Lacy Leadership

Success is Near

소스 코드 보안 모범 사례

0 주식 소스 코드는 회사의’비밀 소스’에 비유 할 수 있습니다. 이 코드는 기본적인 수준에서 지적 재산을 나타냅니다-그것은 소프트웨어 제품을 작동하게하는 지침입니다. 그것은 또한 당신의 경쟁 우위의 일부이며 회사의 혁신과 산업에서의 장소의 매우 전략적 측면입니다. 이러한 고유 한 중요성 때문에 소스 코드는 노출 및 도난 위험이 높습니다. 소스 코드 도난 또는 우발적 인 노출의 예가 널리 […]
0 주식

소스 코드는 회사의’비밀 소스’에 비유 할 수 있습니다. 이 코드는 기본적인 수준에서 지적 재산을 나타냅니다-그것은 소프트웨어 제품을 작동하게하는 지침입니다. 그것은 또한 당신의 경쟁 우위의 일부이며 회사의 혁신과 산업에서의 장소의 매우 전략적 측면입니다.

이러한 고유 한 중요성 때문에 소스 코드는 노출 및 도난 위험이 높습니다. 소스 코드 도난 또는 우발적 인 노출의 예가 널리 퍼져 있습니다. 최근 소스 코드 절도에 대한 5 년 징역형을 받았다 아이비엠 소프트웨어 개발자의 예처럼. 또는 회사의 결과 그레이 시프트,법 집행 기관에 대한 아이폰 잠금 해제 전문가에서 코드의 우발적 인 노출은 해커에 의해 몸값에 개최된다. (1, 2)

소스 코드 노출의 결과는 경쟁 업체가 혁신적인 에지,금융 비용의 손실에 이점을 가질 수 있도록에서 모든 것을 포함,뿐만 아니라 당신의 회사와 고객을위한 보안 문제를 만드는 등.

소스 코드가 여러 경로를 통해 유출됩니다. 이전 기사에서는 소스 코드 노출이 발생하는 이유와 방법을 살펴 보았습니다. 노출 된 코드에 대한 이러한 경로에는 내부자 및 외부 위협이 모두 포함됩니다. 소스 코드 위반의 위험을 줄이기위한 노력의 일환으로 우리는 소스 코드를 확보 모범 사례를 적용 할 수 있습니다. 이 글에서,우리는 볼 것이다 5 이러한 관행의 가장 중요한. (3)

5 소스 코드 보안 모범 사례

소스 코드 노출은 해결해야 할 복잡한 영역이 될 수 있습니다. 이 악성 및 우발적 인 수단 모두에 의해 발생할 수 있기 때문이다. 소스 코드 손실을 줄이기 위해 취하는 모든 조치는 두 가지 누출 원인을 모두 포함해야합니다. 아래의 5 가지 모범 사례는 이 가장 소중한 상품의 손실을 방지하는 강력한 기반을 제공합니다.

모범 사례 1: 소스 코드

를 포함하는 명확한 보안 정책이 필요한 이유는 무엇입니까? 보안 정책은 현대 조직의 근본적인 부분입니다. 그들은 당신의 조직이 전략을 모든 잠재적 인 보안 문제에 대한 조언을하는 데 도움이. 모든 종류의 데이터 도난은 모든 산업 분야에서 중요한 문제입니다. 모든 회사에서 매일 650 만 개 이상의 데이터 레코드가 도난 당합니다. 이 위반 될 때 조직은 심각한 금융 위험에 배치됩니다;연구 주가 하락은 적어도 우울 남아 발견 6 개월 위반을 게시. (4, 5)

소스 코드는 다른 회사 리소스처럼 취급되어야 하며,보안 정책에 의해 위협을 인지하고 이에 대해 해결해야 합니다. 이러한 위협에는 우발적이거나 악의적인 노출을 통한 코드 손실뿐만 아니라 코드가 의도적으로 맬웨어에 감염될 가능성(예:손상)이 포함되어야 합니다.

문제를 포함하는 실행 가능한 방법:조직에 대한 보안 정책을 만들 때 소스 코드 개발 영역과 코드 개발에 관련된 인력을 다루는 섹션이 있어야 합니다. 이 최소 포함 해야 합니다:

  • 기타 리포지토리 유형,모범 사례(예:액세스 권한,리포지토리 구성,강력한 자격 증명 정책,로컬 컴퓨터로의 소스 다운로드 방지 등)
  • 개발자가 이동식 미디어 사용–특히 우발적 인 코드 손실을 방지하기 위해
  • 개발자를 위한 일반 보안 위생 관행–개발자간에 암호 공유의 위험을 완화하고 암호와 코드가 그룹에 게시될 수 있는 공동 작업 포털 사용을 돕는 정책
  • 개발자를 위한 보안 인식 교육–개인이 소프트웨어 코드를 작성한다고해서 보안 위험을 인식한다는 의미는 아닙니다.
  • 하청 업체를 사용하는 경우–개발자는 일반적으로 가질 필요가 없습니다 모든 코드에 액세스 할 수 있습니다. 코드 자동 스캔을 사용하여 실수로 코드에 자격 증명이 추가되지 않았는지 확인합니다.
  • 4

모범 사례 2:소스 코드 도용을 방지하기 위한 전용 도구 적용

왜 필요한가요? 소스 코드에 대한 내부자 위협은 매우 비쌉니다. 내부 위협 문제에 대한 최근 게시물에서 우리는 내부자 사건을 해결하기 위해 최소 평균 180 만 달러와 최대 2 천만 달러의 비용이 소요될 수 있음을 확인했습니다. 본질적으로 내부자가 회사의 지적 재산권을 존중하도록 보장하는 것은 까다로운 일이 될 수 있습니다. 그러나 소프트웨어 도난을 방지하기위한 전용 도구는 달리 달성하기가 매우 어려운 보호 계층을 제공합니다. (6)

이 문제를 포함하는 실행 가능한 방법:이 매우 어려운 사이버 위험 영역을 포함하도록 설계된 전문 도구를 적용하십시오. 데이터 손실 방지 도구는 조직을 떠난 사람들을 포함하여 높은 수준의 위험 영역과 관련된 보안 문제를 관리하는 데 도움이-졸업자의 89%는 조직을 떠난 후에도 독점 기업 데이터에 액세스 할 수 계속;액세스 권한을 가질 수있는 하청 업체;그리고,당신이 신뢰하지만 확인해야하는 기존 직원(아래 모범 사례 5 참조). (7, 8)

모범 사례 3:권한 있는 액세스 및 2 파

이 필요한 이유는 무엇입니까? 암호는 종종 액세스를 제어 할 때 가장 약한 링크입니다. 개발자는 일반적으로 소스 코드를 작업할 때 높은 수준의 권한 있는 액세스가 필요합니다. 암호를 포함한 773,000,000 데이터 레코드가 유출 된 최근의 수집#1 사건과 같은 데이터 유출은,높은 위험 권한 액세스를위한 암호를 사용합니다. 예를 들어 소스 코드 리포지토리에 대한 권한있는 액세스가 필요한 사람은 누구나 강력한 인증을 적용해야합니다. 디지털 인증서 또는 모바일 장치에서 수신 된 시간 제한 코드 및 스누피 기반 앱과 같은 두 번째 요소는 강력한 및/또는 이중 인증의 예입니다. 생체 인식은 네트워크의 권한 영역에 대한 강력한 액세스 제어를 제공 할 수있는 또 다른 유형의 자격 증명입니다. (9, 10)

소스 코드,디자인 사양 및 기타 관련 문서를 포함하여 중요한 데이터를 보유하고 있는 네트워크의 모든 영역에는 2 이 적용되어야 합니다. 시스템의 권한 있는 영역에 대한 액세스를 제어하는 데 사용할 수 있는 다양한 유형의 기술이 있습니다. 그러나 이들은 종종 응용 프로그램에 따라 다릅니다. 깃허브와 같은 개발팀이 자주 사용하는 서비스는 이중 인증을 제공합니다. (11)

이 모범 사례를 모범 사례 1 로 다시 연결하고 최소 권한 모델을 포함하는 정책을 만듭니다.

모범 사례 4:암호화 및 행동 분석/모니터링과 같은 기술

이것이 필요한 이유는 무엇입니까? 보안은 계층화 된 접근 방식에 의존합니다. 즉,단일 모범 사례를 적용할 수 없으며 위험을 완화할 수 있기를 바랍니다. 대신,기술 및 인간 중심의 모범 사례를 모두 사용해야합니다. 보안은 하나의 과정으로 생각되어야 한다.

글로벌 및/또는 부서별로 다양한 기술을 적용하여 보호 층을 강화할 수 있습니다.

문제를 포함하는 실행 가능한 방법:암호화,코드 난독 화 기술과 같은 기술을 사용하고 직원과 계약자를 비 간섭 방식으로 모니터링하여 문제가 발생하기 전에 문제를 계속 파악할 수 있습니다. 개발 과정의 시작부터 코드를 개발 및/또는 액세스하는 개인부터 코드에 저장된 저장소,코드 공유 및 릴리스에 이르기까지 시작해야합니다.

모범 사례 5:신뢰를 포함하지만

를 확인하는 정책 이 필요한 이유는 무엇입니까? 이 모범 사례는 소스 코드를 보호하는 모든 노력을 함께 제공합니다. 이것은 소스 코드 노출뿐만 아니라 다른 민감한 데이터 유출을 줄이는 실용적인 방법의 기초를 제공하는 철학적 진언입니다. ‘신뢰하지만 확인’은 조직 내에서 신뢰의 실용적인 기초를 만드는 것입니다. 맹목적인 신뢰는 내부자 위협에 대해 우려하는 회사의 90%가 증명 한 것처럼 작동하지 않습니다. (12)

실행 가능한 문제 해결 방법: 신뢰하지만 확인 함께 소스 코드 보안에 대한 사회 학적,기술적 접근 방식을 제공합니다. 그것은 당신의 직원들과 우수한 통신을 개발을 기반으로합니다. 여기에는 확장된 모든 인력이 위험을 이해할 수 있도록 보안 인식 교육을 적용하고,코드 보호를 포함하는 명확한 보안 정책을 사용하며,데이터 손실 방지와 같은 최상의 기술을 적용하여 소스 코드를 보호합니다.

결론

소스 코드는 지적 재산권 및 소유권의 민감한 데이터입니다. 이 리소스를 보호하는 것은 코드를 생성하는 모든 조직의 기본적인 요구 사항입니다. 소스 코드의 손실 뿐만 아니라 금융 하단 라인에 영향을,그것은 또한 당신의 경쟁자 다리를 제공합니다. 회사에서 소스 코드를 만드는 경우 조직의 통제하에 있어야 합니다. 그러나 소스 코드는 매우 가치있는 상품이며 가치 위험이 온다.

이러한 위험을 완화하려면 모범 사례를 포함하는 프로세스를 따라야 합니다. 소스 코드를 확보하기위한 5 가지 모범 사례는 깊은 산업 지식을 기반으로합니다. 당신이 그들의 조언을 따르는 경우,당신의 회사는 소스 코드 개발과 관련된 위험을 포함 할 수 있습니다. 이러한 모범 사례는 보안에 깊이와 강도를 추가하기 위해 이전의 연습 방법론을 기반으로 보호에 대한 계층화 된 접근 방식을 제공합니다. 이러한 모범 사례는 내부 및 외부 위협 모두에 대해 완화되도록 합니다. 사이버 범죄가 만연한 세상에서 코드를 안전하게 유지하는 것이 최우선 과제입니다. 그러나 동등하게,우연한 노출은 위로 너의 조직을 귀중하게 요하기 끝낼 수 있는다.

리소스

  • 컴퓨터월드: https://www.computerworld.com.au/article/632406/ex-ibm-employee-jailed-over-source-code-theft/
  • 사이버와이어: https://www.thecyberwire.com/issues/issues2018/April/CyberWire_2018_04_27.html
  • 중지 소스 코드 도난,개발자는 왜 소스 코드를 훔치나요?: https://www.stop-source-code-theft.com/why-do-developers-steal-source-code/
  • 젬 알토,위반 수준 지수: https://breachlevelindex.com/
  • 비교텍은: https://www.comparitech.com/blog/information-security/data-breach-share-price-2018/
  • 중지 소스 코드 도난,내부자 위협 101: https://www.stop-source-code-theft.com/insider-threat-101-for-software-development-companies/
  • 중지 소스 코드 도난: https://www.stop-source-code-theft.com/
  • 헤이그 시큐리티 델타: https://www.thehaguesecuritydelta.com/media/com_hsd/report/154/document/2017-Insider-Threat-Intelligence-Report.pdf
  • 컴: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
  • 스누피 얼라이언스: https://fidoalliance.org/specifications/
  • 깃허브 도움말: https://help.github.com/en/articles/securing-your-account-with-two-factor-authentication-2fa
  • 컴퓨터 동료: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf

답글 남기기

이메일 주소는 공개되지 않습니다.