Lacy Leadership

Success is Near

forráskód biztonsági bevált gyakorlatok

0 részvények a forráskód egy vállalat ‘titkos szószához’ hasonlítható. A kód alapvető szinten képviseli szellemi tulajdonát-az utasítások teszik a szoftvertermékeket működőképessé. Ez is része a versenyelőnyének, és rendkívül stratégiai szempont a vállalat innovációjában és az iparágban elfoglalt helyében. ezen eredendő fontosság miatt a forráskód nagy kockázatot jelent az expozícióra és a lopásra. A forráskód-lopás vagy […]
0 részvények

a forráskód egy vállalat ‘titkos szószához’ hasonlítható. A kód alapvető szinten képviseli szellemi tulajdonát-az utasítások teszik a szoftvertermékeket működőképessé. Ez is része a versenyelőnyének, és rendkívül stratégiai szempont a vállalat innovációjában és az iparágban elfoglalt helyében.

ezen eredendő fontosság miatt a forráskód nagy kockázatot jelent az expozícióra és a lopásra. A forráskód-lopás vagy akár a véletlen expozíció példái széles körben elterjedtek. Mint például az IBM szoftverfejlesztő példája, akit nemrégiben 5 év börtönbüntetésre ítéltek forráskód-lopás miatt. Vagy a véletlen expozíció kódot GreyShift, iPhone feloldása szakember a bűnüldöző szervek, ami a cég tartott váltságdíjat a hackerek. (1, 2)

a forráskód-expozíció következményei mindent magukban foglalnak, a versenytársak előnyének lehetővé tételétől az innovatív él elvesztéséig, a pénzügyi költségekig, valamint biztonsági problémák megteremtéséig a cég és az ügyfelek számára.

a forráskód számos útvonalon szivárog. Egy korábbi cikkben megvizsgáltunk néhány okot, hogy miért és hogyan történik a forráskód expozíció. A kitett kódhoz vezető útvonalak magukban foglalják mind a bennfentes, mind a külső fenyegetéseket. A forráskód megsértésének kockázatának csökkentése érdekében a legjobb gyakorlatokat alkalmazhatjuk a forráskód biztonságában. Ebben a cikkben megvizsgáljuk az 5 legfontosabb gyakorlatot. (3)

5 A forráskód biztosításának legjobb gyakorlatai

a forráskód expozíció bonyolult terület lehet. Ez azért van, mert mind rosszindulatú, mind véletlen eszközökkel történhet. Minden olyan intézkedésnek, amelyet a forráskód elvesztésének enyhítésére tesz, ki kell terjednie a szivárgások mindkét okára. Az 5 legjobb gyakorlatok alább, hogy egy robusztus alapozó elvesztésének megakadályozására ez a legértékesebb áruk, a forráskód:

legjobb gyakorlat 1: Legyen világos biztonsági házirendje, amely tartalmazza a forráskódot

miért van erre szükség? A biztonsági politikák a modern szervezet alapvető részét képezik. Segítenek a szervezetnek stratégizálni és tanácsot adni minden lehetséges biztonsági kérdésben. Az adatlopás minden iparágban komoly problémát jelent. Naponta több mint 6,5 millió adatrekordot lopnak el minden vállalatnál. Egy szervezet súlyos pénzügyi kockázatnak van kitéve, ha megsértik; kutatási megállapítás, hogy a részvényárfolyam-esések legalább 6 hónapig nyomottak maradnak a jogsértés után. (4, 5)

a forráskódot úgy kell kezelni, mint bármely más vállalati erőforrást; a fenyegetéseket a biztonsági politikának el kell ismernie, és ott kell kezelnie. Ezeknek a fenyegetéseknek nemcsak a véletlen vagy rosszindulatú expozíció miatti kódvesztést kell magukban foglalniuk, hanem azt is, hogy a kód szándékosan megfertőződhet – azaz veszélybe kerülhet.

a probléma elhárításának lehetséges módjai: amikor biztonsági házirendet hoz létre a szervezet számára, győződjön meg róla, hogy van egy része, amely lefedi a forráskód fejlesztési területeit és a kódfejlesztésben részt vevő személyzetet. Ennek tartalmaznia kell legalább:

  • GitHub és más adattípusok, bevált gyakorlatok – például hozzáférési jogok, adattár konfigurálása, robusztus hitelesítési irányelvek, a forrás helyi gépekre történő letöltésének megakadályozása stb.
  • a cserélhető adathordozók Fejlesztők általi használata – különösen a kód véletlen elvesztésének megakadályozása érdekében
  • általános biztonsági higiéniai gyakorlatok a fejlesztők számára – politikák a fejlesztők közötti jelszómegosztás kockázatának csökkentésére, valamint olyan együttműködési portálok használatára, ahol jelszavak és kódok csoportokba rendezhetők
  • biztonságtudatossági képzés a fejlesztők számára – csak azért, mert az egyén szoftverkódot ír, nem jelenti azt, hogy tisztában van a biztonsági kockázatokkal
  • a forráskód felosztása alvállalkozók használata – a fejlesztőknek általában nem kell rendelkezniük hozzáférés az összes kódhoz.
  • minden titkos hitelesítő adatot és tanúsítványkulcsot külön kell tartani a forráskódtól-a kód automatikus beolvasásával ellenőrizze, hogy a hitelesítő adatokat nem véletlenül adták-e hozzá a kódhoz
  • a vonatkozó technológiák használata – lásd a 2., 3. és 4

2. legjobb gyakorlat: dedikált eszközök alkalmazása a forráskód-lopás megelőzésére

miért van erre szükség? A forráskódot érintő bennfentes fenyegetések nagyon költségesek. A belső fenyegetésekről szóló legutóbbi bejegyzésünkben megállapítottuk, hogy egy bennfentes incidens orvoslása átlagosan legalább 1,8 millió dollárba, de akár 20 millió dollárba is kerülhet. Természeténél fogva annak biztosítása, hogy a bennfentesek tiszteletben tartsák a vállalati szellemi tulajdont (IP), trükkös dolog lehet. A szoftverlopások megelőzésére szolgáló dedikált eszközök azonban olyan védelmi réteget adnak nekünk, amelyet egyébként nagyon nehéz lenne elérni. (6)

a probléma visszaszorításának lehetséges módjai: olyan speciális eszközöket kell alkalmazni, amelyeket úgy terveztek, hogy megfékezzék a kiberkockázat ezen nagyon nehéz területét. Az adatvesztés-megelőzési eszközök segítenek a magas szintű kockázati területekhez kapcsolódó biztonsági problémák kezelésében, beleértve a szervezet elhagyását is – a kilépők 89% – a továbbra is hozzáfér a védett vállalati adatokhoz a szervezet elhagyása után is; alvállalkozók, akik privilegizált hozzáféréssel rendelkezhetnek; és meglévő alkalmazottak, akikben megbízik, de ellenőrizniük kell (Lásd még az alábbi 5.bevált gyakorlatot). (7, 8)

3. legjobb gyakorlat: privilegizált hozzáférés és 2FA

miért van erre szükség? A jelszavak gyakran a leggyengébb láncszem a hozzáférés ellenőrzésében. A fejlesztők általában magas szintű privilegizált hozzáférést igényelnek, mivel a forráskódon dolgoznak. Az adatok megsértése, mint például a legutóbbi Collection #1 incidens, ahol 773 millió adatrekordot, beleértve a jelszavakat is, kiszivárogtak, nagy kockázatot jelent a jelszavak használata a privilegizált hozzáféréshez. Akinek kiváltságos hozzáférésre van szüksége, például a forráskód-tárolókhoz, robusztus hitelesítést kell alkalmazni. A második tényező, például a digitális tanúsítvány vagy a mobileszközön kapott korlátozott idejű kód, valamint a FIDO alapú alkalmazások az erős és/vagy kétfaktoros hitelesítés (2FA) példái. A biometria egy másik típusú hitelesítő adat, amely erősebb hozzáférés-vezérlést kínál a hálózat kiváltságos területéhez. (9, 10)

a probléma elhárításának lehetséges módjai: a hálózat bármely olyan területén, amely érzékeny adatokat tárol, beleértve a forráskódot, a tervezési specifikációkat és más kapcsolódó dokumentációt, 2FA-t kell alkalmazni. Számos különböző típusú technológia áll rendelkezésre a rendszer kiváltságos területeihez való hozzáférés ellenőrzésére. Ezek azonban gyakran az alkalmazástól függenek. A fejlesztőcsapatok által gyakran használt szolgáltatások, például a GitHub kétfaktoros hitelesítést kínálnak. (11)

kapcsolja össze ezt a bevált gyakorlatot az 1.bevált gyakorlattal, és hozzon létre olyan politikákat, amelyek magukban foglalják a legkevesebb privilégium modelljét, azaz csak azoknak engednek hozzáférést, akiknek valóban szükségük van rá.

4. legjobb gyakorlat: olyan technológiák, mint a Titkosítás és a viselkedéselemzés/megfigyelés

miért van erre szükség? A biztonság réteges megközelítésen alapul. Ez azt jelenti, hogy nem alkalmazhat egyetlen bevált gyakorlatot, és remélheti, hogy ez csökkenti a kockázatot. Ehelyett számos technikai és emberközpontú legjobb gyakorlatot kell használnia. A biztonságot folyamatként kell felfogni.

különböző technológiák alkalmazhatók globális és/vagy osztályos alapon a védőréteg megkeményítésére.

a probléma elhárításának lehetséges módjai: olyan technológiák használatával, mint a titkosítás, a kódelnyelési technológiák, valamint az alkalmazottak és a vállalkozók nem tolakodó módon történő figyelemmel kísérésével a problémák tetején maradhat, mielőtt azok incidensekké válnának. A fejlesztési folyamat legelején kell kezdened, az egyénektől, akik fejlesztik és / vagy hozzáférnek a kódhoz, egészen a tárolóig, ahol tárolják, a kód megosztásáig és kiadásáig.

5. legjobb gyakorlat: olyan politikák, amelyek magukban foglalják a bizalmat, de ellenőrzik

miért van erre szükség? Ez a legjobb gyakorlat összehozza a forráskód védelmére irányuló összes erőfeszítést. Ez egy filozófiai mantra, amely alapot nyújt a gyakorlati módon csökkenti nem csak a forráskód expozíció, de más érzékeny adatok szivárog. A Trust but Verify a bizalom pragmatikus alapjainak megteremtéséről szól a szervezeten belül. A vak bizalom nem működik, mivel a bennfentes fenyegetés miatt aggódó vállalatok 90% – a tanúsítja. (12)

a probléma elhárításának lehetséges módjai: A Trust but Verify összehozza a forráskód biztonságának szociológiai és technológiai megközelítéseit. Ennek alapja a kiváló kommunikáció fejlesztése az alkalmazottakkal. Ez magában foglalja a következőket: biztonsági tudatossági képzés alkalmazása annak érdekében, hogy az összes kiterjesztett munkaerő megértse a kockázatokat; világos biztonsági politikák, amelyek magukban foglalják a kódvédelmet; és az elérhető legjobb technológiák alkalmazása, mint például az adatvesztés megelőzése, a forráskód védelme érdekében.

következtetés

a forráskód a szellemi tulajdon és a védett érzékeny adatok. Ennek az erőforrásnak a védelme alapvető szükséglet minden olyan szervezet számára, amely kódot generál. Elvesztése forráskód nem csak befolyásolja a pénzügyi alsó sorban, ez is ad a versenytársak a lábát. Ha a vállalat forráskódot hoz létre, meg kell győződnie arról, hogy az a szervezet ellenőrzése alatt marad. De a forráskód nagyon értékes árucikk, és az érték kockázattal jár.

a kockázat csökkentése érdekében olyan folyamatot kell követnie, amely magában foglalja a legjobb gyakorlatokat. A mi 5 a forráskód biztosításának legjobb gyakorlatai mély iparági ismeretekre épülnek. Ha követed a tanácsaikat, a vállalatod tartalmazhatja a forráskód fejlesztésével kapcsolatos kockázatokat. Ezek a legjobb gyakorlatok réteges megközelítést kínálnak a védelemhez, amely a korábbi gyakorlati módszertanra épül, hogy mélységet és erőt adjon a biztonsághoz. Ezek a bevált gyakorlatok biztosítják, hogy minden belső és külső fenyegetést enyhítsenek. A kód biztonságának megőrzése prioritás egy olyan világban, ahol a számítógépes bűnözés elterjedt. De ugyanígy a véletlen expozíció drágán kerülhet a szervezetébe.

Források

  • Computerworld: https://www.computerworld.com.au/article/632406/ex-ibm-employee-jailed-over-source-code-theft/
  • a Cyberwire: https://www.thecyberwire.com/issues/issues2018/April/CyberWire_2018_04_27.html
  • Stop-forráskód-lopás, miért lopják el a fejlesztők a forráskódot?: https://www.stop-source-code-theft.com/why-do-developers-steal-source-code/
  • Gemalto, megsértési szint Index: https://breachlevelindex.com/
  • Comparitech: https://www.comparitech.com/blog/information-security/data-breach-share-price-2018/
  • Stop-forráskód-lopás, bennfentes fenyegetés 101: https://www.stop-source-code-theft.com/insider-threat-101-for-software-development-companies/
  • Stop-forráskód-lopás: https://www.stop-source-code-theft.com/
  • Hágai biztonsági Delta: https://www.thehaguesecuritydelta.com/media/com_hsd/report/154/document/2017-Insider-Threat-Intelligence-Report.pdf
  • com: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
  • FIDO Szövetség: https://fidoalliance.org/specifications/
  • GitHub Súgó: https://help.github.com/en/articles/securing-your-account-with-two-factor-authentication-2fa
  • Computer Associates: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.