Lacy Leadership

Success is Near

Best practice di sicurezza del codice sorgente

0 Azioni Il codice sorgente può essere paragonato alla “salsa segreta” di un’azienda. Il codice rappresenta la tua proprietà intellettuale a un livello fondamentale: sono le istruzioni che fanno funzionare i prodotti software. Fa anche parte del tuo vantaggio competitivo ed è un aspetto altamente strategico dell’innovazione e del posto della tua azienda nel tuo […]
0 Azioni

Il codice sorgente può essere paragonato alla “salsa segreta” di un’azienda. Il codice rappresenta la tua proprietà intellettuale a un livello fondamentale: sono le istruzioni che fanno funzionare i prodotti software. Fa anche parte del tuo vantaggio competitivo ed è un aspetto altamente strategico dell’innovazione e del posto della tua azienda nel tuo settore.

A causa di questa importanza intrinseca il codice sorgente ha un alto rischio di esposizione e furto. Esempi di furto di codice sorgente o anche di esposizione accidentale sono molto diffusi. Come l’esempio dello sviluppatore di software IBM che è stato recentemente condannato a 5 anni di carcere per furto di codice sorgente. O l’esposizione accidentale di codice da GreyShift, specialista di sblocco iPhone per le forze dell’ordine, che ha portato la società in attesa di riscatto da parte degli hacker. (1, 2)

Le conseguenze dell’esposizione al codice sorgente includono tutto, dal consentire ai concorrenti di avere un vantaggio alla perdita di vantaggio innovativo, ai costi finanziari, oltre a creare problemi di sicurezza per la tua azienda e i tuoi clienti.

Il codice sorgente è trapelato tramite una serie di rotte. In un precedente articolo, abbiamo esaminato alcuni dei motivi per cui e come si verifica l’esposizione del codice sorgente. Questi percorsi al codice esposto includono sia minacce interne che esterne. Nel tentativo di ridurre il rischio di violazione del codice sorgente, possiamo applicare le migliori pratiche per proteggere il codice sorgente. In questo articolo, vedremo 5 delle più importanti di queste pratiche. (3)

5 Best practice nella protezione del codice sorgente

L’esposizione al codice sorgente può essere un’area complicata da affrontare. Questo perché può accadere sia con mezzi dannosi che accidentali. Qualsiasi misura adottata per mitigare la perdita di codice sorgente deve coprire entrambe le cause di perdite. Le 5 best practice di seguito, forniscono una solida base per prevenire la perdita di questo prezioso prodotto, il codice sorgente:

Best practice 1: Avere politiche di sicurezza chiare che includono il codice sorgente

Perché è necessario? Le politiche di sicurezza sono una parte fondamentale di un’organizzazione moderna. Aiutano la tua organizzazione a elaborare strategie e consigli su tutti i potenziali problemi di sicurezza. Il furto di dati di ogni tipo è un grave problema in tutti i settori industriali. Oltre 6,5 milioni di record di dati vengono rubati ogni giorno, in tutte le aziende. Un’organizzazione è posta a serio rischio finanziario quando viene violata; la ricerca ha rilevato che le gocce del prezzo delle azioni rimangono depresse per almeno 6 mesi dopo la violazione. (4, 5)

Il codice sorgente deve essere trattato come qualsiasi altra risorsa aziendale; le minacce devono essere riconosciute dalla tua politica di sicurezza e affrontate in essa. Queste minacce dovrebbero includere non solo la perdita di codice attraverso l’esposizione accidentale o dannoso, ma anche il potenziale per il codice di essere intenzionalmente infettati da malware – cioè, compromessa.

Modi attuabili per contenere il problema: quando si crea una politica di sicurezza per l’organizzazione assicurarsi di avere una sezione che copre tutte le aree di sviluppo del codice sorgente e il personale coinvolto nello sviluppo del codice. Questo dovrebbe includere come minimo:

  • GitHub e altri tipi di repository, best practice – ad esempio, diritti di accesso, configurazione del repository, criteri di credenziali affidabili, prevenzione del download dei sorgenti su macchine locali, ecc.
  • L’uso di supporti rimovibili da parte degli sviluppatori, in particolare, per prevenire la perdita accidentale di codice
  • Generali sicurezza delle pratiche di igiene per gli sviluppatori – le politiche per contribuire a ridurre il rischio di password di condivisione tra gli sviluppatori e l’utilizzo di collaborazione portali in cui le password e il codice può essere inviato in gruppi
  • formazione di sensibilizzazione alla Sicurezza per gli sviluppatori – solo perché una persona non scrive codice software non significa che essi sono consapevoli dei rischi per la sicurezza
  • Schematizzare codice sorgente quando si utilizza subappaltatori – sviluppatori non sono di solito bisogno di avere accesso a tutto il codice. Essi devono avere accesso su una necessità di sapere base’
  • Tenere segrete le credenziali e le chiavi del certificato separato dal codice sorgente di uso di auto-scansione di codice per controllare le credenziali non sono accidentalmente stato aggiunto il codice
  • L’uso delle tecnologie pertinenti – vedere le migliori pratiche 2, 3, e 4

buone Prassi 2: Applicare strumenti dedicati per evitare che il codice sorgente di furto

Perché è bisogno di questo? Le minacce interne al codice sorgente sono molto costose. Nel nostro recente post sui problemi delle minacce interne, abbiamo identificato che può costare una media minima di million 1.8 milioni e fino a million 20 milioni di dollari per correggere un incidente insider. Per sua stessa natura, garantire che gli addetti ai lavori rispettino la proprietà intellettuale aziendale (IP) può essere una cosa difficile da fare. Tuttavia, strumenti dedicati per prevenire il furto di software ci danno un livello di protezione che altrimenti sarebbe molto difficile da raggiungere. (6)

Modi attuabili per contenere il problema: applicare strumenti specializzati che sono stati progettati per contenere questa zona molto difficile di cyber-rischio. Gli strumenti di prevenzione della perdita di dati aiutano a gestire i problemi di sicurezza relativi alle aree a rischio di alto livello, comprese quelle che lasciano un’organizzazione: l ‘ 89% dei leavers continua ad avere accesso a dati aziendali proprietari anche dopo aver lasciato un’organizzazione; subappaltatori che potrebbero avere accesso privilegiato; e dipendenti esistenti di cui ti fidi ma che (7, 8)

Best Practice 3: Accesso privilegiato e 2FA

Perché è necessario? Le password sono spesso l’anello più debole nel controllo dell’accesso. Gli sviluppatori di solito richiedono un alto livello di accesso privilegiato mentre lavorano sul codice sorgente. Violazioni dei dati come la recente raccolta # 1 incidente in cui 773 milioni di record di dati, comprese le password, sono trapelate, rende l’uso di password per l’accesso privilegiato, ad alto rischio. Chiunque abbia bisogno di un accesso privilegiato, ad esempio ai repository di codice sorgente, deve applicare un’autenticazione robusta. Un secondo fattore, come un certificato digitale o un codice a tempo limitato ricevuto su un dispositivo mobile e app basate su FIDO, sono esempi di autenticazione forte e/o a due fattori (2FA). La biometria è un altro tipo di credenziale che può offrire un controllo di accesso più forte a un’area privilegiata di una rete. (9, 10)

Modi attuabili per contenere il problema: qualsiasi area della rete che contiene dati sensibili, incluso il codice sorgente, le specifiche di progettazione e altra documentazione correlata, dovrebbe applicare 2FA. Esistono diversi tipi di tecnologie disponibili per controllare l’accesso alle aree privilegiate del sistema. Tuttavia, questi sono spesso dipendenti dall’applicazione. I servizi spesso utilizzati dai team di sviluppo, come GitHub, offrono l’autenticazione a due fattori. (11)

Ricollega questa best practice alla best practice 1 e crea politiche che comprendono un modello di privilegio minimo, cioè consentono l’accesso solo a coloro che ne hanno veramente bisogno.

Best Practice 4: Tecnologie come crittografia e analisi/monitoraggio comportamentale

Perché è necessario? La sicurezza si basa su un approccio a più livelli. Ciò significa che non è possibile applicare una singola best practice e sperare che mitiga il rischio. Invece, è necessario utilizzare una serie di best practice sia tecniche che umane. La sicurezza dovrebbe essere pensata come un processo.

Varie tecnologie possono essere applicate su base globale e / o dipartimentale per indurire il tuo strato protettivo.

Modi attuabili per contenere il problema: utilizzando tecnologie come la crittografia, le tecnologie di offuscamento del codice e monitorando i dipendenti e gli appaltatori in modo non intrusivo, è possibile tenere traccia dei problemi prima che diventino incidenti. Devi iniziare fin dall’inizio del processo di sviluppo, dagli individui che sviluppano e/o accedono al codice fino al repository in cui è memorizzato, alla condivisione e al rilascio del codice.

Best Practice 5: politiche che comprendono la fiducia ma verificano

Perché è necessario? Questa best practice riunisce tutti i tuoi sforzi per proteggere il tuo codice sorgente. Questo è un mantra filosofico che fornisce una base per un modo pratico di ridurre non solo l’esposizione al codice sorgente, ma altre perdite di dati sensibili. ‘Fiducia ma verificare’ è tutto sulla creazione di una base pragmatica di fiducia all’interno della vostra organizzazione. Blind trust non funziona come attesta il 90% delle aziende preoccupate per una minaccia interna. (12)

Modi attuabili per contenere il problema: Trust but Verify riunisce gli approcci sociologici e tecnologici alla sicurezza del codice sorgente. Si basa sullo sviluppo di un’eccellente comunicazione con i tuoi dipendenti. Ciò include: l’applicazione di formazione di sensibilizzazione alla sicurezza in modo che tutta la tua forza lavoro estesa comprenda i rischi; avere politiche di sicurezza chiare che includono la protezione del codice; e, applicando le migliori tecnologie disponibili, come la prevenzione della perdita di dati, per proteggere il codice sorgente.

Conclusione

Il tuo codice sorgente è la tua proprietà intellettuale e dati sensibili proprietari. Proteggere questa risorsa è una necessità fondamentale per qualsiasi organizzazione che genera codice. La perdita di codice sorgente non riguarda solo la vostra linea di fondo finanziario, dà anche i vostri concorrenti una gamba in su. Se la tua azienda crea codice sorgente, devi assicurarti che rimanga sotto il controllo della tua organizzazione. Ma il codice sorgente è un bene molto prezioso e con valore viene rischio.

Per mitigare tale rischio, è necessario seguire un processo che comprende le best practice. Le nostre 5 best practice per la protezione del codice sorgente sono basate su una profonda conoscenza del settore. Se segui i loro consigli, la tua azienda può contenere i rischi associati allo sviluppo del codice sorgente. Queste best practice offrono un approccio stratificato alla protezione che si basa sulla precedente metodologia pratica per aggiungere profondità e forza alla tua sicurezza. Queste best practice garantiranno che qualsiasi minaccia, sia interna che esterna, venga mitigata. Mantenere il codice al sicuro è una priorità in un mondo in cui la criminalità informatica è diffusa. Ma allo stesso modo, l’esposizione accidentale può finire per costare caro alla tua organizzazione.

Risorse

  • Computerworld: https://www.computerworld.com.au/article/632406/ex-ibm-employee-jailed-over-source-code-theft/
  • Il Cyberwire: https://www.thecyberwire.com/issues/issues2018/April/CyberWire_2018_04_27.html
  • Stop-Source-Code-Theft, perché gli sviluppatori rubano il codice sorgente?: https://www.stop-source-code-theft.com/why-do-developers-steal-source-code/
  • Gemalto, Violazione dell’Indice di Livello: https://breachlevelindex.com/
  • Comparitech: https://www.comparitech.com/blog/information-security/data-breach-share-price-2018/
  • Stop-Codice-Sorgente-di Furto, Insider Threat 101: https://www.stop-source-code-theft.com/insider-threat-101-for-software-development-companies/
  • Stop-Codice-Sorgente-Furto: https://www.stop-source-code-theft.com/
  • L’Aia di Sicurezza Delta: https://www.thehaguesecuritydelta.com/media/com_hsd/report/154/document/2017-Insider-Threat-Intelligence-Report.pdf
  • com: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
  • FIDO Alliance: https://fidoalliance.org/specifications/
  • GitHub Aiuto: https://help.github.com/en/articles/securing-your-account-with-two-factor-authentication-2fa
  • Computer Associates: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.