Lacy Leadership

Success is Near

best Practices voor beveiliging van broncode

0 aandelen broncode kan worden vergeleken met de “geheime saus” van een onderneming. De code vertegenwoordigt uw intellectuele eigendom op een fundamenteel niveau – het zijn de instructies die softwareproducten laten werken. Het maakt ook deel uit van uw concurrentievoordeel en is een zeer strategisch aspect van de innovatie en plaats van uw bedrijf in […]
0 aandelen

broncode kan worden vergeleken met de “geheime saus” van een onderneming. De code vertegenwoordigt uw intellectuele eigendom op een fundamenteel niveau – het zijn de instructies die softwareproducten laten werken. Het maakt ook deel uit van uw concurrentievoordeel en is een zeer strategisch aspect van de innovatie en plaats van uw bedrijf in uw branche.

vanwege dit inherente belang heeft broncode een hoog risico op blootstelling en diefstal. Voorbeelden van diefstal van broncode of zelfs toevallige blootstelling zijn wijdverbreid. Zoals het voorbeeld van de IBM software ontwikkelaar die onlangs kreeg een 5-jaar gevangenisstraf voor diefstal van broncode. Of de toevallige blootstelling van de code van GreyShift, iPhone ontgrendelen specialist voor wetshandhavingsinstanties, wat resulteerde in het bedrijf wordt gehouden om losgeld door de hackers. (1, 2)

de gevolgen van blootstelling aan broncode omvatten alles van het toestaan van concurrenten om een voordeel te hebben tot verlies van innovatieve voorsprong, financiële kosten, evenals het creëren van beveiligingsproblemen voor uw bedrijf en klanten.

broncode wordt gelekt via een aantal routes. In een vorig artikel hebben we gekeken naar enkele van de redenen waarom en hoe blootstelling aan broncode plaatsvindt. Deze routes naar blootgestelde code omvatten zowel insider en externe bedreigingen. In een poging om het risico van schending van broncode te verminderen, kunnen we best practices toepassen bij het beveiligen van broncode. In dit artikel zullen we kijken naar 5 van de belangrijkste van deze praktijken. (3)

5 beste praktijken bij het beveiligen van broncode

blootstelling aan broncode kunnen een ingewikkeld gebied zijn om aan te pakken. Dit is omdat het kan gebeuren door zowel kwaadaardige en toevallige middelen. Elke maatregel die u neemt om het verlies van broncode te beperken, moet beide oorzaken van lekken dekken. De 5 beste praktijken hieronder, geven een robuuste basis in het voorkomen van het verlies van deze meest waardevolle grondstoffen, uw broncode:

Best Practice 1: Hebben duidelijk beveiligingsbeleid dat broncode

bevat Waarom is dit nodig? Veiligheidsbeleid is een fundamenteel onderdeel van een moderne organisatie. Ze helpen uw organisatie bij het strategiseren en adviseren over alle mogelijke beveiligingsproblemen. Alle soorten diefstal van gegevens is een groot probleem in alle sectoren van de industrie. Meer dan 6,5 miljoen databestanden worden elke dag gestolen, in alle bedrijven. Een organisatie wordt geplaatst op ernstige financiële risico ‘ s wanneer het wordt geschonden; onderzoek waaruit blijkt dat aandelen prijsdalingen blijven laag voor ten minste 6 maanden na de inbreuk. (4, 5)

broncode moet worden behandeld als elke andere bedrijfsbron; bedreigingen moeten worden erkend door uw beveiligingsbeleid en daarin aangepakt. Deze bedreigingen moeten niet alleen code verlies door toevallige of kwaadaardige blootstelling, maar ook de mogelijkheid voor code opzettelijk worden geïnfecteerd door malware – dat wil zeggen, gecompromitteerd.

bruikbare manieren om het probleem te bevatten: zorg er bij het maken van een beveiligingsbeleid voor uw organisatie voor dat u een sectie hebt die alle gebieden van de ontwikkeling van broncode en het personeel dat betrokken is bij de ontwikkeling van code behandelt. Dit moet ten minste:

  • GitHub en andere repository types, best practices-bijvoorbeeld, toegangsrechten, repository configuratie, robuust credential beleid, het voorkomen van het downloaden van de bron naar lokale machines, enz.
  • het gebruik van verwijderbare media door ontwikkelaars – in het bijzonder om onopzettelijk verlies van code te voorkomen
  • algemene hygiënepraktijken voor ontwikkelaars – beleid om het risico van het delen van wachtwoorden tussen ontwikkelaars te beperken en het gebruik van samenwerkingsportals waarbij wachtwoorden en code kunnen worden geplaatst in groepen
  • Security awareness training voor ontwikkelaars – alleen omdat een individu softwarecode schrijft betekent niet dat hij zich bewust is van beveiligingsrisico ‘ s
  • toegang tot alle code. Ze moeten toegang krijgen op basis van “need to know”
  • geheime referenties en certificaatsleutels gescheiden houden van de broncode – gebruik Automatisch scannen van de code om te controleren of de referenties niet per ongeluk zijn toegevoegd aan de code
  • het gebruik van relevante technologieën – zie best practices 2, 3, en 4

Best Practice 2: Gebruik speciale tools om diefstal van broncode

te voorkomen Waarom is dit nodig? Insider bedreigingen voor de broncode zijn zeer kostbaar. In onze recente post over de kwesties van interne bedreigingen, we geïdentificeerd dat het een minimum gemiddelde van $1,8 miljoen en tot $20 miljoen USD kan kosten om een insider incident te corrigeren. Door zijn aard, ervoor te zorgen dat insiders respect bedrijf intellectueel eigendom (IP) kan een lastige ding om te doen. Speciale tools om softwarediefstal te voorkomen bieden ons echter een beschermingslaag die anders zeer moeilijk te bereiken zou zijn. (6)

bruikbare manieren om het probleem in te Dammen: gebruik gespecialiseerde instrumenten die zijn ontworpen om dit zeer moeilijke gebied van cyberrisico in te Dammen. Hulpmiddelen voor het voorkomen van gegevensverlies helpen bij het beheren van beveiligingsproblemen met betrekking tot risicogebieden op hoog niveau, waaronder die welke een organisatie verlaten-89% van de vertrekkers blijft toegang hebben tot bedrijfseigen bedrijfsgegevens, zelfs na het verlaten van een organisatie; onderaannemers die mogelijk bevoorrechte toegang hebben; en bestaande werknemers die u vertrouwt maar moet verifiëren (zie ook best practice 5 hieronder). (7, 8)

beste praktijk 3: bevoorrechte toegang en 2FA

Waarom is dit nodig? Wachtwoorden zijn vaak de zwakste schakel bij het controleren van de toegang. Ontwikkelaars vereisen meestal een hoog niveau van bevoorrechte toegang als ze werken aan broncode. Datalekken zoals de recente collectie # 1 incident waar 773 miljoen Data records, waaronder wachtwoorden, werden gelekt, maakt het gebruik van wachtwoorden voor bevoorrechte toegang, hoog risico. Iedereen die bevoorrechte toegang nodig heeft, bijvoorbeeld tot broncode-repositories, moet robuuste authenticatie hebben toegepast. Een tweede factor, zoals een digitaal certificaat of tijdelijke code ontvangen op een mobiel apparaat, en Fido gebaseerde apps, zijn voorbeelden van sterke en/of twee-factor authenticatie (2FA). Biometrie is een ander type credential dat een betere toegangscontrole kan bieden aan een geprivilegieerd gebied van een netwerk. (9, 10)

bruikbare manieren om het probleem te bevatten: elk gebied van uw netwerk dat gevoelige gegevens bevat, inclusief broncode, ontwerpspecificaties en andere gerelateerde documentatie, moet 2FA hebben toegepast. Er zijn een aantal verschillende soorten technologieën beschikbaar om de toegang tot bevoorrechte gebieden van uw systeem te controleren. Deze zijn echter vaak afhankelijk van de toepassing. Diensten vaak gebruikt door ontwikkelingsteams, zoals GitHub bieden twee-factor authenticatie. (11)

koppel deze beste praktijk terug aan beste praktijk 1 en creëer een beleid dat een model van de minste privileges omvat, dat wil zeggen dat het alleen toegankelijk is voor degenen die het echt nodig hebben.

beste praktijken 4: technologieën zoals encryptie en gedragsanalyse/monitoring

Waarom is dit nodig? Beveiliging is gebaseerd op een gelaagde aanpak. Dit betekent dat je geen enkele best practice kunt toepassen en hopen dat het risico beperkt. In plaats daarvan moet je een aantal technische en mensgerichte best practices gebruiken. Veiligheid moet worden gezien als een proces.

verschillende technologieën kunnen op globale en/of departementale basis worden toegepast om uw beschermende laag te harden.

bruikbare manieren om het probleem te beheersen: door gebruik te maken van technologieën zoals encryptie, codeverduistering en door uw werknemers en contractanten op een niet-opdringerige manier te monitoren, kunt u problemen op de hoogte houden voordat ze incidenten worden. Je moet beginnen bij het begin van het ontwikkelingsproces, van de individuen die de code ontwikkelen en/of toegang hebben tot de repository waarin het is opgeslagen, tot het delen en vrijgeven van code.

beste praktijken 5: beleid dat vertrouwen omvat, maar verifieert

Waarom is dit nodig? Deze best practice brengt al uw inspanningen in het beschermen van uw broncode samen. Dit is een filosofische mantra die een basis biedt voor een praktische manier om niet alleen blootstelling aan broncode, maar ook andere gevoelige datalekken te verminderen. ‘Trust but Verify’ is het creëren van een pragmatische basis van vertrouwen binnen uw organisatie. Blind vertrouwen werkt niet zoals de 90% van de bedrijven die zich zorgen maken over een insider bedreiging, getuigt. (12)

bruikbare manieren om de kwestie in te Dammen: Trust but Verify brengt de sociologische en technologische benaderingen van broncodebeveiliging samen. Het is gebaseerd op het ontwikkelen van uitstekende communicatie met uw medewerkers. Dit omvat: het toepassen van beveiligingsbewustheidstraining zodat al uw uitgebreide medewerkers de risico ‘ s begrijpen; het hebben van een duidelijk beveiligingsbeleid dat codebescherming omvat; en het toepassen van de beste beschikbare technologieën, zoals het voorkomen van gegevensverlies, om uw broncode te beschermen.

conclusie

uw broncode is uw intellectuele eigendom en eigen gevoelige gegevens. Het beschermen van deze bron is een fundamentele behoefte voor elke organisatie die code genereert. Verlies van broncode niet alleen van invloed op uw financiële bottom line, Het geeft ook uw concurrenten een been omhoog. Als uw bedrijf broncode maakt, moet u ervoor zorgen dat het onder de controle van uw organisatie blijft. Maar broncode is een zeer waardevol product en met waarde komt risico.

om dat risico te beperken, moet u een proces volgen dat best practices omvat. Onze 5 best practices voor het beveiligen van broncode zijn gebaseerd op diepgaande kennis van de industrie. Als u hun advies opvolgt, kan uw bedrijf de risico ‘ s in verband met de ontwikkeling van broncode beheersen. Deze best practices bieden een gelaagde benadering van bescherming die voortbouwt op eerdere praktijk methodologie om diepte en kracht toe te voegen aan uw beveiliging. Deze beste praktijken zullen ervoor zorgen dat elke bedreiging, zowel intern als extern, wordt tegengegaan. Het veilig houden van je code is een prioriteit in een wereld waar cybercriminaliteit wijdverbreid is. Maar ook, toevallige blootstelling kan uiteindelijk kosten uw organisatie duur.

Hulpbronnen

  • Computerworld: https://www.computerworld.com.au/article/632406/ex-ibm-employee-jailed-over-source-code-theft/
  • The Cyberwire: https://www.thecyberwire.com/issues/issues2018/April/CyberWire_2018_04_27.html
  • Stop-Source-code-Theft, waarom stelen ontwikkelaars broncode?: https://www.stop-source-code-theft.com/why-do-developers-steal-source-code/
  • Gemalto, Schending Niveau-Index: https://breachlevelindex.com/
  • Comparitech: https://www.comparitech.com/blog/information-security/data-breach-share-price-2018/
  • Stop-Source-Code-Diefstal, Insider Threat 101: https://www.stop-source-code-theft.com/insider-threat-101-for-software-development-companies/
  • Stop-Source-Code-Diefstal: https://www.stop-source-code-theft.com/
  • The Hague Security Delta: https://www.thehaguesecuritydelta.com/media/com_hsd/report/154/document/2017-Insider-Threat-Intelligence-Report.pdf
  • com: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
  • FIDO Alliance: https://fidoalliance.org/specifications/
  • GitHub Helpen: https://help.github.com/en/articles/securing-your-account-with-two-factor-authentication-2fa
  • Computer Associates: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.