Lacy Leadership

Success is Near

Beste Praksis For Kildekodesikkerhet

0 Aksjer Kildekoden kan sammenlignes med ‘hemmelig saus’ av et selskap. Koden representerer din immaterielle eiendom på et grunnleggende nivå – det er instruksjonene som gjør at programvareprodukter fungerer. Det er også en del av konkurransefortrinnet ditt og er et svært strategisk aspekt av bedriftens innovasjon og plass i din bransje. på grunn av denne […]
0 Aksjer

Kildekoden kan sammenlignes med ‘hemmelig saus’ av et selskap. Koden representerer din immaterielle eiendom på et grunnleggende nivå – det er instruksjonene som gjør at programvareprodukter fungerer. Det er også en del av konkurransefortrinnet ditt og er et svært strategisk aspekt av bedriftens innovasjon og plass i din bransje.

på grunn av denne iboende betydning kildekoden har en høy risiko for eksponering og tyveri. Eksempler på kildekoden tyveri eller utilsiktet eksponering er utbredt. SOM EKSEMPEL PÅ IBM – programvareutvikleren som nylig ble gitt en 5-års fengsel for kildekoden tyveri. Eller utilsiktet eksponering av kode Fra GreyShift, iPhone låse spesialist for politiet, noe som resulterte i at selskapet blir holdt for løsepenger av hackere. (1, 2)

konsekvensene av kildekodeeksponering inkluderer alt fra å tillate konkurrenter å ha en fordel til tap av nyskapende kant, økonomiske kostnader, samt å skape sikkerhetsproblemer for firmaet og kundene dine.

Kildekoden er lekket via en rekke ruter. I en tidligere artikkel så vi på noen av årsakene til hvorfor og hvordan kildekodeeksponering oppstår. Disse rutene til eksponert kode inkluderer både insider og eksterne trusler. I et forsøk på å redusere risikoen for brudd på kildekoden kan vi bruke beste praksis for å sikre kildekoden. I denne artikkelen vil vi se på 5 av de viktigste av disse praksisene. (3)

5 Beste Praksis For Å Sikre Kildekoden

Kildekodeeksponering kan være et komplisert område å adressere. Dette skyldes at det kan skje med både ondsinnet og utilsiktet måte. Ethvert tiltak du tar for å redusere kildekoden tap må dekke begge årsakene til lekkasjer. De 5 beste praksisene nedenfor gir en robust jording for å forhindre tap av denne mest dyrebare av varer, kildekoden din:

Beste Praksis 1: Har klare sikkerhetspolicyer som inkluderer kildekode

Hvorfor er dette nødvendig? Sikkerhetspolitikk er en grunnleggende del av en moderne organisasjon. De hjelper organisasjonen med å legge strategier og gi råd om alle potensielle sikkerhetsproblemer. Datatyveri av alle slag er et stort problem på tvers av alle bransjer. Over 6,5 millioner data poster blir stjålet hver dag, på tvers av alle selskaper. En organisasjon er plassert i alvorlig økonomisk risiko når den brytes; forskning som finner at aksjekursfall forblir deprimert i minst 6 måneder etter brudd. (4, 5)

Kildekoden skal behandles som enhver annen selskapsressurs; trusler må anerkjennes av sikkerhetspolitikken og adresseres deri. Disse truslene bør omfatte ikke bare kodetap gjennom utilsiktet eller ondsinnet eksponering, men også muligheten for at kode med vilje blir infisert av skadelig programvare-dvs. kompromittert.

Praktiske Måter å inneholde problemet på: når du oppretter en sikkerhetspolicy for organisasjonen, må du sørge For at du har en del som dekker alle områder for kildekodeutvikling og personell som er involvert i kodeutvikling. Dette bør omfatte et minimum:

  • GitHub og andre depottyper, beste praksis – for eksempel tilgangsrettigheter, depotkonfigurasjon, robuste legitimasjonspolicyer, forebygging av nedlasting av kilde til lokale maskiner, etc.
  • bruk av flyttbare medier av utviklere – spesielt for å forhindre utilsiktet tap av kode
  • Generell sikkerhetshygiene praksis for utviklere – retningslinjer for å redusere risikoen for passorddeling blant utviklere og bruk av samarbeidsportaler der passord og kode kan bli lagt ut i grupper
  • sikkerhetsbevissthetstrening for utviklere – bare fordi en person skriver programvarekode betyr ikke at de er klar over sikkerhetsrisikoer
  • bruk av underleverandører – utviklere trenger vanligvis ikke å ha tilgang til hele koden. De bør gis tilgang på en’trenger å vite basis’
  • Holde noen hemmelige legitimasjon og sertifikatnøkler atskilt fra kildekoden-bruk auto-skanning av kode for å sjekke legitimasjon har ikke tilfeldigvis blitt lagt til koden
  • bruk av relevante teknologier – se beste praksis 2, 3, og 4

Beste Praksis 2: Bruk dedikerte verktøy for å forhindre tyveri av kildekode

Hvorfor trengs dette? Insider trusler mot kildekoden er svært kostbare. I vårt siste innlegg om problemene med interne trusler, identifiserte vi at det kan koste et minimums gjennomsnitt på $1,8 millioner og opptil $ 20 millioner USD for å rette opp en insiderhendelse. I sin natur kan det være en vanskelig ting å sikre at innsidere respekterer selskapets Immaterielle Rettigheter (IP). Men dedikerte verktøy for å forhindre programvaretyveri gir oss et lag med beskyttelse som ellers ville være svært vanskelig å oppnå. (6)

Handlingsbare måter å inneholde problemet på: Bruk spesialverktøy som er designet for å inneholde dette svært vanskelige området med cyberrisiko. Verktøy for forebygging av tap av Data bidrar til å håndtere sikkerhetsproblemer knyttet til høyrisikoområder, inkludert de som forlater en organisasjon – 89% av de som forlater en organisasjon, fortsetter å ha tilgang til proprietære bedriftsdata selv etter at de forlater en organisasjon; underleverandører som kan ha privilegert tilgang; og eksisterende ansatte som du stoler på, men må verifisere (se også beste praksis 5 nedenfor). (7, 8)

Beste Praksis 3: Privilegert tilgang og 2FA

Hvorfor er dette nødvendig? Passord er ofte det svakeste leddet i å kontrollere tilgang. Utviklere krever vanligvis et høyt nivå av privilegert tilgang når de jobber med kildekode. Data brudd som den siste Samling # 1 hendelsen der 773 millioner data poster, inkludert passord, ble lekket, gjør bruk av passord for privilegert tilgang, høy risiko. Alle som trenger privilegert tilgang, for eksempel til kildekodelagre, må ha robust autentisering brukt. En annen faktor, for eksempel et digitalt sertifikat eller tidsbegrenset kode mottatt på en mobil enhet, OG FIDO-baserte apper, er eksempler på sterk og / ELLER tofaktorautentisering (2fa). Biometri er en annen type legitimasjon som kan tilby sterkere tilgangskontroll til et privilegert område i et nettverk. (9, 10)

Alle områder av nettverket som inneholder sensitive data, inkludert kildekode, designspesifikasjoner og annen relatert dokumentasjon, bør ha 2fa brukt. Det finnes en rekke ulike typer teknologier tilgjengelig for å kontrollere tilgang til privilegerte områder av systemet. Imidlertid er disse ofte avhengige av søknaden. Tjenester som ofte brukes av utviklingsteam, for Eksempel GitHub, tilbyr tofaktorautentisering. (11)

Koble denne beste praksisen tilbake til beste praksis 1 og opprett retningslinjer som omfatter en modell med minst privilegier, dvs. bare gi tilgang til de som virkelig trenger det.

Beste Praksis 4: Teknologier som kryptering og atferdsanalyse/overvåking

hvorfor trengs dette? Sikkerhet er avhengig av en lagdelt tilnærming. Dette betyr at du ikke kan bruke en enkelt beste praksis og håper det reduserer risikoen. I stedet må du bruke en rekke både tekniske og menneskesentrerte beste praksis. Sikkerhet bør betraktes som en prosess.

Ulike teknologier kan brukes på global og / eller avdelingsbasis for å herde ditt beskyttende lag.

Handlingsbare måter å inneholde problemet på: Ved hjelp av teknologier som kryptering, kodeforståelsesteknologier, og ved å overvåke dine ansatte og entreprenører på en ikke-påtrengende måte, kan du holde deg oppdatert på problemer før de blir hendelser. Du må begynne helt i starten av utviklingsprosessen, fra personene som utvikler og / eller får tilgang til koden gjennom til depotet den er lagret i, til deling og utgivelse av kode.

Beste Praksis 5: Policyer som omfatter Tillit, Men Verifiserer

hvorfor trengs dette? Denne beste praksis bringer all din innsats i å beskytte kildekoden sammen. Dette er et filosofisk mantra som gir grunnlag for en praktisk måte å redusere ikke bare kildekodeeksponering, men andre sensitive datalekkasjer. ‘Trust but Verify’ handler om å skape et pragmatisk grunnlag for tillit i organisasjonen. Blind tillit fungerer ikke som 90% av selskapene bekymret for en insider trussel, attesterer. (12)

Handlingsbare måter å inneholde problemet på: Trust but Verify bringer de sosiologiske og teknologiske tilnærmingene til kildekodesikkerhet sammen. Det er basert på å utvikle god kommunikasjon med dine ansatte. Dette inkluderer: bruk av opplæring om sikkerhetsbevissthet slik at hele den utvidede arbeidsstyrken forstår risikoene; ha klare sikkerhetspolicyer som inkluderer kodebeskyttelse; og bruk av de beste tilgjengelige teknologiene, som forebygging av tap av data, for å beskytte kildekoden din.

Konklusjon

kildekoden din er dine immaterielle rettigheter og proprietære sensitive data. Beskyttelse av denne ressursen er et grunnleggende behov for enhver organisasjon som genererer kode. Tap av kildekode påvirker ikke bare din økonomiske bunnlinje, det gir også dine konkurrenter et bein opp. Hvis firmaet oppretter kildekode, må du sørge for at den forblir under organisasjonens kontroll. Men kildekoden er en svært verdifull vare og med verdi kommer risiko.

for å redusere denne risikoen må du følge en prosess som omfatter beste praksis. Våre 5 beste praksis for å sikre kildekoden er bygget på dyp bransjekunnskap. Hvis du følger deres råd, kan firmaet inneholde risikoen forbundet med kildekodeutvikling. Disse beste praksisene gir en lagdelt tilnærming til beskyttelse som bygger på tidligere praksismetodikk for å gi dybde og styrke til sikkerheten din. Disse beste praksisene vil sikre at enhver trussel, både intern og ekstern, reduseres mot. Å holde koden din trygg er en prioritet i en verden der cyberkriminalitet er florerer. Men like, utilsiktet eksponering kan ende opp med å koste organisasjonen dyrt.

Ressurser

  • Computerworld: https://www.computerworld.com.au/article/632406/ex-ibm-employee-jailed-over-source-code-theft/
  • Cyberwire: https://www.thecyberwire.com/issues/issues2018/April/CyberWire_2018_04_27.html
  • Stop-Source-Code-Tyveri, hvorfor utviklere stjele kildekoden?: https://www.stop-source-code-theft.com/why-do-developers-steal-source-code/
  • Gemalto, Brudd Nivå Indeks: https://breachlevelindex.com/
  • Comparitech: https://www.comparitech.com/blog/information-security/data-breach-share-price-2018/
  • Stop-Kildekode-Tyveri, Insider Trussel 101: https://www.stop-source-code-theft.com/insider-threat-101-for-software-development-companies/
  • Stopp-Kildekode-Tyveri: https://www.stop-source-code-theft.com/
  • Haag Sikkerhet Delta: https://www.thehaguesecuritydelta.com/media/com_hsd/report/154/document/2017-Insider-Threat-Intelligence-Report.pdf
  • com: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
  • FIDO Alliance: https://fidoalliance.org/specifications/
  • GitHub Hjelp: https://help.github.com/en/articles/securing-your-account-with-two-factor-authentication-2fa
  • Computer Associates: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.