Lacy Leadership

Success is Near

práticas recomendadas de segurança de código-fonte

0 ações o código-fonte pode ser comparado ao ‘molho secreto’ de uma empresa. O código representa sua propriedade intelectual em um nível fundamental – são as instruções que fazem os produtos de software funcionarem. Também faz parte da sua vantagem competitiva e é um aspecto altamente estratégico da inovação e do lugar da sua empresa […]
0 ações

o código-fonte pode ser comparado ao ‘molho secreto’ de uma empresa. O código representa sua propriedade intelectual em um nível fundamental – são as instruções que fazem os produtos de software funcionarem. Também faz parte da sua vantagem competitiva e é um aspecto altamente estratégico da inovação e do lugar da sua empresa em seu setor.

devido a essa importância inerente, o código-fonte tem um alto risco de exposição e roubo. Exemplos de roubo de código-fonte ou mesmo exposição acidental são generalizados. Como o exemplo do desenvolvedor de software IBM, que recentemente recebeu uma sentença de prisão de 5 anos por roubo de código-fonte. Ou a exposição acidental de código da GreyShift, especialista em Desbloqueio de iPhone para agências de aplicação da lei, que resultou na empresa sendo mantida em resgate pelos hackers. (1, 2)

as consequências da exposição ao código-fonte incluem tudo, desde permitir que os concorrentes tenham uma vantagem até a perda de vantagem inovadora, custos financeiros, além de criar problemas de segurança para sua empresa e clientes.

o código-fonte é vazado através de várias rotas. Em um artigo anterior, analisamos algumas das razões pelas quais e como ocorre a exposição ao código-fonte. Essas rotas para o código exposto incluem ameaças internas e externas. Em um esforço para reduzir o risco de violação de código-fonte, podemos aplicar as melhores práticas para proteger o código-fonte. Neste artigo, veremos 5 das mais importantes dessas práticas. (3)

5 As Melhores Práticas para proteger o código-fonte

a exposição ao código-fonte pode ser uma área complicada de abordar. Isso ocorre porque pode acontecer por meios maliciosos e acidentais. Qualquer medida que você tomar para mitigar a perda de código – fonte deve cobrir ambas as causas de vazamentos. As 5 melhores práticas abaixo, dar uma base robusta na prevenção da perda deste mais precioso de commodities, o seu código-fonte:

melhores práticas 1: Tem políticas de segurança claras que incluem código-fonte

por que isso é necessário? As Políticas de segurança são uma parte fundamental de uma organização moderna. Eles ajudam sua organização a criar estratégias e aconselhar sobre todos os possíveis problemas de segurança. O roubo de dados de todos os tipos é um grande problema em todos os setores da indústria. Mais de 6,5 milhões de registros de dados são roubados todos os dias, em todas as empresas. Uma organização é colocada em sério risco financeiro quando é violada; pesquisa descobrindo que as quedas no preço das ações permanecem deprimidas por pelo menos 6 meses após a violação. (4, 5)

o código-fonte deve ser tratado como qualquer outro recurso da empresa; as ameaças devem ser reconhecidas por sua política de segurança e abordadas nela. Essas ameaças devem incluir não apenas a perda de código por exposição acidental ou maliciosa, mas também o potencial de o Código ser intencionalmente infectado por malware – ou seja, comprometido.

maneiras acionáveis de conter o problema: ao criar uma política de segurança para sua organização, certifique-se de ter uma seção que cubra todas as áreas de desenvolvimento de código-fonte e pessoal envolvido no desenvolvimento de código. Isso deve incluir no mínimo:

  • GitHub e outros tipos de repositório, melhores práticas – por exemplo, direitos de acesso, configuração de repositório, Políticas de credenciais robustas, prevenção de download de fonte para máquinas locais, etc.
  • O uso de mídia removível por desenvolvedores – em particular, para evitar a perda acidental de código
  • segurança Geral, as práticas de higiene para os desenvolvedores de políticas para ajudar a mitigar o risco do compartilhamento de senhas entre os desenvolvedores e o uso de portais de colaboração, onde as senhas e código podem ser postadas em grupos de
  • treinamento de conscientização de Segurança para desenvolvedores – só porque um indivíduo escreve software de código não significa que eles estão conscientes dos riscos de segurança
  • Compartimentar o código-fonte quando utilizar subcontratados – desenvolvedores normalmente não precisa ter acesso a todo o código. Eles devem ter acesso a uma “necessidade de conhecer base’
  • Manter segredo nenhum de credenciais e certificados de chaves separada da fonte de código de usar auto-verificação de código para verificar as credenciais de não ter sido acidentalmente adicionado ao código
  • O uso de tecnologias relevantes – ver as melhores práticas 2, 3, e 4

a Melhor Prática 2: Aplicar ferramentas dedicadas para prevenir roubo de código-fonte

Por isso é necessário? Ameaças internas ao código-fonte são muito caras. Em nosso recente post sobre as questões de ameaças internas, identificamos que pode custar uma média mínima de US $1,8 milhão e até US $20 milhões para corrigir um incidente interno. Por sua própria natureza, garantir que os insiders respeitem a propriedade intelectual da empresa (IP) pode ser uma coisa complicada de fazer. No entanto, ferramentas dedicadas para evitar o roubo de software nos dão uma camada de proteção que, de outra forma, seria muito difícil de alcançar. (6)

formas acionáveis de conter o problema: aplique ferramentas especializadas que foram projetadas para conter essa área muito difícil de Risco Cibernético. As ferramentas de prevenção de perda de dados ajudam a gerenciar problemas de segurança relacionados a áreas de risco de alto nível, incluindo aqueles que saem de uma organização-89% dos que saem continuam a ter acesso a dados corporativos proprietários mesmo depois de deixar uma organização; subcontratados que podem ter acesso privilegiado; e, funcionários existentes em quem você confia, mas precisam verificar (veja também as melhores práticas 5 abaixo). (7, 8)

Melhores Práticas 3: Acesso Privilegiado e 2FA

por que isso é necessário? As senhas costumam ser o elo mais fraco no controle do acesso. Os desenvolvedores geralmente exigem um alto nível de acesso privilegiado à medida que trabalham no código-fonte. Violações de dados como o recente incidente de coleta nº 1, onde 773 milhões de registros de dados, incluindo senhas, vazaram, fazem uso de senhas para acesso privilegiado, de alto risco. Qualquer pessoa que precise de acesso privilegiado, por exemplo, a repositórios de código-fonte, precisa ter autenticação robusta aplicada. Um segundo fator, como um certificado digital ou código com tempo limitado recebido em um dispositivo móvel e aplicativos baseados em FIDO, são exemplos de autenticação forte e/ou de dois fatores (2FA). A biometria é outro tipo de credencial que pode oferecer um controle de acesso mais forte a uma área privilegiada de uma rede. (9, 10)

formas acionáveis de conter o problema: qualquer área da sua rede que contenha dados confidenciais, incluindo código-fonte, especificações de design e outra documentação relacionada, deve ter 2FA aplicado. Existem vários tipos diferentes de tecnologias disponíveis para controlar o acesso a áreas privilegiadas do seu sistema. No entanto, muitas vezes dependem do aplicativo. Os Serviços frequentemente utilizados por equipes de desenvolvimento, como o GitHub, oferecem autenticação de dois fatores. (11)

vincule essa prática recomendada às melhores práticas 1 e crie políticas que abarcem um modelo de menor privilégio, ou seja, permita apenas o acesso àqueles que realmente precisam dela.

melhores práticas 4: tecnologias como criptografia e análise/monitoramento comportamental

por que isso é necessário? A segurança depende de uma abordagem em camadas. Isso significa que você não pode aplicar uma única prática recomendada e esperar que ela mitigue o risco. Em vez disso, você deve usar várias práticas recomendadas técnicas e centradas no ser humano. A segurança deve ser considerada como um processo.

várias tecnologias podem ser aplicadas em uma base global e / ou departamental para endurecer sua camada protetora.

maneiras acionáveis de conter o problema: usando tecnologias como criptografia, tecnologias de ofuscação de código e monitorando seus funcionários e contratados de maneira não intrusiva, você pode acompanhar os problemas antes que eles se tornem incidentes. Você tem que começar no início do processo de desenvolvimento, desde os indivíduos que desenvolvem e/ou acessam o código até o repositório em que está armazenado, até o compartilhamento e liberação de código.

melhores práticas 5: políticas que abrangem confiança, mas verificam

por que isso é necessário? Essa prática recomendada reúne todos os seus esforços para proteger seu código-fonte. Este é um mantra filosófico que fornece uma base para uma maneira prática de reduzir não apenas a exposição ao código-fonte, mas outros vazamentos de dados confidenciais. “Confiar mas verificar” tem tudo a ver com criar uma base pragmática de confiança dentro de sua organização. A confiança cega não funciona como atestam os 90% das empresas preocupadas com uma ameaça interna. (12)

maneiras acionáveis de conter o problema: A confiança, mas a verificação, reúne as abordagens sociológicas e tecnológicas para a segurança do código-fonte. Baseia-se no desenvolvimento de uma excelente comunicação com seus funcionários. Isso inclui: aplicar treinamento de conscientização de segurança para que toda a sua força de trabalho estendida entenda os riscos; ter políticas de segurança claras que incluem proteção de código; e, aplicando as melhores tecnologias disponíveis, como prevenção de perda de dados, para proteger seu código-fonte.

conclusão

seu código-fonte é sua propriedade intelectual e dados confidenciais proprietários. Proteger esse recurso é uma necessidade fundamental para qualquer organização que gere código. A perda de código-fonte não afeta apenas seus resultados financeiros, mas também dá aos seus concorrentes uma vantagem. Se sua empresa criar código – fonte, você precisará garantir que ele permaneça sob o controle de sua organização. Mas o código-fonte é uma mercadoria muito valiosa e com valor vem o risco.

para mitigar esse risco, você deve seguir um processo que engloba as melhores práticas. Nossas 5 melhores práticas para proteger o código-fonte são baseadas em profundo conhecimento do setor. Se você seguir o conselho deles, sua empresa poderá conter os riscos associados ao desenvolvimento do código-fonte. Essas práticas recomendadas oferecem uma abordagem em camadas de proteção que se baseia na metodologia de prática anterior para adicionar profundidade e força à sua segurança. Essas melhores práticas garantirão que qualquer ameaça, tanto interna quanto externa, seja mitigada. Manter seu código seguro é uma prioridade em um mundo onde o cibercrime é abundante. Mas, igualmente, a exposição acidental pode acabar custando caro à sua organização.

Recursos

  • Computerworld: https://www.computerworld.com.au/article/632406/ex-ibm-employee-jailed-over-source-code-theft/
  • o Cyberwire: https://www.thecyberwire.com/issues/issues2018/April/CyberWire_2018_04_27.html
  • Stop-source-code-Theft, por que os desenvolvedores roubam o código-fonte?: https://www.stop-source-code-theft.com/why-do-developers-steal-source-code/
  • Gemalto, Violação de Índice de Nível: https://breachlevelindex.com/
  • Comparitech: https://www.comparitech.com/blog/information-security/data-breach-share-price-2018/
  • Stop-Código-Fonte-Roubo, Ameaça interna 101: https://www.stop-source-code-theft.com/insider-threat-101-for-software-development-companies/
  • Stop-Código-Fonte-Roubo: https://www.stop-source-code-theft.com/
  • Haia de Segurança Delta: https://www.thehaguesecuritydelta.com/media/com_hsd/report/154/document/2017-Insider-Threat-Intelligence-Report.pdf
  • com: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
  • Aliança FIDO: https://fidoalliance.org/specifications/
  • o GitHub Ajuda: https://help.github.com/en/articles/securing-your-account-with-two-factor-authentication-2fa
  • a Computer Associates: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf

Deixe uma resposta

O seu endereço de email não será publicado.