichtige sicherheitsorientierte Low-Code/No-Code-Anwendungsfälle, die die Meinung einiger Sicherheitsexperten schon bald ändern könnten.
Grund genug, einmal drei Anwendungsfälle näher zu betrachten.
Sicherer Code
Der von Low-Code-/No-Code-Plattformen produzierte Code könnte besser sein als das, was möglicherweise intern produziert wurde. Sicherheitsexperten müssen hier die Risikoszenarien abwägen, da viel von der Reife des Anbieters und seiner Bereitschaft abhängt, in Bezug auf Code und Sicherheitskontrollen offen zu sein. Ebenso wie von den Kenntnissen und Fähigkeiten der potenziellen Entwickler oder anderer Beteiligter, die in die Erstellung von Anwendungen investieren.
Unternehmen mit einem sehr erfahrenen Entwicklungsteam und einer Reihe von Sicherheitswerkzeugen zur Bewertung von Code auf Sicherheitslücken sind beispielsweise besser dran, wenn sie ihre internen Entwicklungsverfahren nutzen. Einigen Teams mangelt es jedoch an Entwicklungs- und vielleicht auch an Sicherheitswissen und -erfahrung. Für diese Organisationen könnte Low-Code/No-Code eine bessere Option sein.
Low-Code/No-Code-Plattformen können auch die Sicherheit bei der Aktualisierung von Paketen und Bibliotheken verbessern. Es ist schnell möglich, mit Updates in Verzug zu geraten, so dass Anwendungen aufgrund von anfälligen Komponenten im Code, mit dem sie entwickelt werden, Angriffen ausgesetzt sind. Das Team der Entwicklungsplattform könnte jedoch besser auf Bedrohungen und neue Schwachstellen im Zusammenhang mit Paketen und Bibliotheken vorbereitet sein, und die Aktualisierungshäufigkeit könnte daher konsistenter sein.
Sicherere Plattform, Anwendungstests
Ein weiterer Anwendungsfall für Low-Code/No-Code-Sicherheit ist die Hosting-Umgebung selbst. Wenn der Anbieter seriös ist und solide SLAs (Service Level Agreements) und Sicherheitskontrollbescheinigungen anbietet, kann die Einbeziehung dieses Anbieters in die Bereitstellung das Risiko verringern. Wie beim letzten Anwendungsfall hängt dies von den aktuellen Einsatzbedingungen und Sicherheitsfähigkeiten einer Organisation ab.
Bei nicht sensiblen Anwendungen, die schnell bereitgestellt werden müssen - und möglicherweise von unerfahrenen Benutzern innerhalb verschiedener Geschäftsbereiche - könnte Low-Code/No-Code als praktikables Mittel zur Bereitstellung von Prototypanwendungen dienen, um die Wirksamkeit und Benutzerinteraktion zu testen, bevor ein längerfristiges Modell eingeführt wird.
Sicherheitsspezifische Anwendungsfälle
Nicht zuletzt können Low-Code-/No-Code-Anwendungen speziell für Sicherheitsvorgänge und -funktionen entwickelt werden. Viele Sicherheitsexperten haben selbst wenig bis gar keine Erfahrung im Programmieren, was sie zu den typischen Nutzern von Low-Code/No-Code-Diensten macht. Heutzutage besteht ein wachsender Bedarf an benutzerdefinierten Sicherheitsskripten und -funktionen, vor allem zur Steuerung von Automatisierungs-Playbooks für die Reaktions- und Ereignisverwaltung und ähnliches.
Selbst wenn Low-Code-/No-Code-Ansätze nicht als endgültiger Code für Sicherheitsoperationen in der Produktion verwendet werden, können sie sich bei der Validierung von Playbooks und Workflows während Tabletop-Übungen oder anderen Simulationen als nützlich erweisen.
Mit zunehmender Reife von Low-Code/No-Code ist es wahrscheinlich, dass mehr APIs und Integrationsmöglichkeiten zur Verfügung stehen, die bessere und flexiblere Optionen für die Integration mit anderen vorhandenen Sicherheitstools und -diensten bieten.
Wir sollten zwar vorsichtig sein und Low-Code/No-Code-Dienste mit einem skeptischen Blick bewerten. Aber es gibt wahrscheinlich einige interessante Anwendungsfälle, von denen auch Sicherheitsexperten profitieren, und diese Zahl wird im Laufe der Zeit wahrscheinlich noch steigen.