Lacy Leadership

Success is Near

osvědčené postupy zabezpečení zdrojového kódu

0 akcie zdrojový kód lze přirovnat k „tajné omáčce“ společnosti. Kód představuje vaše duševní vlastnictví na základní úrovni-jsou to pokyny, díky nimž softwarové produkty fungují. Je také součástí vaší konkurenční výhody a je vysoce strategickým aspektem inovace a místa vaší společnosti ve vašem oboru. z tohoto důvodu má zdrojový kód vysoké riziko expozice a krádeže. […]
0 akcie

zdrojový kód lze přirovnat k „tajné omáčce“ společnosti. Kód představuje vaše duševní vlastnictví na základní úrovni-jsou to pokyny, díky nimž softwarové produkty fungují. Je také součástí vaší konkurenční výhody a je vysoce strategickým aspektem inovace a místa vaší společnosti ve vašem oboru.

z tohoto důvodu má zdrojový kód vysoké riziko expozice a krádeže. Příklady krádeže zdrojového kódu nebo dokonce náhodné expozice jsou rozšířené. Jako příklad vývojáře softwaru IBM, který nedávno dostal 5letý trest odnětí svobody za krádež zdrojového kódu. Nebo náhodné vystavení kódu od GreyShift, specialisty na odemykání iPhone pro donucovací orgány, což vedlo k tomu, že společnost byla hackery držena za výkupné. (1, 2)

důsledky expozice zdrojového kódu zahrnují vše od umožnění konkurentům mít výhodu až po ztrátu inovativní hrany, finanční náklady, stejně jako vytváření bezpečnostních problémů pro vaši firmu a zákazníky.

zdrojový kód uniká několika cestami. V předchozím článku jsme se zabývali některými důvody, proč a jak dochází k expozici zdrojového kódu. Tyto cesty k vystavenému kódu zahrnují jak vnitřní, tak vnější hrozby. Ve snaze snížit riziko porušení zdrojového kódu můžeme použít osvědčené postupy při zabezpečení zdrojového kódu. V tomto článku se podíváme na 5 nejdůležitějších z těchto postupů. (3)

5 osvědčené postupy při zabezpečení zdrojového kódu

expozice zdrojového kódu může být složitou oblastí k řešení. Je to proto, že se to může stát jak škodlivými, tak náhodnými prostředky. Jakékoli opatření, které přijmete ke zmírnění ztráty zdrojového kódu, musí zahrnovat obě příčiny úniku. 5 osvědčených postupů níže, dát robustní základy v prevenci ztráty této nejcennější komodit, váš zdrojový kód:

nejlepší praxe 1: Máte jasné zásady zabezpečení, které obsahují zdrojový kód

proč je to nutné? Bezpečnostní politiky jsou základní součástí moderní organizace. Pomáhají vaší organizaci strategizovat a radit ve všech potenciálních bezpečnostních otázkách. Krádež dat všeho druhu je velkým problémem ve všech průmyslových odvětvích. Každý den je odcizeno více než 6,5 milionu datových záznamů, a to ve všech společnostech. Organizace je vystavena vážnému finančnímu riziku, když je porušena; výzkum zjistil, že poklesy cen akcií zůstávají v depresi po dobu nejméně 6 měsíců po porušení. (4, 5)

se zdrojovým kódem by se mělo zacházet jako s jakýmkoli jiným firemním zdrojem; hrozby musí být uznány vaší bezpečnostní politikou a musí být v ní řešeny. Tyto hrozby by měly zahrnovat nejen ztrátu kódu náhodným nebo škodlivým vystavením, ale také možnost úmyslného infikování kódu malwarem-tj.

žalovatelné způsoby, jak problém omezit: při vytváření bezpečnostních zásad pro vaši organizaci se ujistěte, že máte sekci, která pokrývá všechny oblasti vývoje zdrojového kódu a pracovníky zapojené do vývoje kódu. To by mělo zahrnovat minimálně:

  • GitHub a další typy repozitářů, osvědčené postupy – například přístupová práva, konfigurace úložiště, robustní zásady pověření, prevence stahování zdroje do lokálních počítačů atd.
  • používání vyměnitelných médií vývojáři – zejména proto, aby se zabránilo náhodné ztrátě kódu
  • Obecné bezpečnostní hygienické postupy pro vývojáře – zásady, které pomáhají zmírnit riziko sdílení hesel mezi vývojáři a používání portálů spolupráce, kde mohou být hesla a kód zveřejňovány ve skupinách
  • školení o povědomí o bezpečnosti pro vývojáře – jen proto, že jednotlivec píše softwarový kód, neznamená, že si je vědom bezpečnostních rizik
  • rozčlenit zdrojový kód při použití subdodavatelů – vývojáři obvykle nepoužívají potřeba mít přístup ke všem kódu. Měli by jim být umožněn přístup na základě „potřeby vědět“
  • Udržujte všechna tajná pověření a klíče certifikátů odděleně od zdrojového kódu-použijte automatické skenování kódu ke kontrole pověření, které nebyly náhodně přidány do kódu
  • použití příslušných technologií – viz osvědčené postupy 2, 3 a 4

nejlepší praxe 2: Použijte speciální nástroje, abyste zabránili krádeži zdrojového kódu

proč je to nutné? Insider hrozby zdrojového kódu jsou velmi nákladné. V našem nedávném příspěvku k otázkám vnitřních hrozeb jsme zjistili, že to může stát v průměru 1,8 milionu dolarů a až 20 milionů dolarů na nápravu zasvěceného incidentu. Ze své podstaty může být obtížné zajistit, aby zasvěcenci respektovali duševní vlastnictví společnosti (IP). Vyhrazené nástroje, které zabraňují krádeži softwaru, nám však poskytují vrstvu ochrany, které by jinak bylo velmi obtížné dosáhnout. (6)

žalovatelné způsoby, jak problém omezit: použijte specializované nástroje, které byly navrženy tak, aby obsahovaly tuto velmi obtížnou oblast kybernetického rizika. Nástroje pro prevenci ztráty dat pomáhají řešit bezpečnostní problémy související s rizikovými oblastmi na vysoké úrovni, včetně těch, které opouštějí organizaci-89% absolventů má i nadále přístup k vlastnickým firemním datům i po opuštění organizace; subdodavatelé, kteří mohou mít privilegovaný přístup; a stávající zaměstnanci, kterým důvěřujete, ale musíte je ověřit (viz také osvědčené postupy 5 níže). (7, 8)

osvědčené postupy 3: privilegovaný přístup a 2FA

proč je to nutné? Hesla jsou často nejslabším článkem v řízení přístupu. Vývojáři obvykle vyžadují vysokou úroveň privilegovaného přístupu, protože pracují na zdrojovém kódu. Porušení dat, jako je nedávný incident kolekce # 1, kdy došlo k úniku 773 milionů datových záznamů, včetně hesel, umožňuje použití hesel pro privilegovaný přístup, vysoké riziko. Každý, kdo potřebuje privilegovaný přístup, například k úložištím zdrojového kódu, musí mít robustní autentizaci. Druhým faktorem, jako je digitální certifikát nebo časově omezený kód přijatý na mobilním zařízení, a aplikace založené na FIDO, jsou příklady silné a / nebo dvoufaktorové autentizace (2FA). Biometrie je dalším typem pověření, které může nabídnout silnější kontrolu přístupu do privilegované oblasti sítě. (9, 10)

žalovatelné způsoby, jak problém omezit: jakákoli oblast vaší sítě, která obsahuje citlivá data, včetně zdrojového kódu, specifikace návrhu, a další související dokumentace, by měla mít 2FA. K dispozici je řada různých typů technologií pro řízení přístupu do privilegovaných oblastí vašeho systému. Ty jsou však často závislé na aplikaci. Služby často využívané vývojovými týmy, jako je GitHub, nabízejí dvoufaktorovou autentizaci. (11)

propojte tuto osvědčenou praxi zpět s osvědčenou praxí 1 a vytvořte zásady, které zahrnují model nejmenšího privilegia, tj. povolte přístup pouze těm, kteří to skutečně potřebují.

Best Practice 4: technologie, jako je šifrování a behaviorální analytika/monitorování

proč je to potřeba? Bezpečnost se opírá o vrstvený přístup. To znamená, že nemůžete použít jediný osvědčený postup a doufat, že zmírní riziko. Místo toho musíte použít řadu technických i osvědčených postupů zaměřených na člověka. Bezpečnost by měla být považována za proces.

různé technologie mohou být aplikovány na globální a / nebo resortní bázi k vytvrzení vaší ochranné vrstvy.

žalovatelné způsoby, jak problém omezit: pomocí technologií, jako je šifrování, technologie zamlžování kódu, a monitorováním vašich zaměstnanců a dodavatelů nerušivým způsobem, můžete mít na vrcholu problémů dříve, než se stanou incidenty. Musíte začít na samém začátku procesu vývoje, od jednotlivců, kteří vyvíjejí a / nebo přistupují k kódu až po úložiště, ve kterém je uložen, až po sdílení a uvolnění kódu.

osvědčené postupy 5: zásady, které zahrnují důvěru, ale ověřují

proč je to nutné? Tato osvědčená praxe spojuje veškeré vaše úsilí při ochraně zdrojového kódu dohromady. Toto je filozofická mantra, která poskytuje základ pro praktický způsob, jak omezit nejen expozici zdrojovým kódem, ale i další úniky citlivých dat. „Trust but Verify“ je o vytvoření pragmatického základu důvěry ve vaší organizaci. Blind trust nefunguje, jak potvrzuje 90% společností, které se obávají hrozby zasvěcených osob. (12)

žalovatelné způsoby, jak problém omezit: Trust but Verify spojuje sociologické a technologické přístupy k zabezpečení zdrojového kódu. Je založen na rozvoji vynikající komunikace se svými zaměstnanci. To zahrnuje: uplatňování školení o povědomí o bezpečnosti, aby všichni vaši rozšířené pracovní síly rozuměli rizikům; mít jasné bezpečnostní zásady, které zahrnují ochranu kódu; a použití nejlepších dostupných technologií, jako je prevence ztráty dat, k ochraně zdrojového kódu.

závěr

váš zdrojový kód je vaše duševní vlastnictví a proprietární citlivá data. Ochrana tohoto zdroje je základní potřebou každé organizace, která generuje kód. Ztráta zdrojového kódu ovlivňuje nejen vaše finanční pointa, ale také dává vašim konkurentům nohu nahoru. Pokud vaše společnost vytvoří zdrojový kód, musíte se ujistit, že zůstane pod kontrolou vaší organizace. Zdrojový kód je však velmi cenná komodita a s hodnotou přichází riziko.

abyste toto riziko zmírnili, musíte postupovat podle osvědčených postupů. Náš 5 osvědčené postupy pro zabezpečení zdrojového kódu jsou postaveny na hlubokých znalostech v oboru. Pokud se budete řídit jejich radami, vaše společnost může obsahovat rizika spojená s vývojem zdrojového kódu. Tyto osvědčené postupy nabízejí vrstvený přístup k ochraně, který staví na předchozí metodice praxe a zvyšuje hloubku a sílu vaší bezpečnosti. Tyto osvědčené postupy zajistí, že jakákoli vnitřní i vnější hrozba bude zmírněna. Udržování kódu v bezpečí je prioritou ve světě, kde je rozšířená počítačová kriminalita. Ale stejně tak náhodná expozice může nakonec vaši organizaci draho stát.

Zdroje

  • Computerworld: https://www.computerworld.com.au/article/632406/ex-ibm-employee-jailed-over-source-code-theft/
  • Cyberwire: https://www.thecyberwire.com/issues/issues2018/April/CyberWire_2018_04_27.html
  • Stop-Source-Code-Theft, proč vývojáři ukrást zdrojový kód?: https://www.stop-source-code-theft.com/why-do-developers-steal-source-code/
  • Gemalto, index úrovně porušení: https://breachlevelindex.com/
  • Comparitech: https://www.comparitech.com/blog/information-security/data-breach-share-price-2018/
  • Stop-source-Code-Theft, Insider Threat 101: https://www.stop-source-code-theft.com/insider-threat-101-for-software-development-companies/
  • Stop-zdroj-kód-krádež: https://www.stop-source-code-theft.com/
  • Haagské bezpečnostní Delta: https://www.thehaguesecuritydelta.com/media/com_hsd/report/154/document/2017-Insider-Threat-Intelligence-Report.pdf
  • kom: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
  • FIDO Alliance: https://fidoalliance.org/specifications/
  • GitHub Nápověda: https://help.github.com/en/articles/securing-your-account-with-two-factor-authentication-2fa
  • Computer Associates: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.