Lacy Leadership

Success is Near

Prácticas Recomendadas de Seguridad del Código Fuente

0 Acciones El código fuente se puede comparar con la «salsa secreta» de una empresa. El código representa su propiedad intelectual en un nivel fundamental: son las instrucciones las que hacen que los productos de software funcionen. También forma parte de su ventaja competitiva y es un aspecto altamente estratégico de la innovación de su […]
0 Acciones

El código fuente se puede comparar con la «salsa secreta» de una empresa. El código representa su propiedad intelectual en un nivel fundamental: son las instrucciones las que hacen que los productos de software funcionen. También forma parte de su ventaja competitiva y es un aspecto altamente estratégico de la innovación de su empresa y del lugar que ocupa en su industria.

Debido a esta importancia inherente, el código fuente tiene un alto riesgo de exposición y robo. Los ejemplos de robo de código fuente o incluso de exposición accidental están muy extendidos. Como el ejemplo del desarrollador de software de IBM que recientemente recibió una sentencia de 5 años de prisión por robo de código fuente. O la exposición accidental de código de GreyShift, especialista en desbloqueo de iPhone para las agencias policiales, que resultó en que los hackers secuestraran a la compañía. (1, 2)

Las consecuencias de la exposición al código fuente incluyen todo, desde permitir que los competidores tengan una ventaja hasta la pérdida de ventaja innovadora, los costos financieros y la creación de problemas de seguridad para su empresa y sus clientes.

El código fuente se filtra a través de varias rutas. En un artículo anterior, analizamos algunas de las razones por las que y cómo se produce la exposición al código fuente. Estas rutas al código expuesto incluyen amenazas internas y externas. En un esfuerzo por reducir el riesgo de violación del código fuente, podemos aplicar las mejores prácticas para proteger el código fuente. En este artículo, veremos 5 de las prácticas más importantes. (3)

5 Las prácticas recomendadas para proteger el código fuente

La exposición al código fuente puede ser un área complicada de abordar. Esto se debe a que puede ocurrir tanto por medios maliciosos como accidentales. Cualquier medida que tome para mitigar la pérdida de código fuente debe cubrir ambas causas de fugas. Las 5 mejores prácticas a continuación, proporcionan una sólida base para evitar la pérdida de este bien más preciado, su código fuente:

Mejor práctica 1: Tener políticas de seguridad claras que incluyan código fuente

¿Por qué es necesario? Las políticas de seguridad son una parte fundamental de una organización moderna. Ayudan a su organización a elaborar estrategias y asesorar sobre todos los posibles problemas de seguridad. El robo de datos de todo tipo es un problema importante en todos los sectores de la industria. Cada día se roban más de 6,5 millones de registros de datos en todas las empresas. Una organización se encuentra en un riesgo financiero grave cuando se viola; la investigación encuentra que las caídas del precio de las acciones permanecen deprimidas durante al menos 6 meses después de la violación. (4, 5)

El código fuente debe tratarse como cualquier otro recurso de la empresa; las amenazas deben reconocerse en su política de seguridad y abordarse en ella. Estas amenazas deben incluir no solo la pérdida de código por exposición accidental o maliciosa, sino también la posibilidad de que el código sea infectado intencionalmente por malware, es decir, comprometido.

Formas procesables de contener el problema: Al crear una política de seguridad para su organización, asegúrese de tener una sección que cubra todas las áreas de desarrollo de código fuente y el personal involucrado en el desarrollo de código. Esto debería incluir, como mínimo,:

  • GitHub y otros tipos de repositorio, prácticas recomendadas – por ejemplo, derechos de acceso, configuración de repositorio, políticas de credenciales sólidas, prevención de la descarga de código fuente a máquinas locales, etc.
  • El uso de medios extraíbles por parte de los desarrolladores, en particular para evitar la pérdida accidental de código
  • Prácticas generales de higiene de seguridad para desarrolladores, políticas para ayudar a mitigar el riesgo de compartir contraseñas entre desarrolladores y el uso de portales de colaboración donde las contraseñas y el código se pueden publicar en grupos
  • Capacitación en conciencia de seguridad para desarrolladores, solo porque una persona escriba código de software no significa que sea consciente de los riesgos de seguridad
  • Compartimentar el código fuente cuando se utilizan subcontratistas, los desarrolladores generalmente no necesitan tener acceso a todo el código. Se les debe dar acceso por necesidad
  • Mantener las credenciales secretas y las claves de certificado separadas del código fuente – utilice el escaneo automático del código para verificar que las credenciales no se agregaron accidentalmente al código
  • El uso de tecnologías relevantes-consulte las mejores prácticas 2, 3 y 4

Práctica recomendada 2: Aplicar herramientas dedicadas para evitar el robo de código fuente

¿Por qué es necesario? Las amenazas internas al código fuente son muy costosas. En nuestra publicación reciente sobre los problemas de las amenazas internas, identificamos que puede costar un promedio mínimo de 1,8 millones de dólares y hasta 20 millones de dólares para rectificar un incidente interno. Por su propia naturaleza, garantizar que los expertos respeten la Propiedad Intelectual (P. I.) de la empresa puede ser una tarea difícil. Sin embargo, las herramientas dedicadas para evitar el robo de software nos brindan una capa de protección que de otro modo sería muy difícil de lograr. (6)

Formas procesables de contener el problema: Aplique herramientas especializadas que hayan sido diseñadas para contener esta área tan difícil de riesgo cibernético. Las herramientas de prevención de pérdida de datos ayudan a gestionar los problemas de seguridad relacionados con áreas de riesgo de alto nivel, incluidas las que abandonan una organización: el 89% de los que abandonan la organización siguen teniendo acceso a datos corporativos propietarios incluso después de abandonar la organización; subcontratistas que pueden tener acceso privilegiado; y empleados existentes en los que confía pero que necesita verificar (consulte también la práctica recomendada 5 a continuación). (7, 8)

Práctica recomendada 3: Acceso privilegiado y 2FA

¿Por qué se necesita esto? Las contraseñas suelen ser el eslabón más débil para controlar el acceso. Los desarrolladores generalmente requieren un alto nivel de acceso privilegiado mientras trabajan en el código fuente. Las filtraciones de datos, como el reciente incidente de la Colección #1, donde se filtraron 773 millones de registros de datos, incluidas contraseñas, hacen que el uso de contraseñas para acceso privilegiado sea de alto riesgo. Cualquier persona que necesite acceso privilegiado, por ejemplo, a repositorios de código fuente, debe tener una autenticación robusta aplicada. Un segundo factor, como un certificado digital o un código de tiempo limitado recibido en un dispositivo móvil, y las aplicaciones basadas en FIDO, son ejemplos de autenticación fuerte y/o de dos factores (2FA). La biometría es otro tipo de credencial que puede ofrecer un control de acceso más sólido a un área privilegiada de una red. (9, 10)

Formas procesables de contener el problema: Cualquier área de su red que contenga datos confidenciales, incluido el código fuente, las especificaciones de diseño y otra documentación relacionada, debe tener 2FA aplicada. Hay varios tipos diferentes de tecnologías disponibles para controlar el acceso a áreas privilegiadas de su sistema. Sin embargo, a menudo dependen de la aplicación. Los servicios que suelen utilizar los equipos de desarrollo, como GitHub, ofrecen autenticación de dos factores. (11)

Vincule esta mejor práctica a la mejor práctica 1 y cree políticas que abarquen un modelo de menor privilegio, es decir, solo permitan el acceso a quienes realmente lo necesitan.

Práctica recomendada 4: Tecnologías como el cifrado y el análisis/monitoreo del comportamiento

¿Por qué se necesita esto? La seguridad se basa en un enfoque por capas. Esto significa que no puede aplicar una sola práctica recomendada y esperar que mitigue el riesgo. En su lugar, debe usar una serie de prácticas recomendadas, tanto técnicas como centradas en el ser humano. La seguridad debe considerarse un proceso.

Se pueden aplicar varias tecnologías a nivel global y / o departamental para endurecer su capa protectora.

Formas procesables de contener el problema: Mediante el uso de tecnologías como el cifrado, las tecnologías de ofuscación de código y la supervisión de sus empleados y contratistas de manera no intrusiva, puede mantenerse al tanto de los problemas antes de que se conviertan en incidentes. Debe comenzar desde el inicio del proceso de desarrollo, desde las personas que desarrollan y / o acceden al código hasta el repositorio en el que está almacenado, hasta el intercambio y la publicación del código.

Práctica recomendada 5: Políticas que abarcan Confianza pero verifican

¿Por qué es necesario esto? Esta práctica recomendada reúne todos sus esfuerzos para proteger su código fuente. Este es un mantra filosófico que proporciona una base para una forma práctica de reducir no solo la exposición al código fuente, sino también otras fugas de datos confidenciales. «Confiar pero Verificar» se trata de crear una base pragmática de confianza dentro de su organización. La confianza ciega no funciona, como lo atestigua el 90% de las empresas preocupadas por una amenaza interna. (12)

Formas procesables de contener el problema: Trust but Verify reúne los enfoques sociológicos y tecnológicos de la seguridad del código fuente. Se basa en desarrollar una excelente comunicación con sus empleados. Esto incluye: aplicar capacitación en conciencia de seguridad para que toda su fuerza de trabajo extendida comprenda los riesgos; tener políticas de seguridad claras que incluyan protección de código; y aplicar las mejores tecnologías disponibles, como la prevención de pérdida de datos, para proteger su código fuente.

Conclusión

Su código fuente es su propiedad intelectual y sus datos confidenciales. Proteger este recurso es una necesidad fundamental para cualquier organización que genere código. La pérdida de código fuente no solo afecta a sus resultados financieros, sino que también le da a sus competidores una ventaja. Si su empresa crea código fuente, debe asegurarse de que permanezca bajo el control de su organización. Pero el código fuente es un bien muy valioso y con valor viene el riesgo.

Para mitigar ese riesgo, debe seguir un proceso que incluya las mejores prácticas. Nuestras 5 mejores prácticas para asegurar el código fuente se basan en un profundo conocimiento de la industria. Si sigue sus consejos, su empresa puede contener los riesgos asociados con el desarrollo de código fuente. Estas prácticas recomendadas ofrecen un enfoque de protección por capas que se basa en la metodología de prácticas anteriores para agregar profundidad y fortaleza a su seguridad. Estas mejores prácticas garantizarán la mitigación de cualquier amenaza, tanto interna como externa. Mantener tu código seguro es una prioridad en un mundo en el que la ciberdelincuencia está muy extendida. Pero igualmente, la exposición accidental puede terminar costándole caro a su organización.

Recursos

  • Computerworld: https://www.computerworld.com.au/article/632406/ex-ibm-employee-jailed-over-source-code-theft/
  • El Cyberwire: https://www.thecyberwire.com/issues/issues2018/April/CyberWire_2018_04_27.html
  • Detener el robo de código fuente, ¿Por qué los desarrolladores roban código fuente?: https://www.stop-source-code-theft.com/why-do-developers-steal-source-code/
  • Gemalto, el Incumplimiento del Índice de Nivel: https://breachlevelindex.com/
  • Comparitech: https://www.comparitech.com/blog/information-security/data-breach-share-price-2018/
  • Stop-Código Fuente-Robo, Amenaza interna 101: https://www.stop-source-code-theft.com/insider-threat-101-for-software-development-companies/
  • Stop-Código Fuente-Robo: https://www.stop-source-code-theft.com/
  • La Haya de Seguridad Delta: https://www.thehaguesecuritydelta.com/media/com_hsd/report/154/document/2017-Insider-Threat-Intelligence-Report.pdf
  • com: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
  • FIDO Alliance: https://fidoalliance.org/specifications/
  • GitHub Ayuda: https://help.github.com/en/articles/securing-your-account-with-two-factor-authentication-2fa
  • Computer Associates: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf

Deja una respuesta

Tu dirección de correo electrónico no será publicada.