Gæstebloggen

Low-code giver sikrere app-udvikling

I begyndelsen af året gav Gartner udtryk for en forventning om, at markedet for low-code udvikling ville vokse med mere end 22 procent i løbet af 2021.

Efterspørgslen efter low-code er en direkte konsekvens af pandemien, SaaS’ voksende popularitet og hyperautomation. Vi ser for tiden flere og flere ransomware-angreb, som det f.eks. var tilfældet med hotelbooking-portalen Techotel, der 9. juni blev ramt af et større angreb, hvilket lagde 1000 hotellers booking-systemer ned, og først var tilbage på fuldt blus i slutningen af juli.

Klaus Knudsen er Senior Account Executive for Outsystems i Danmark, Norge og Island. Illustration: Privat

En undersøgelse fra Mimecast har tillige vist, at 78 procent af danske virksomheder har været under angreb i 2020, hvor tallet globalt set var 61 procent.

Efter min mening reducerer applikationer, opbygget med low-code teknologi, en organisations risiko for at blive udsat for dette, da disse applikationer anvender prækonstruerede mønstre, der er designet og implementeret med sikkerhed i baghovedet.

Low-code vokser hastigt. Organisationer og virksomheder ønsker - og har behov for - at modernisere deres IT-landskab, og dette inkluderer missionskritiske applikationer. Dette behov driver virksomheder mod mere moderne udviklingsplatforme.

José Casinha er Chief Information Security Officer hos Outsystems. Illustration: Privat

Typiske eksempler på den transformation kan være IT-systemer i mindre størrelse, der skal hjælpe med HR-onboarding, men også større initiativer, der skal modernisere eller helt erstatte virksomheders applikationer, som følge af aldrende og udgående teknologier. At anvende low-code-platforme til dette gør ikke kun disse transformationer væsentligt hurtigere.

Eftersom udviklerne bruger færdigbyggede og sikre komponenter, kan apps bygget med low-code også være mere sikre end den den teknologi, de erstatter. Virksomheder bør derfor se efter low-code løsninger, der er bygget med “security by design”: Standardbeskyttelse imod de mest udbredte svagheder (OWASP), sikkerhedsovervågning, og adgangsstyring.

I praksis lader det dog til, at mange virksomheder og organisationer ser sikkerhed som den største udfordring, når det gælder low-code-platforme. Hvad er fordele og ulemper ved low-code sikkerhed så?

Applikationssikkerhed

Udviklingsteams er ansvarlige for sikkerheden af de apps og services, de leverer. Det er en vigtig del af applikationen, da konsekvenserne af en sikkerhedsbrist, så som datatab, GDPR-krænkelse, bøder og uoprettelige skader på renomme og brand, kan være enorme. Derfor lægges der også meget arbejde i at gøre en applikation vandtæt.

Low-code platforme, sparer udviklerne for masser af tid og kræfter, ved automatisk at sikre overholdelse af code-patterns, anvendelse af kryptering af data in-transit og potentielt at-rest og konfigurering af Content Security Policies (CSP).

Derudover, er Devops processer og værktøjer ofte en del af en low-code platform, for at garantere sikker softwareudvikling. Ved at anvende en sikkerhedsmodel, er ansvarsområder i DevOps processen tydligt tildelt, hvilket øjeblikkeligt skaber et stærkt fundament for sikker softwareudvikling.

Sikker infrastruktur

Eftersom low-code platforme som regel bliver hosted via cloud, er der placeret adskillige lag af operationel og fysisk sikkerhed for at beskytte applikationer og brugerdata fra uautoriseret adgang og malware.

Sikkerheden for infrastrukturen i clouden er sikret både via sikkerhedskontrollerne ved hosten samt af de, der er i selve low-code platformen. Disse anvendes som oftest på alle komponenter i infrastrukturen, såsom netværk, operativsystemet, databasen og applikationsserveren. Der er også taget højde for at beskytte imod DDoS-angreb, Man in the Middle (MITM)-angreb, IP spoofing og port scanning.

Som glasur på lagkagen er datacentrenes fysiske placering sikrede efter de højeste standarder; adgang til systemerne er sikret via multifaktorgodkendelse og stepping stone-mekanismer. Endelig bliver logs og backups udført og gemt i de forskellige regioner eller availability zones.

Konstant overvågning af sikkerhed

Low-code-platforme og deres hosting partnere har en proaktiv tilgang til sikkerhed. Der bliver for eksempel kontinuerligt tjekket efter tegn på trusler og farer, såsom et højt forbrug af CPU, mangel på diskplads, tilgængelig hukommelse og andre indikatorer. Er der faresignaler? Så træder low-code platformenes sikkerhedsteams eller de selv-reparerende mekanismer til og agerer brandslukkere. Desuden giver management-konsoller adgang til detaljerede revisions-logfiler med oplysninger om udvikleres aktiviteter, slutbrugere, brugen af API'er og hvordan forespørgsler i databasen performer.

Virksomheder og organisationer kan bruge disse logfiler som det primære værktøj i forhold til konstant at overvåge sikkerheden. De kan også vælge at integrere dem i SIEM-systemerne for at bevare et holistisk blik på tværs af alle systemer og applikationer.

Udfordringer på sikkerheden med low-code

Det er dog ikke lutter lagkage det hele. En af de største udfordringer ved low-code er, at det kan være udfordrende for organisationer at få et komplet overblik over, hvad det er, deres ansatte udvikler - især i tilfældet citizen development.

Hvis uheldet er ude, så kan man komme til at udvikle en app, der låser op for alle mulige former for data uden at sørge for at opsætte autentifikation og autorisation. Derfor er det ekstremt vigtigt, at man omfavner og understøtter en low-code-platform internt i IT afdelingen, så man har en ensartet måde at autentificere på, har en rollebaseret adgang og kan låse op for integration på en sikker måde.

For at runde det af, så kan IT derefter sørge for overvågning, således at man kan se, hvorvidt der er svagheder i de løsninger, man har udviklet, om man har fulgt best practice, og om arkitekturen er sat ordenligt sammen.

Hvordan overvåger du sikkerhed, der ikke er synlig?

En anden udfordring ved mange low-code-platforme er, at det er vanskeligt - eller ligefrem umuligt - at foretage statisk kode analyse, eftersom de udviklede applikationer er fortolkede. Runtime fortolkeren, der eksekverer koden
er en black-box. Kode og sikkerhedstjekkene er usynlige for organisationen, og kan ikke ordentligt blive testet. Og du vil derfor være nødt til at stole på 3. parts revision, ISO og SOC certifikater, SLA’er mv.

Når en platform anvender kode-generering, er statisk analyse muligt, og indsigt ind i sikkerheden af applikationen kan opnås med standardværktøjer. På trods af dette, anbefaler vi altid kunder, at omfavne sikre processer og metoder for udvikling, inklusiv trussels-modellering, på et tidligt stadie - endda før man overhovedet begynder at anvende low-code, altså i løbet af planlægningsfasen, og at udføre penetration testing af applikationerne før de bringes i produktion.

Det er altså tydeligt: Med low-code er der allerede inkluderet en bred vifte af sikkerhedsforanstaltninger som standard i applikationerne og i infrastrukturen, der hjælper med at følge best practices. Denne standard indebærer ikke blot fordele, hvad sikkerhed angår, men også i forhold til risk and compliance.

Men hvem vinder kapløbet? Både antallet af low-code applikationer, så vel som antallet af ransomware-angreb er i vækst. Men lad os da afgjort håbe, at low-code vokser hurtigst, så vi sammen kan stoppe den stigende trussel fra ransomware-angreb i Danmark og andetsteds.

Relateret indhold

Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Jørgen Elgaard Larsen

-udtaler skruetrækker-sælger.

Ja, pandemi og ransomware er slemt. Men der er ingen grund til at tro, at hverken det ene eller andet kan fjernes på magisk vis med low code.

Selvfølgelig kan nogle sikkerhedshuller undgås ved at bruge systemer, der tager højde for de mest åbenlyse ting. Til gengæld kan de selvsamme systemer være hullede, eller udnyttes i supply chain-angreb.

Som partsinlægget ovenfor indrømmer er der også en stor risiko for, at alskens amatører i organisationen laver løsninger uden at overveje sikkerheden.

Uanset om man bruger low code eller ej, er det bedst at overlade udviklingen til professionelle, der har fokus på sikkerheden.

Men det er i virkeligheden irrelevant. Det meste ransomware kommer ikke ind via egen-udviklet software. Typiske angrebsvektorer er stadig email, phishing, ondsindede hjemmesider, usikre apps, dårlige passwords, osv. Kombineret med ringe sikkerhedsopsætning, manglende backup, manglende intrusion detection.

Intet af det hjælper low code på, måske tværtimod.

  • 28
  • 0
#3 Lasse Mølgaard

Kald mig bare skeptisk.

... men følgende var ikke med til at overbevise mig:

Eftersom low-code platforme som regel bliver hosted via cloud, er der placeret adskillige lag af operationel og fysisk sikkerhed for at beskytte applikationer og brugerdata fra uautoriseret adgang og malware.

Har der ikke været nok af artikler på Version2 omkring databaser og bitbuckets, som var offentlig tilgængelige?

Mig bekendt bliver en webservice ikke mere sikker, blot fordi man skifter et programmeringssprog ud med et andet.

Det kræver stadigvæk man holder sig til best practice i alle dele af ens platform ud fra den klassiske betragtning om, at en kæde er ikke stærkere end dens svageste led.

Udfordringen ligger så i at finde ud af hvad der er best practice kan være notorisk svært, fordi best practice standarden flytter sig hele tiden.

  • 15
  • 0
#4 Toke Herkild

Synes Low code virker lidt ligesom virus, jo mere man har været udsat for det, jo højere er din immunitet...

Dog er der brilliante low code værktøjer, men de fleste af dem lover dig så heller ikke guld og grønne skove, men blot at gøre dit arbejde en anelse lettere.

  • 4
  • 0
#8 Kim Henriksen

Det kræver stadigvæk man holder sig til best practice i alle dele af ens platform ud fra den klassiske betragtning om, at en kæde er ikke stærkere end dens svageste led

Helt enig, og en opgave kræver typisk stadigvæk høj forståelse for det arbejde der skal udføres, det ændre low code ikke ved, altså f.eks. evnen til at bryde problemer ned.

  • 0
  • 0
Log ind eller Opret konto for at kommentere