Lacy Leadership

Success is Near

kildekode sikkerhed bedste praksis

0 aktier kildekode kan sammenlignes med en virksomheds ‘hemmelige sauce’. Koden repræsenterer din intellektuelle ejendom på et grundlæggende niveau-det er instruktionerne, der får programmelprodukter til at fungere. Det er også en del af din konkurrencefordel og er et meget strategisk aspekt af din virksomheds innovation og plads i din branche. på grund af denne iboende […]
0 aktier

kildekode kan sammenlignes med en virksomheds ‘hemmelige sauce’. Koden repræsenterer din intellektuelle ejendom på et grundlæggende niveau-det er instruktionerne, der får programmelprodukter til at fungere. Det er også en del af din konkurrencefordel og er et meget strategisk aspekt af din virksomheds innovation og plads i din branche.

på grund af denne iboende betydning kildekode har en høj risiko for eksponering og tyveri. Eksempler på kildekode tyveri eller endda utilsigtet eksponering er udbredt. Som eksemplet med IBM-programudvikleren, der for nylig fik en 5-årig fængselsstraf for tyveri af kildekode. Eller den utilsigtede eksponering af kode fra GreyShift, iPhone-oplåsningsspecialist for retshåndhævende myndigheder, hvilket resulterede i, at virksomheden blev holdt til løsepenge af hackerne. (1, 2)

konsekvenserne af kildekodeeksponering inkluderer alt fra at lade konkurrenter have en fordel til tab af innovativ kant, økonomiske omkostninger samt skabe sikkerhedsproblemer for din virksomhed og kunder.

kildekoden lækkes via en række ruter. I en tidligere artikel kiggede vi på nogle af grundene til, og hvordan kildekodeeksponering opstår. Disse ruter til eksponeret kode inkluderer både insider-og eksterne trusler. I et forsøg på at reducere risikoen for kildekodebrud kan vi anvende bedste praksis til sikring af kildekode. I denne artikel vil vi se på 5 af de vigtigste af disse fremgangsmåder. (3)

5 bedste fremgangsmåder til sikring af kildekode

Kildekodeeksponering kan være et kompliceret område at adressere. Dette skyldes, at det kan ske ved både ondsindede og utilsigtede midler. Enhver foranstaltning, du tager for at afbøde tab af kildekode, skal dække begge årsager til lækager. De 5 bedste fremgangsmåder nedenfor giver en robust grundforbindelse for at forhindre tab af denne mest dyrebare vare, din kildekode:

bedste praksis 1: Har klare sikkerhedspolitikker, der indeholder kildekode

Hvorfor er dette nødvendigt? Sikkerhedspolitikker er en grundlæggende del af en moderne organisation. De hjælper din organisation med at strategisere og rådgive om alle potentielle sikkerhedsspørgsmål. Datatyveri af alle slags er et stort problem på tværs af alle brancher. Over 6,5 millioner dataposter stjæles hver dag på tværs af alle virksomheder. En organisation er placeret i alvorlig økonomisk risiko, når den overtrædes; forskning, der finder ud af, at aktiekursfald forbliver deprimeret i mindst 6 måneder efter brud. (4, 5)

kildekoden skal behandles som enhver anden virksomhedsressource; trusler skal anerkendes af din sikkerhedspolitik og behandles deri. Disse trusler bør ikke kun omfatte tab af kode ved utilsigtet eller ondsindet eksponering, men også muligheden for, at koden forsætligt inficeres af ondsindet program – dvs.kompromitteret.

Handlingsrettede måder at indeholde problemet på: når du opretter en sikkerhedspolitik for din organisation, skal du sikre dig, at du har et afsnit, der dækker alle kildekodeudviklingsområder og personale, der er involveret i kodeudvikling. Dette bør omfatte et minimum:

  • GitHub og andre lagertyper, bedste praksis – for eksempel adgangsrettigheder, lagerkonfiguration, robuste legitimationspolitikker, forebyggelse af overførsel af kilde til lokale maskiner osv.
  • brug af flytbare medier af udviklere – især for at forhindre utilsigtet tab af kode
  • generel sikkerhedshygiejnepraksis for udviklere – politikker, der hjælper med at mindske risikoen for adgangskodedeling blandt udviklere og brugen af samarbejdsportaler, hvor adgangskoder og kode kan bogføres i grupper
  • sikkerhedsbevidsthedstræning for udviklere – bare fordi en person skriver programkode, betyder det ikke, at de er opmærksomme på sikkerhedsrisici
  • Inddel kildekoden ved brug af underleverandører – udviklere behøver normalt ikke at have adgang til hele koden. De skal have adgang på et ‘behov for at vide basis’
  • hold hemmelige legitimationsoplysninger og certifikatnøgler adskilt fra kildekoden-brug Automatisk scanning af kode til at kontrollere legitimationsoplysninger er ikke ved et uheld blevet føjet til koden
  • brug af relevante teknologier-se bedste praksis 2, 3 og 4

bedste praksis 2: Anvend dedikerede værktøjer til at forhindre tyveri af kildekode

Hvorfor er dette nødvendigt? Insider trusler mod kildekoden er meget dyre. I vores seneste indlæg om problemerne med interne trusler identificerede vi, at det kan koste et minimumsgennemsnit på $1,8 millioner og op til $20 millioner USD for at rette op på en insiderhændelse. I sagens natur kan det være en vanskelig ting at sikre, at insidere respekterer virksomhedens intellektuelle ejendom (IP). Dedikerede værktøjer til at forhindre tyveri af programmer giver os imidlertid et beskyttelseslag, som ellers ville være meget vanskeligt at opnå. (6)

Handlingsrettede måder at indeholde problemet på: Anvend specialværktøjer, der er designet til at indeholde dette meget vanskelige område med cyberrisiko. Værktøjer til forebyggelse af datatab hjælper med at håndtere sikkerhedsproblemer relateret til risikoområder på højt niveau, herunder dem, der forlader en organisation-89% af de, der forlader virksomheden, har fortsat adgang til proprietære virksomhedsdata, selv efter at de har forladt en organisation; underleverandører, der kan have privilegeret adgang; og eksisterende medarbejdere, som du har tillid til, men har brug for at verificere (se også bedste praksis 5 nedenfor). (7, 8)

bedste praksis 3: privilegeret adgang og 2FA

Hvorfor er dette nødvendigt? Adgangskoder er ofte det svageste led i kontrol af adgang. Udviklere kræver normalt et højt niveau af privilegeret adgang, da de arbejder på kildekode. Databrud som den nylige samling #1-hændelse, hvor 773 millioner dataposter, inklusive adgangskoder, blev lækket, gør brugen af adgangskoder til privilegeret adgang, høj risiko. Enhver, der har brug for privilegeret adgang, for eksempel til kildekodelagre, skal have robust godkendelse anvendt. En anden faktor, såsom et digitalt certifikat eller tidsbegrænset kode modtaget på en mobilenhed og FIDO-baserede apps, er eksempler på stærk og/eller tofaktorautentificering (2FA). Biometri er en anden type legitimationsoplysninger, der kan tilbyde stærkere adgangskontrol til et privilegeret område af et netværk. (9, 10)

Handlingsrettede måder at indeholde problemet på: ethvert område af dit netværk, der indeholder følsomme data, herunder kildekode, designspecifikationer og anden relateret dokumentation, skal have 2FA anvendt. Der er en række forskellige typer af teknologier til rådighed til at styre adgangen til privilegerede områder af dit system. Disse er dog ofte afhængige af applikationen. Tjenester, der ofte bruges af udviklingshold, såsom GitHub, tilbyder tofaktorautentificering. (11)

Link denne bedste praksis tilbage til bedste praksis 1 og opret politikker, der omfatter en model med mindst privilegium, dvs.kun give adgang til dem, der virkelig har brug for det.

bedste praksis 4: teknologier som kryptering og adfærdsanalyse/overvågning

Hvorfor er dette nødvendigt? Sikkerhed er afhængig af en lagdelt tilgang. Dette betyder, at du ikke kan anvende en enkelt bedste praksis og håber, at den mindsker risikoen. I stedet skal du bruge en række både tekniske og menneskecentrerede bedste praksis. Sikkerhed skal betragtes som en proces.

forskellige teknologier kan anvendes på globalt og/eller afdelingsbasis for at hærde dit beskyttende lag.

Handlingsrettede måder at indeholde problemet på: ved hjælp af teknologier som kryptering, kodefornemmelsesteknologier og ved at overvåge dine medarbejdere og entreprenører på en ikke-påtrængende måde kan du holde øje med problemer, før de bliver hændelser. Du skal begynde helt i starten af udviklingsprocessen, fra de personer, der udvikler og/eller får adgang til koden, til det lager, den er gemt i, til deling og frigivelse af kode.

bedste praksis 5: politikker, der omfatter tillid, men verificerer

Hvorfor er dette nødvendigt? Denne bedste praksis bringer alle dine bestræbelser på at beskytte din kildekode sammen. Dette er et filosofisk mantra, der giver grundlag for en praktisk måde at reducere ikke kun kildekodeeksponering, men andre følsomme datalækager. ‘Trust but Verify’ handler om at skabe et pragmatisk grundlag for tillid i din organisation. Blind tillid fungerer ikke som 90% af de berørte virksomheder om en insidertrussel, attesterer. (12)

Handlingsrettede måder at indeholde problemet på: Trust but Verify bringer de sociologiske og teknologiske tilgange til kildekodesikkerhed sammen. Det er baseret på at udvikle fremragende kommunikation med dine medarbejdere. Dette omfatter: anvendelse af sikkerhedsbevidsthedstræning, så hele din udvidede arbejdsstyrke forstår risiciene; have klare sikkerhedspolitikker, der omfatter kodebeskyttelse; og anvende de bedste tilgængelige teknologier, som forebyggelse af datatab, for at beskytte din kildekode.

konklusion

din kildekode er din intellektuelle ejendomsret og proprietære følsomme data. Beskyttelse af denne ressource er et grundlæggende behov for enhver organisation, der genererer kode. Tab af kildekode påvirker ikke kun din økonomiske bundlinje, det giver også dine konkurrenter et ben op. Hvis din virksomhed opretter kildekode, skal du sørge for, at den forbliver under din organisations kontrol. Men kildekoden er en meget værdifuld råvare og med værdi kommer risiko.

for at mindske denne risiko skal du følge en proces, der omfatter bedste praksis. Vores 5 bedste fremgangsmåder til sikring af kildekode er bygget på dyb branchekendskab. Hvis du følger deres råd, kan din virksomhed indeholde de risici, der er forbundet med kildekodeudvikling. Disse bedste fremgangsmåder tilbyder en lagdelt tilgang til beskyttelse, der bygger på tidligere praksismetoder for at tilføje dybde og styrke til din sikkerhed. Denne bedste praksis vil sikre, at enhver trussel, både intern og ekstern, afbødes mod. At holde din kode sikker er en prioritet i en verden, hvor cyberkriminalitet er udbredt. Men ligeledes kan utilsigtet eksponering ende med at koste din organisation dyrt.

Ressourcer

  • Computerverden: https://www.computerworld.com.au/article/632406/ex-ibm-employee-jailed-over-source-code-theft/
  • Cybertråden: https://www.thecyberwire.com/issues/issues2018/April/CyberWire_2018_04_27.html
  • Stop-kildekode-tyveri, hvorfor stjæler udviklere kildekode?: https://www.stop-source-code-theft.com/why-do-developers-steal-source-code/
  • Gemalto, indeks for Misligholdelsesniveau: https://breachlevelindex.com/
  • Comparitech: https://www.comparitech.com/blog/information-security/data-breach-share-price-2018/
  • Stop-kildekode-tyveri, Insider trussel 101: https://www.stop-source-code-theft.com/insider-threat-101-for-software-development-companies/
  • Stop-kildekode-tyveri: https://www.stop-source-code-theft.com/
  • Haag Security Delta: https://www.thehaguesecuritydelta.com/media/com_hsd/report/154/document/2017-Insider-Threat-Intelligence-Report.pdf
  • com: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
  • FIDO Alliance: https://fidoalliance.org/specifications/
  • GitHub hjælp: https://help.github.com/en/articles/securing-your-account-with-two-factor-authentication-2fa
  • Computer Associates: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.