Lacy Leadership

Success is Near

najlepsze praktyki bezpieczeństwa kodu źródłowego

0 akcje kod źródłowy można porównać do „tajnego sosu” firmy. Kod reprezentuje Twoją własność intelektualną na podstawowym poziomie-to instrukcje, które sprawiają, że produkty programowe działają. Jest to również część twojej przewagi konkurencyjnej i jest wysoce strategicznym aspektem innowacji Twojej firmy i miejsca w Twojej branży. ze względu na to nieodłączne znaczenie kod źródłowy ma wysokie […]
0 akcje

kod źródłowy można porównać do „tajnego sosu” firmy. Kod reprezentuje Twoją własność intelektualną na podstawowym poziomie-to instrukcje, które sprawiają, że produkty programowe działają. Jest to również część twojej przewagi konkurencyjnej i jest wysoce strategicznym aspektem innowacji Twojej firmy i miejsca w Twojej branży.

ze względu na to nieodłączne znaczenie kod źródłowy ma wysokie ryzyko narażenia i kradzieży. Przykłady kradzieży kodu źródłowego lub nawet przypadkowego ujawnienia są powszechne. Jak na przykład programista IBM, któremu niedawno przyznano 5 lat więzienia za kradzież kodu źródłowego. Lub przypadkowe ujawnienie kodu od GreyShift, specjalisty od odblokowania iPhone ’ a dla organów ścigania, co spowodowało, że firma została zatrzymana przez hakerów. (1, 2)

konsekwencje ekspozycji na kod źródłowy obejmują wszystko, od umożliwienia konkurentom uzyskania przewagi po utratę przewagi innowacyjnej, koszty finansowe, a także tworzenie problemów bezpieczeństwa dla Twojej firmy i klientów.

kod źródłowy jest wyciekany przez wiele tras. W poprzednim artykule przyjrzeliśmy się niektórym powodom i sposobom ekspozycji kodu źródłowego. Te drogi do ujawnionego kodu obejmują zarówno zagrożenia wewnętrzne, jak i zewnętrzne. W celu zmniejszenia ryzyka naruszenia kodu źródłowego możemy zastosować najlepsze praktyki w zabezpieczaniu kodu źródłowego. W tym artykule przyjrzymy się 5 najważniejszym z tych praktyk. (3)

5 Najlepsze praktyki w zabezpieczaniu kodu źródłowego

ekspozycja kodu źródłowego może być skomplikowanym obszarem do rozwiązania. Dzieje się tak dlatego, że może się zdarzyć zarówno w sposób złośliwy, jak i przypadkowy. Wszelkie środki podejmowane w celu ograniczenia utraty kodu źródłowego muszą obejmować obie przyczyny wycieków. 5 najlepszych praktyk poniżej daje solidne podstawy w zapobieganiu utracie tego najcenniejszego towaru, Twój kod źródłowy:

Best Practice 1: Masz jasne zasady bezpieczeństwa, które obejmują kod źródłowy

dlaczego jest to potrzebne? Polityka bezpieczeństwa jest fundamentalną częścią nowoczesnej organizacji. Pomagają one Twojej organizacji w opracowywaniu strategii i doradzaniu we wszystkich potencjalnych kwestiach związanych z bezpieczeństwem. Kradzież wszelkiego rodzaju danych jest poważnym problemem we wszystkich sektorach przemysłu. Każdego dnia we wszystkich firmach kradnie się ponad 6,5 miliona rekordów danych. Organizacja jest narażona na poważne ryzyko finansowe, gdy zostanie naruszona; badania stwierdzające, że spadki cen akcji pozostają w depresji przez co najmniej 6 miesięcy po naruszeniu. (4, 5)

kod źródłowy powinien być traktowany jak każdy inny zasób firmowy; zagrożenia muszą być uznane przez politykę bezpieczeństwa i uwzględnione w niej. Zagrożenia te powinny obejmować nie tylko utratę kodu w wyniku przypadkowej lub złośliwej ekspozycji, ale także możliwość celowego zainfekowania kodu złośliwym oprogramowaniem – tj.

możliwe do zastosowania sposoby powstrzymania problemu: podczas tworzenia polityki bezpieczeństwa dla organizacji upewnij się, że masz sekcję, która obejmuje wszelkie obszary rozwoju kodu źródłowego i personel zaangażowany w tworzenie kodu. Powinno to obejmować co najmniej:

  • GitHub i inne typy repozytoriów, najlepsze praktyki – na przykład prawa dostępu, konfiguracja repozytorium, solidne zasady poświadczeń, zapobieganie pobieraniu źródeł na maszyny lokalne itp.
  • wykorzystanie nośników wymiennych przez programistów – w szczególności w celu zapobiegania przypadkowej utracie kodu
  • ogólne zasady higieny bezpieczeństwa dla programistów – Zasady pomagające ograniczyć ryzyko udostępniania haseł wśród programistów oraz korzystanie z portali współpracy, w których hasła i Kod mogą być umieszczane w grupach
  • szkolenie w zakresie świadomości bezpieczeństwa dla programistów – to, że dana osoba pisze kod oprogramowania, nie oznacza, że jest świadoma zagrożeń bezpieczeństwa
  • dzielenie kodu źródłowego podczas korzystania z podwykonawców-deweloperzy zazwyczaj nie muszą mieć dostęp do całego kodu.
  • Zachowaj wszelkie tajne poświadczenia i klucze certyfikatów oddzielnie od kodu źródłowego – użyj automatycznego skanowania kodu, aby sprawdzić, czy poświadczenia nie zostały przypadkowo dodane do kodu
  • wykorzystanie odpowiednich technologii-patrz najlepsze praktyki 2, 3 i 4. 4

najlepsza praktyka 2: Zastosuj dedykowane narzędzia, aby zapobiec kradzieży kodu źródłowego

dlaczego jest to potrzebne? Zagrożenia wewnętrzne dla kodu źródłowego są bardzo kosztowne. W naszym ostatnim poście na temat zagrożeń wewnętrznych stwierdziliśmy, że naprawienie incydentu wewnętrznego może kosztować średnio co najmniej 1,8 miliona USD i do 20 milionów USD. Ze względu na swoją naturę zapewnienie, że wtajemniczeni szanują własność intelektualną firmy (IP), może być trudną rzeczą do zrobienia. Jednak dedykowane narzędzia zapobiegające kradzieży oprogramowania dają nam warstwę ochrony, która w przeciwnym razie byłaby bardzo trudna do osiągnięcia. (6)

możliwe do zastosowania sposoby ograniczenia problemu: Zastosuj specjalistyczne narzędzia, które zostały zaprojektowane tak, aby ograniczyć ten bardzo trudny obszar cyber-ryzyka. Narzędzia zapobiegające utracie danych pomagają zarządzać kwestiami bezpieczeństwa związanymi z obszarami wysokiego ryzyka, w tym tymi, które opuszczają organizację-89% osób, które opuściły organizację, nadal ma dostęp do zastrzeżonych danych korporacyjnych, nawet po opuszczeniu organizacji; podwykonawcy, którzy mogą mieć uprzywilejowany dostęp; oraz obecni pracownicy, którym ufasz, ale których musisz zweryfikować (patrz również najlepsza praktyka 5 poniżej). (7, 8)

najlepsza praktyka 3: Dostęp uprzywilejowany i 2FA

dlaczego jest to potrzebne? Hasła są często najsłabszym ogniwem w kontrolowaniu dostępu. Programiści zwykle wymagają wysokiego poziomu uprzywilejowanego dostępu, ponieważ pracują nad kodem źródłowym. Naruszenia danych, takie jak niedawny incydent Collection #1, w którym wyciekło 773 milionów rekordów danych, w tym haseł, sprawia, że korzystanie z haseł dla uprzywilejowanego dostępu jest wysokie ryzyko. Każdy, kto potrzebuje uprzywilejowanego dostępu, na przykład do repozytoriów kodu źródłowego, musi mieć zastosowane solidne uwierzytelnianie. Drugi czynnik, taki jak certyfikat cyfrowy lub kod ograniczony w czasie otrzymany na urządzeniu mobilnym oraz aplikacje oparte na FIDO, to przykłady silnego i/lub dwuskładnikowego uwierzytelniania (2FA). Biometria to kolejny rodzaj poświadczeń, który może zaoferować silniejszą kontrolę dostępu do uprzywilejowanego obszaru sieci. (9, 10)

możliwe do podjęcia działania sposoby powstrzymania problemu: każdy obszar sieci, w którym znajdują się poufne dane, w tym kod źródłowy, specyfikacje projektu i inna powiązana dokumentacja, powinien mieć zastosowanie 2FA. Istnieje wiele różnych rodzajów technologii do kontrolowania dostępu do uprzywilejowanych obszarów systemu. Są one jednak często zależne od zastosowania. Usługi często wykorzystywane przez zespoły programistyczne, takie jak GitHub, oferują uwierzytelnianie dwuskładnikowe. (11)

połącz tę najlepszą praktykę z powrotem do najlepszej praktyki 1 i twórz polityki obejmujące model najmniejszych przywilejów, tzn. Zezwalaj tylko na dostęp tym, którzy naprawdę go potrzebują.

najlepsza praktyka 4: technologie takie jak szyfrowanie i analiza behawioralna/monitorowanie

dlaczego jest to potrzebne? Bezpieczeństwo opiera się na podejściu warstwowym. Oznacza to, że nie można stosować jednej najlepszej praktyki i mieć nadzieję, że zmniejszy ona ryzyko. Zamiast tego musisz użyć wielu najlepszych praktyk zarówno technicznych, jak i skoncentrowanych na człowieku. Bezpieczeństwo należy traktować jako proces.

różne technologie mogą być stosowane w skali globalnej i/lub działowej w celu utwardzenia warstwy ochronnej.

możliwe do zastosowania sposoby powstrzymania problemu: korzystając z technologii takich jak szyfrowanie, technologie zaciemniania kodu oraz monitorując pracowników i kontrahentów w sposób nieinwazyjny, możesz być na bieżąco z problemami, zanim staną się incydentami. Musisz zacząć od samego początku procesu rozwoju, od osób, które opracowują i/lub uzyskują dostęp do kodu, poprzez repozytorium, w którym jest przechowywany, aż do udostępniania i uwalniania kodu.

najlepsza praktyka 5: zasady obejmujące zaufanie, ale weryfikujące

dlaczego jest to potrzebne? Ta najlepsza praktyka łączy wszystkie wysiłki związane z ochroną kodu źródłowego. Jest to filozoficzna mantra, która stanowi podstawę praktycznego sposobu ograniczenia nie tylko ekspozycji na kod źródłowy, ale także innych wrażliwych wycieków danych. „Trust but Verify” polega na stworzeniu pragmatycznej podstawy zaufania w Twojej organizacji. Ślepe zaufanie nie działa, jak poświadcza 90% firm zaniepokojonych Zagrożeniem wewnętrznym.

: Trust but Verify łączy socjologiczne i technologiczne podejście do bezpieczeństwa kodu źródłowego. Opiera się na rozwijaniu doskonałej komunikacji z pracownikami. Obejmuje to: zastosowanie szkolenia w zakresie bezpieczeństwa, aby wszyscy Twoi pracownicy rozumieli zagrożenia; posiadanie jasnych zasad bezpieczeństwa, które obejmują ochronę kodu; oraz stosowanie najlepszych dostępnych technologii, takich jak zapobieganie utracie danych, w celu ochrony kodu źródłowego.

wniosek

Twój kod źródłowy jest twoją własnością intelektualną i zastrzeżonymi danymi wrażliwymi. Ochrona tego zasobu jest podstawową potrzebą każdej organizacji, która generuje kod. Utrata kodu źródłowego wpływa nie tylko na wyniki finansowe, ale także daje przewagę konkurentom. Jeśli Twoja firma tworzy kod źródłowy, musisz upewnić się, że pozostaje on pod kontrolą Twojej organizacji. Ale kod źródłowy jest bardzo cennym towarem, a z wartością wiąże się ryzyko.

aby ograniczyć to ryzyko, musisz postępować zgodnie z procesem, który obejmuje najlepsze praktyki. Nasze 5 najlepszych praktyk zabezpieczania kodu źródłowego opiera się na dogłębnej wiedzy branżowej. Jeśli zastosujesz się do ich rad, Twoja firma może ograniczyć ryzyko związane z tworzeniem kodu źródłowego. Te najlepsze praktyki oferują wielowarstwowe podejście do ochrony, które opiera się na wcześniejszej metodologii praktyki, aby zwiększyć głębię i siłę zabezpieczeń. Te najlepsze praktyki zapewnią, że wszelkie zagrożenia, zarówno wewnętrzne, jak i zewnętrzne, zostaną złagodzone. Bezpieczeństwo kodu jest priorytetem w świecie, w którym szerzy się cyberprzestępczość. Ale równie, przypadkowe narażenie może skończyć się drogo kosztować Twoją organizację.

Zasoby

  • Computerworld: https://www.computerworld.com.au/article/632406/ex-ibm-employee-jailed-over-source-code-theft/
  • Cyberwire: https://www.thecyberwire.com/issues/issues2018/April/CyberWire_2018_04_27.html
  • Stop-Source-Code-Theft, dlaczego deweloperzy kradną kod źródłowy?: https://www.stop-source-code-theft.com/why-do-developers-steal-source-code/
  • Gemalto, wskaźnik poziomu naruszenia: https://breachlevelindex.com/
  • Comparitech: https://www.comparitech.com/blog/information-security/data-breach-share-price-2018/
  • Stop-Source-Code-Theft, Insider Threat 101: https://www.stop-source-code-theft.com/insider-threat-101-for-software-development-companies/
  • Stop-Source-Code-Theft: https://www.stop-source-code-theft.com/
  • Delta bezpieczeństwa w Hadze: https://www.thehaguesecuritydelta.com/media/com_hsd/report/154/document/2017-Insider-Threat-Intelligence-Report.pdf
  • kom: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
  • Fido Alliance: https://fidoalliance.org/specifications/
  • GitHub pomoc: https://help.github.com/en/articles/securing-your-account-with-two-factor-authentication-2fa
  • Computer Associates: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.