Lacy Leadership

Success is Near

Best Practices für die Quellcodesicherheit

0 Shares Quellcode kann mit der ‚geheimen Soße‘ eines Unternehmens verglichen werden. Der Code repräsentiert Ihr geistiges Eigentum auf einer grundlegenden Ebene – es sind die Anweisungen, die Softwareprodukte zum Funktionieren bringen. Es ist auch Teil Ihres Wettbewerbsvorteils und ein äußerst strategischer Aspekt der Innovation und des Platzes Ihres Unternehmens in Ihrer Branche. Aufgrund dieser […]
0 Shares

Quellcode kann mit der ‚geheimen Soße‘ eines Unternehmens verglichen werden. Der Code repräsentiert Ihr geistiges Eigentum auf einer grundlegenden Ebene – es sind die Anweisungen, die Softwareprodukte zum Funktionieren bringen. Es ist auch Teil Ihres Wettbewerbsvorteils und ein äußerst strategischer Aspekt der Innovation und des Platzes Ihres Unternehmens in Ihrer Branche.

Aufgrund dieser inhärenten Bedeutung hat Quellcode ein hohes Risiko der Exposition und Diebstahl. Beispiele für Quellcode-Diebstahl oder sogar versehentliche Exposition sind weit verbreitet. Wie das Beispiel des IBM-Softwareentwicklers, der kürzlich wegen Diebstahls von Quellcode zu einer Haftstrafe von 5 Jahren verurteilt wurde. Oder die versehentliche Enthüllung von Code von GreyShift, Spezialist für iPhone-Entsperrung für Strafverfolgungsbehörden, was dazu führte, dass das Unternehmen von den Hackern als Lösegeld gehalten wurde. (1, 2)

Zu den Folgen der Offenlegung von Quellcode gehört alles, von der Möglichkeit, Wettbewerbern einen Vorteil zu verschaffen, über den Verlust von Innovationsvorsprung und finanziellen Kosten bis hin zur Schaffung von Sicherheitsproblemen für Ihr Unternehmen und Ihre Kunden.

Quellcode wird über eine Reihe von Routen durchgesickert. In einem früheren Artikel haben wir uns einige der Gründe angesehen, warum und wie Quellcode-Exposition auftritt. Diese Routen zu exponiertem Code umfassen sowohl Insider- als auch externe Bedrohungen. Um das Risiko einer Verletzung des Quellcodes zu verringern, können wir Best Practices zur Sicherung des Quellcodes anwenden. In diesem Artikel werden wir 5 der wichtigsten dieser Praktiken betrachten. (3)

5 Best Practices für die Sicherung von Quellcode

Die Offenlegung von Quellcode kann ein komplizierter Bereich sein. Dies liegt daran, dass dies sowohl böswillig als auch versehentlich geschehen kann. Jede Maßnahme, die Sie ergreifen, um den Verlust von Quellcode zu verringern, muss beide Ursachen von Lecks abdecken. Die folgenden 5 Best Practices geben eine solide Grundlage, um den Verlust dieser wertvollsten Ware, Ihres Quellcodes, zu verhindern:

Best Practice 1: Haben Sie klare Sicherheitsrichtlinien, die Quellcode enthalten

Warum ist dies erforderlich? Sicherheitsrichtlinien sind ein grundlegender Bestandteil einer modernen Organisation. Sie helfen Ihrem Unternehmen bei der Strategisierung und Beratung zu allen potenziellen Sicherheitsproblemen. Datendiebstahl aller Art ist in allen Branchen ein großes Problem. Über 6,5 Millionen Datensätze werden täglich gestohlen, unternehmensübergreifend. Eine Organisation ist einem ernsthaften finanziellen Risiko ausgesetzt, wenn sie verletzt wird; Untersuchungen haben ergeben, dass Aktienkursrückgänge für mindestens 6 Monate nach dem Verstoß gedrückt bleiben. (4, 5)

Quellcode sollte wie jede andere Unternehmensressource behandelt werden; Bedrohungen müssen von Ihrer Sicherheitsrichtlinie anerkannt und darin behandelt werden. Zu diesen Bedrohungen sollte nicht nur der Verlust von Code durch versehentliche oder böswillige Exposition gehören, sondern auch die Möglichkeit, dass Code absichtlich mit Malware infiziert wird – d. H. kompromittiert wird.

Umsetzbare Möglichkeiten zur Eindämmung des Problems: Stellen Sie beim Erstellen einer Sicherheitsrichtlinie für Ihre Organisation sicher, dass Sie über einen Abschnitt verfügen, der alle Bereiche der Quellcodeentwicklung und das an der Codeentwicklung beteiligte Personal abdeckt. Dies sollte mindestens:

  • GitHub und andere Repository-Typen, Best Practices – zum Beispiel Zugriffsrechte, Repository-Konfiguration, robuste Anmeldeinformationsrichtlinien, Verhinderung des Herunterladens von Quellen auf lokale Computer usw.
  • Die Verwendung von Wechselmedien durch Entwickler – insbesondere um versehentlichen Verlust von Code zu verhindern
  • Allgemeine Sicherheitshygienepraktiken für Entwickler – Richtlinien zur Minderung des Risikos der Weitergabe von Kennwörtern zwischen Entwicklern und die Verwendung von Kollaborationsportalen, auf denen Kennwörter und Code in Gruppen veröffentlicht werden können
  • Sicherheitsbewusstseinstraining für Entwickler – Nur weil eine Person Softwarecode schreibt, bedeutet dies nicht, dass sie sich der Sicherheitsrisiken bewusst ist
  • Unterteilen Sie den Quellcode verwendung von Subunternehmern – Entwickler müssen in der Regel nicht haben zugriff auf den gesamten Code. Sie sollten den Zugriff auf eine ’need to know Basis‘ gegeben werden
  • Halten Sie alle geheimen Anmeldeinformationen und Zertifikatsschlüssel getrennt vom Quellcode – verwenden Sie Auto-Scanning von Code Anmeldeinformationen zu überprüfen, haben nicht versehentlich auf den Code hinzugefügt worden
  • Die Verwendung relevanter Technologien – siehe Best Practices 2, 3 und 4

Best Practice 2: Wenden Sie spezielle Tools an, um den Diebstahl von Quellcode zu verhindern

Warum ist dies erforderlich? Insider-Bedrohungen für den Quellcode sind sehr kostspielig. In unserem jüngsten Beitrag zu internen Bedrohungen haben wir festgestellt, dass die Behebung eines Insider-Vorfalls durchschnittlich mindestens 1,8 Millionen US-Dollar und bis zu 20 Millionen US-Dollar kosten kann. Es kann von Natur aus schwierig sein, sicherzustellen, dass Insider das geistige Eigentum (IP) des Unternehmens respektieren. Spezielle Tools zur Verhinderung von Softwarediebstahl bieten uns jedoch einen Schutz, der sonst nur sehr schwer zu erreichen wäre. (6)

Umsetzbare Möglichkeiten zur Eindämmung des Problems: Wenden Sie spezielle Tools an, die entwickelt wurden, um diesen sehr schwierigen Bereich des Cyberrisikos einzudämmen. Tools zur Verhinderung von Datenverlust helfen bei der Bewältigung von Sicherheitsproblemen in Bezug auf Bereiche mit hohem Risiko, einschließlich derjenigen, die eine Organisation verlassen – 89% der Abgänger haben auch nach dem Verlassen einer Organisation weiterhin Zugriff auf proprietäre Unternehmensdaten; Subunternehmer, die möglicherweise privilegierten Zugriff haben; und bestehende Mitarbeiter, denen Sie vertrauen, die Sie jedoch überprüfen müssen (siehe auch Best Practice 5 unten). (7, 8)

Best Practice 3: Privilegierter Zugriff und 2FA

Warum ist dies erforderlich? Passwörter sind oft das schwächste Glied bei der Zugriffskontrolle. Entwickler benötigen normalerweise ein hohes Maß an privilegiertem Zugriff, wenn sie am Quellcode arbeiten. Datenschutzverletzungen wie der jüngste Collection # 1-Vorfall, bei dem 773 Millionen Datensätze, einschließlich Kennwörter, durchgesickert sind, machen die Verwendung von Kennwörtern für privilegierten Zugriff zu einem hohen Risiko. Jeder, der privilegierten Zugriff benötigt, z. B. auf Quellcode-Repositorys, muss über eine robuste Authentifizierung verfügen. Ein zweiter Faktor, wie ein digitales Zertifikat oder ein zeitlich begrenzter Code, der auf einem mobilen Gerät empfangen wird, und FIDO-basierte Apps sind Beispiele für eine starke und / oder Zwei-Faktor-Authentifizierung (2FA). Biometrie ist eine andere Art von Anmeldeinformationen, die eine stärkere Zugriffskontrolle auf einen privilegierten Bereich eines Netzwerks bieten können. (9, 10)

Umsetzbare Möglichkeiten zur Eindämmung des Problems: In jedem Bereich Ihres Netzwerks, der vertrauliche Daten enthält, einschließlich Quellcode, Designspezifikationen und anderer zugehöriger Dokumentation, sollte 2FA angewendet werden. Es stehen verschiedene Arten von Technologien zur Verfügung, um den Zugriff auf privilegierte Bereiche Ihres Systems zu steuern. Diese sind jedoch oft von der Anwendung abhängig. Dienste, die häufig von Entwicklungsteams verwendet werden, wie GitHub, bieten Zwei-Faktor-Authentifizierung. (11)

Verknüpfen Sie diese Best Practice mit Best Practice 1 und erstellen Sie Richtlinien, die ein Modell der geringsten Berechtigung umfassen, dh nur denjenigen Zugriff gewähren, die ihn wirklich benötigen.

Best Practice 4: Technologien wie Verschlüsselung und Verhaltensanalyse/-überwachung

Warum ist dies erforderlich? Sicherheit basiert auf einem mehrschichtigen Ansatz. Dies bedeutet, dass Sie keine einzige Best Practice anwenden können und hoffen, dass sie das Risiko mindert. Stattdessen müssen Sie eine Reihe von technischen und menschenzentrierten Best Practices verwenden. Sicherheit sollte als Prozess betrachtet werden.

Verschiedene Technologien können auf globaler und / oder Abteilungsebene angewendet werden, um Ihre Schutzschicht zu härten.

Umsetzbare Möglichkeiten zur Eindämmung des Problems: Mithilfe von Technologien wie Verschlüsselung, Code-Verschleierungstechnologien und durch die nicht aufdringliche Überwachung Ihrer Mitarbeiter und Auftragnehmer können Sie Probleme im Auge behalten, bevor sie zu Vorfällen werden. Sie müssen ganz am Anfang des Entwicklungsprozesses beginnen, von den Personen, die den Code entwickeln und / oder darauf zugreifen, über das Repository, in dem er gespeichert ist, bis hin zur Freigabe und Freigabe von Code.

Best Practice 5: Richtlinien, die Vertrauen umfassen, aber verifizieren

Warum ist dies erforderlich? Diese Best Practice bringt alle Ihre Bemühungen zum Schutz Ihres Quellcodes zusammen. Dies ist ein philosophisches Mantra, das eine Grundlage für eine praktische Möglichkeit bietet, nicht nur die Exposition gegenüber Quellcode, sondern auch andere sensible Datenlecks zu reduzieren. Bei ‚Trust but Verify‘ geht es darum, eine pragmatische Vertrauensbasis innerhalb Ihrer Organisation zu schaffen. Blindes Vertrauen funktioniert nicht, wie die 90% der Unternehmen, die von einer Insider-Bedrohung betroffen sind, bestätigen. (12)

Umsetzbare Möglichkeiten zur Eindämmung des Problems: Trust but Verify bringt die soziologischen und technologischen Ansätze zur Quellcodesicherheit zusammen. Es basiert auf der Entwicklung einer hervorragenden Kommunikation mit Ihren Mitarbeitern. Dazu gehören: die Anwendung von Sicherheitsbewusstseinstrainings, damit alle Ihre erweiterten Mitarbeiter die Risiken verstehen; klare Sicherheitsrichtlinien, einschließlich Codeschutz; und die Anwendung der besten verfügbaren Technologien wie Data Loss Prevention, um Ihren Quellcode zu schützen.

Fazit

Ihr Quellcode ist Ihr geistiges Eigentum und geschützte sensible Daten. Der Schutz dieser Ressource ist eine grundlegende Notwendigkeit für jede Organisation, die Code generiert. Der Verlust von Quellcode wirkt sich nicht nur auf Ihr finanzielles Endergebnis aus, sondern gibt Ihren Konkurrenten auch ein Bein nach oben. Wenn Ihr Unternehmen Quellcode erstellt, müssen Sie sicherstellen, dass er unter der Kontrolle Ihrer Organisation bleibt. Aber Quellcode ist ein sehr wertvolles Gut und mit Wert kommt Risiko.

Um dieses Risiko zu mindern, müssen Sie einen Prozess befolgen, der Best Practices umfasst. Unsere 5 Best Practices zur Sicherung von Quellcode basieren auf fundierten Branchenkenntnissen. Wenn Sie ihren Rat befolgen, kann Ihr Unternehmen die mit der Quellcodeentwicklung verbundenen Risiken eindämmen. Diese Best Practices bieten einen mehrschichtigen Schutzansatz, der auf früheren Methoden aufbaut, um Ihrer Sicherheit Tiefe und Stärke zu verleihen. Diese Best Practices stellen sicher, dass jede Bedrohung, sowohl interne als auch externe, gemindert wird. Die Sicherheit Ihres Codes hat in einer Welt, in der Cyberkriminalität weit verbreitet ist, Priorität. Aber ebenso kann eine versehentliche Exposition Ihre Organisation teuer zu stehen kommen.

Ressourcen

  • Computerworld: https://www.computerworld.com.au/article/632406/ex-ibm-employee-jailed-over-source-code-theft/
  • Der Cyberwire: https://www.thecyberwire.com/issues/issues2018/April/CyberWire_2018_04_27.html
  • Stop-Source-Code-Theft, Warum stehlen Entwickler Quellcode?: https://www.stop-source-code-theft.com/why-do-developers-steal-source-code/
  • Gemalto, Breach Level Index: https://breachlevelindex.com/
  • Comparitech: https://www.comparitech.com/blog/information-security/data-breach-share-price-2018/
  • Stop-Source-Code-Diebstahl, Insider-Bedrohung 101: https://www.stop-source-code-theft.com/insider-threat-101-for-software-development-companies/
  • Stop-Source-Code-Diebstahl: https://www.stop-source-code-theft.com/
  • Den Haager Sicherheitsdelta: https://www.thehaguesecuritydelta.com/media/com_hsd/report/154/document/2017-Insider-Threat-Intelligence-Report.pdf
  • kom: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
  • FIDO Alliance: https://fidoalliance.org/specifications/
  • GitHub Hilfe: https://help.github.com/en/articles/securing-your-account-with-two-factor-authentication-2fa
  • Computer Associates: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.