Lacy Leadership

Success is Near

cele mai bune practici de securitate a codului sursă

0 acțiunile codul sursă pot fi asemănate cu ‘sosul secret’ al unei companii. Codul reprezintă proprietatea dvs. intelectuală la un nivel fundamental – instrucțiunile fac ca produsele software să funcționeze. De asemenea, face parte din avantajul dvs. competitiv și este un aspect extrem de strategic al inovației și locului companiei dvs. în industria dvs. datorită […]
0 acțiunile

codul sursă pot fi asemănate cu ‘sosul secret’ al unei companii. Codul reprezintă proprietatea dvs. intelectuală la un nivel fundamental – instrucțiunile fac ca produsele software să funcționeze. De asemenea, face parte din avantajul dvs. competitiv și este un aspect extrem de strategic al inovației și locului companiei dvs. în industria dvs.

datorită acestei importanțe inerente, codul sursă prezintă un risc ridicat de expunere și furt. Exemple de furt de cod sursă sau chiar expunere accidentală sunt răspândite. Ca exemplul dezvoltatorului de software IBM care a primit recent o pedeapsă de 5 ani de închisoare pentru furtul codului sursă. Sau expunerea accidentală a codului de la GreyShift, specialist în deblocarea iPhone-ului pentru agențiile de aplicare a legii, care a dus la reținerea companiei de către hackeri. (1, 2)

consecințele expunerii codului sursă includ totul, de la a permite concurenților să aibă un avantaj la pierderea avantajului inovator, costurile financiare, precum și crearea de probleme de securitate pentru firma și clienții dvs.

codul sursă este scurs printr-un număr de rute. Într-un articol anterior, am analizat câteva dintre motivele pentru care și cum apare expunerea codului sursă. Aceste rute către codul expus includ atât amenințări interne, cât și externe. Într-un efort de a reduce riscul de încălcare a codului sursă, putem aplica cele mai bune practici în securizarea codului sursă. În acest articol, vom analiza 5 dintre cele mai importante dintre aceste practici. (3)

5 Cele mai bune practici în securizarea codului sursă

expunerea codului sursă poate fi o zonă complicată de abordat. Acest lucru se datorează faptului că se poate întâmpla atât prin mijloace rău intenționate, cât și accidentale. Orice măsură pe care o luați pentru a atenua pierderea codului sursă trebuie să acopere ambele cauze ale scurgerilor. Cele mai bune practici 5 de mai jos oferă o bază solidă în prevenirea pierderii celor mai prețioase mărfuri, codul dvs. sursă:

cele mai bune practici 1: Aveți Politici de securitate clare care includ codul sursă

de ce este necesar acest lucru? Politicile de securitate sunt o parte fundamentală a unei organizații moderne. Acestea ajută organizația dvs. să strategizeze și să consilieze cu privire la toate problemele potențiale de securitate. Furtul de date de toate tipurile este o problemă majoră în toate sectoarele industriale. Peste 6,5 milioane de înregistrări de date sunt furate în fiecare zi, în toate companiile. O organizație este plasată într-un risc financiar grav atunci când este încălcată; cercetările constată că scăderea prețului acțiunilor rămâne deprimată timp de cel puțin 6 luni după încălcare. (4, 5)

codul sursă trebuie tratat ca orice altă resursă a companiei; amenințările trebuie să fie recunoscute de politica dvs. de securitate și abordate în aceasta. Aceste amenințări ar trebui să includă nu numai pierderea de cod prin expunere accidentală sau rău intenționată, ci și potențialul ca Codul să fie infectat intenționat de malware – adică compromis.

modalități acționabile de a conține problema: când creați o politică de securitate pentru organizația dvs., asigurați-vă că aveți o secțiune care acoperă toate zonele de dezvoltare a codului sursă și personalul implicat în dezvoltarea codului. Aceasta ar trebui să includă cel puțin:

  • GitHub și alte tipuri de depozite, cele mai bune practici – de exemplu, drepturi de acces, configurarea depozitului, Politici de acreditare robuste, prevenirea descărcării sursei pe mașinile locale etc.
  • utilizarea suporturilor amovibile de către dezvoltatori – în special, pentru a preveni pierderea accidentală a codului
  • practici generale de igienă a securității pentru dezvoltatori – politici care ajută la atenuarea riscului de partajare a parolelor între dezvoltatori și utilizarea portalurilor de colaborare în care parolele și Codul pot fi postate în grupuri
  • instruire de conștientizare a securității pentru dezvoltatori – doar pentru că o persoană scrie cod software nu înseamnă că sunt conștienți de riscurile de securitate
  • compartimentați codul sursă utilizarea subcontractanților – dezvoltatorii nu trebuie de obicei să aibă acces la tot codul. Ar trebui să li se acorde acces pe baza ‘nevoii de a cunoaște’
  • păstrați orice acreditări secrete și Chei de certificat separate de codul sursă-utilizați scanarea automată a codului pentru a verifica acreditările nu au fost adăugate accidental la codul
  • utilizarea tehnologiilor relevante-consultați cele mai bune practici 2, 3 și 4

cele mai bune practici 2: Aplicați instrumente dedicate pentru a preveni furtul codului sursă

de ce este necesar acest lucru? Amenințările Insider la codul sursă sunt foarte costisitoare. În postarea noastră recentă privind problemele amenințărilor interne, am identificat că poate costa o medie minimă de 1,8 milioane de dolari și până la 20 de milioane de dolari pentru a remedia un incident din interior. Prin însăși natura sa, asigurarea faptului că persoanele din interior respectă proprietatea intelectuală a companiei (IP) poate fi un lucru dificil de făcut. Cu toate acestea, instrumentele dedicate pentru prevenirea furtului de software ne oferă un strat de protecție care altfel ar fi foarte dificil de realizat. (6)

modalități acționabile de a conține problema: aplicați instrumente specializate care au fost concepute pentru a conține această zonă foarte dificilă de risc cibernetic. Instrumentele de prevenire a pierderilor de date ajută la gestionarea problemelor de securitate legate de zonele de risc la nivel înalt, inclusiv cele care părăsesc o organizație-89% dintre cei care părăsesc o organizație continuă să aibă acces la date corporative proprietare chiar și după ce părăsesc o organizație; subcontractanții care pot avea acces privilegiat; și angajații existenți în care aveți încredere, dar trebuie să verificați (a se vedea, de asemenea, cele mai bune practici 5 de mai jos). (7, 8)

cele mai bune practici 3: acces privilegiat și 2FA

de ce este necesar acest lucru? Parolele sunt adesea cea mai slabă verigă în controlul accesului. Dezvoltatorii necesită de obicei un nivel ridicat de acces privilegiat, deoarece lucrează la codul sursă. Breșele de date, cum ar fi recentul incident Collection #1, în care au fost scurse 773 de milioane de înregistrări de date, inclusiv parole, fac ca utilizarea parolelor pentru acces privilegiat, cu risc ridicat. Oricine are nevoie de acces privilegiat, de exemplu la depozitele de coduri sursă, trebuie să aibă o autentificare robustă aplicată. Un al doilea factor, cum ar fi un certificat digital sau un cod limitat în timp primit pe un dispozitiv mobil și aplicațiile bazate pe FIDO, sunt exemple de autentificare puternică și/sau cu doi factori (2FA). Biometria este un alt tip de acreditare care poate oferi un control mai puternic al accesului într-o zonă privilegiată a unei rețele. (9, 10)

modalități acționabile de a conține problema: orice zonă a rețelei dvs. care deține date sensibile, inclusiv codul sursă, specificațiile de proiectare și alte documente conexe, ar trebui să aibă 2FA aplicat. Există o serie de tipuri diferite de tehnologii disponibile pentru a controla accesul la zonele privilegiate ale sistemului dvs. Cu toate acestea, acestea sunt adesea dependente de aplicație. Serviciile utilizate adesea de echipele de dezvoltare, cum ar fi GitHub oferă autentificare cu doi factori. (11)

leagă această bună practică de cea mai bună practică 1 și creează politici care să cuprindă un model de cel mai mic privilegiu, adică să permită accesul doar celor care au cu adevărat nevoie de ea.

cele mai bune practici 4: tehnologii precum criptarea și analiza/monitorizarea comportamentală

de ce este necesar acest lucru? Securitatea se bazează pe o abordare stratificată. Aceasta înseamnă că nu puteți aplica o singură bună practică și sperați că aceasta diminuează riscul. În schimb, trebuie să utilizați o serie de cele mai bune practici atât tehnice, cât și centrate pe om. Securitatea ar trebui gândită ca un proces.

diverse tehnologii pot fi aplicate pe o bază globală și/sau departamentală pentru a vă întări stratul protector.

modalități acționabile de a conține problema: folosind tehnologii precum criptarea, tehnologiile de ascundere a codului și monitorizând angajații și contractorii într-o manieră non-intruzivă, puteți ține la curent problemele înainte ca acestea să devină incidente. Trebuie să începeți chiar de la începutul procesului de dezvoltare, de la persoanele care dezvoltă și/sau accesează Codul până la depozitul în care este stocat, până la partajarea și eliberarea codului.

cele mai bune practici 5: politici care cuprind încrederea, dar verifică

de ce este necesar acest lucru? Această bună practică aduce toate eforturile dvs. în protejarea codului sursă împreună. Aceasta este o mantră filosofică care oferă o bază pentru o modalitate practică de a reduce nu numai expunerea la codul sursă, ci și alte scurgeri de date sensibile. ‘Trust but Verify’ se referă la crearea unei baze pragmatice de încredere în cadrul organizației dvs. Blind trust nu funcționează așa cum atestă 90% dintre companiile preocupate de o amenințare din interior. (12)

modalități acționabile de a conține problema: Trust But Verify reunește abordările sociologice și tehnologice ale securității codului sursă. Se bazează pe dezvoltarea unei comunicări excelente cu angajații dvs. Aceasta include: aplicarea instruirii de conștientizare a securității, astfel încât toată forța de muncă extinsă să înțeleagă riscurile; având politici clare de securitate care includ protecția codului; și aplicarea celor mai bune tehnologii disponibile, cum ar fi prevenirea pierderilor de date, pentru a vă proteja codul sursă.

concluzie

codul sursă este proprietatea intelectuală și datele sensibile de proprietate. Protejarea acestei resurse este o nevoie fundamentală pentru orice organizație care generează cod. Pierderea codului sursă nu numai că afectează linia de jos financiară, ci oferă și concurenților dvs. un picior în sus. Dacă compania dvs. creează codul sursă, trebuie să vă asigurați că acesta rămâne sub controlul organizației dvs. Dar codul sursă este o marfă foarte valoroasă și cu valoare vine riscul.

pentru a atenua acest risc, trebuie să urmați un proces care cuprinde cele mai bune practici. Cele mai bune practici 5 pentru securizarea codului sursă sunt construite pe baza cunoștințelor profunde din industrie. Dacă urmați sfaturile lor, compania dvs. poate conține riscurile asociate cu dezvoltarea codului sursă. Aceste bune practici oferă o abordare stratificată a protecției care se bazează pe metodologia practicii anterioare pentru a adăuga profunzime și forță securității dvs. Aceste bune practici vor asigura că orice amenințare, atât internă, cât și externă, este atenuată. Păstrarea codului în siguranță este o prioritate într-o lume în care criminalitatea informatică este plină. Dar, la fel, expunerea accidentală poate ajunge să vă coste scump organizația.

Resurse

  • Lumea Computerelor: https://www.computerworld.com.au/article/632406/ex-ibm-employee-jailed-over-source-code-theft/
  • Cyberwire: https://www.thecyberwire.com/issues/issues2018/April/CyberWire_2018_04_27.html
  • Stop-Source-Code-Theft, de ce dezvoltatorii fura codul sursă?: https://www.stop-source-code-theft.com/why-do-developers-steal-source-code/
  • Gemalto, indicele nivelului de încălcare: https://breachlevelindex.com/
  • Comparitech: https://www.comparitech.com/blog/information-security/data-breach-share-price-2018/
  • Stop-sursă-cod-furt, amenințare din interior 101: https://www.stop-source-code-theft.com/insider-threat-101-for-software-development-companies/
  • Stop-sursă-cod-furt: https://www.stop-source-code-theft.com/
  • Delta securității Haga: https://www.thehaguesecuritydelta.com/media/com_hsd/report/154/document/2017-Insider-Threat-Intelligence-Report.pdf
  • com: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
  • FIDO Alliance: https://fidoalliance.org/specifications/
  • GitHub ajutor: https://help.github.com/en/articles/securing-your-account-with-two-factor-authentication-2fa
  • Computer Associates: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf

Lasă un răspuns

Adresa ta de email nu va fi publicată.