Lacy Leadership

Success is Near

källkod säkerhet bästa praxis

0 aktier källkod kan liknas med ’hemlig sås’ av ett företag. Koden representerar din immateriella egendom på en grundläggande nivå-det är instruktionerna som får programvaruprodukter att fungera. Det är också en del av din konkurrensfördel och är en mycket strategisk aspekt av ditt företags innovation och plats i din bransch. på grund av denna inneboende […]
0 aktier

källkod kan liknas med ’hemlig sås’ av ett företag. Koden representerar din immateriella egendom på en grundläggande nivå-det är instruktionerna som får programvaruprodukter att fungera. Det är också en del av din konkurrensfördel och är en mycket strategisk aspekt av ditt företags innovation och plats i din bransch.

på grund av denna inneboende betydelse källkod har en hög risk för exponering och stöld. Exempel på källkodsstöld eller till och med oavsiktlig exponering är utbredd. Som exemplet på IBM – mjukvaruutvecklaren som nyligen fick en 5-årig fängelsestraff för källkodsstöld. Eller oavsiktlig exponering av kod från GreyShift, iphone upplåsning specialist för brottsbekämpande organ, vilket resulterade i att företaget hålls till lösen av hackare. (1, 2)

konsekvenserna av källkodsexponering inkluderar allt från att låta konkurrenter ha en fördel till förlust av innovativ kant, finansiella kostnader, samt att skapa säkerhetsproblem för ditt företag och kunder.

källkoden läcker ut via ett antal rutter. I en tidigare artikel tittade vi på några av anledningarna till varför och hur källkodsexponering uppstår. Dessa vägar till exponerad kod inkluderar både insider-och externa hot. I ett försök att minska risken för källkodsbrott kan vi tillämpa bästa praxis för att säkra källkoden. I den här artikeln kommer vi att titta på 5 av de viktigaste av dessa metoder. (3)

5 bästa praxis för att säkra källkoden

Källkodsexponering kan vara ett komplicerat område att ta itu med. Detta beror på att det kan hända med både skadliga och oavsiktliga medel. Alla åtgärder du vidtar för att mildra källkodsförlust måste täcka båda orsakerna till läckage. De 5 bästa metoderna nedan ger en robust jordning för att förhindra förlusten av denna mest värdefulla råvara, din källkod:

Best Practice 1: Har tydliga säkerhetspolicyer som innehåller källkod

varför behövs detta? Säkerhetspolitiken är en grundläggande del av en modern organisation. De hjälper din organisation att strategisera och ge råd om alla potentiella säkerhetsproblem. Datastöld av alla slag är ett stort problem inom alla branscher. Över 6,5 miljoner dataposter stjäls varje dag, i alla företag. En organisation placeras i allvarlig ekonomisk risk när den bryts; forskning som visar att aktiekursfallet förblir deprimerat i minst 6 månader efter brott. (4, 5)

källkoden ska behandlas som alla andra företagsresurser; hot måste erkännas av din säkerhetspolicy och behandlas där. Dessa hot bör inkludera inte bara kodförlust genom oavsiktlig eller skadlig exponering utan också potentialen för kod att avsiktligt infekteras av skadlig kod – dvs. äventyras.

handlingsbara sätt att innehålla problemet: när du skapar en säkerhetspolicy för din organisation, se till att du har ett avsnitt som täcker alla källkodsutvecklingsområden och personal som är involverade i kodutveckling. Detta bör innehålla minst:

  • GitHub och andra förvarstyper, bästa praxis – till exempel åtkomsträttigheter, förvarskonfiguration, robusta referenspolicyer, förebyggande av nedladdning av källa till lokala maskiner etc.
  • användning av flyttbara media av utvecklare – i synnerhet för att förhindra oavsiktlig förlust av kod
  • allmänna säkerhets hygienrutiner för utvecklare – politik för att minska risken för lösenordsdelning mellan utvecklare och användning av samarbetsportaler där lösenord och kod kan läggas upp i grupper
  • Säkerhetsmedvetenhetsträning för utvecklare – bara för att en individ skriver programkod betyder inte att de är medvetna om säkerhetsrisker
  • Compartmentalize källkod när använda underleverantörer – utvecklare behöver vanligtvis inte ha tillgång till hela koden. De bör ges tillgång på en ’behöver veta basis’
  • hålla hemliga referenser och certifikatnycklar separat från källkod-använd automatisk skanning av kod för att kontrollera referenser har inte av misstag lagts till koden
  • användning av relevant teknik – se bästa praxis 2, 3, och 4

bästa praxis 2: Använd dedikerade verktyg för att förhindra källkodsstöld

varför behövs detta? Insiderhot mot källkoden är mycket kostsamt. I vårt senaste inlägg om frågor om interna hot identifierade vi att det kan kosta ett minimum av $1.8 miljoner och upp till $20 miljoner USD för att rätta till en insiderincident. Till sin natur, se till att insiders respekterar företagets immateriella rättigheter (IP) kan vara en knepig sak att göra. Men dedikerade verktyg för att förhindra programstöld ger oss ett lager av skydd som annars skulle vara mycket svårt att uppnå. (6)

handlingsbara sätt att innehålla problemet: använd specialverktyg som har utformats för att innehålla detta mycket svåra område av cyberrisk. Verktyg för förebyggande av dataförlust hjälper till att hantera säkerhetsproblem relaterade till riskområden på hög nivå, inklusive de som lämnar en organisation-89% av de som lämnar en organisation fortsätter att ha tillgång till företagsdata även efter att ha lämnat en organisation.underleverantörer som kan ha privilegierad åtkomst och befintliga anställda som du litar på men behöver verifiera (se även best practice 5 nedan). (7, 8)

bästa praxis 3: privilegierad åtkomst och 2FA

varför behövs detta? Lösenord är ofta den svagaste länken för att kontrollera åtkomst. Utvecklare kräver vanligtvis en hög nivå av privilegierad åtkomst när de arbetar med källkod. Dataintrång som den senaste samlingen #1 incident där 773 miljoner dataposter, inklusive lösenord, läckte, gör användningen av lösenord för privilegierad åtkomst, hög risk. Den som behöver privilegierad åtkomst, till exempel till källkodsförvar, måste ha robust autentisering tillämpad. En andra faktor, till exempel ett digitalt certifikat eller tidsbegränsad kod som tas emot på en mobil enhet, och FIDO-baserade appar, är exempel på stark och/eller tvåfaktorsautentisering (2FA). Biometri är en annan typ av referens som kan erbjuda starkare åtkomstkontroll till ett privilegierat område i ett nätverk. (9, 10)

handlingsbara sätt att innehålla problemet: alla områden i ditt nätverk som innehåller känslig data, inklusive källkod, designspecifikationer och annan relaterad dokumentation, bör ha 2FA tillämpat. Det finns ett antal olika typer av tekniker tillgängliga för att styra åtkomst till privilegierade områden i ditt system. Dessa är dock ofta beroende av applikationen. Tjänster som ofta används av utvecklingsteam, som GitHub, erbjuder tvåfaktorsautentisering. (11)

länka denna bästa praxis tillbaka till bästa praxis 1 och skapa policyer som omfattar en modell med minst privilegium, dvs. bara ge tillgång till dem som verkligen behöver det.

bästa praxis 4: tekniker som kryptering och beteendeanalys/övervakning

varför behövs detta? Säkerhet bygger på en skiktad strategi. Det betyder att du inte kan tillämpa en enda bästa praxis och hoppas att det minskar risken. Istället måste du använda ett antal både tekniska och mänskliga centrerade bästa metoder. Säkerhet bör ses som en process.

olika tekniker kan tillämpas på global och / eller avdelningsbasis för att härda ditt skyddande lager.

handlingsbara sätt att innehålla problemet: med hjälp av tekniker som kryptering, kodfördunklingsteknik och genom att övervaka dina anställda och entreprenörer på ett icke-påträngande sätt kan du hålla koll på problem innan de blir incidenter. Du måste börja i början av utvecklingsprocessen, från de individer som utvecklar och/eller får åtkomst till koden till förvaret den lagras i, till delning och släpp av kod.

bästa praxis 5: policyer som omfattar förtroende men verifierar

varför behövs detta? Denna bästa praxis ger alla dina ansträngningar för att skydda din källkod tillsammans. Detta är ett filosofiskt mantra som ger en grund för ett praktiskt sätt att minska inte bara källkodsexponering utan andra känsliga dataläckor. ’Trust but Verify’ handlar om att skapa en pragmatisk grund för förtroende inom din organisation. Blind trust fungerar inte som 90% av de berörda företagen om ett insiderhot, intygar. (12)

handlingsbara sätt att innehålla problemet: Trust but Verify sammanför de sociologiska och tekniska tillvägagångssätten för källkodsäkerhet. Det bygger på att utveckla utmärkt kommunikation med dina anställda. Detta inkluderar: tillämpa utbildning om säkerhetsmedvetenhet så att alla dina utökade medarbetare förstår riskerna; ha tydliga säkerhetspolicyer som inkluderar kodskydd; och tillämpa bästa tillgängliga teknik, som förebyggande av dataförlust, för att skydda din källkod.

slutsats

din källkod är din immateriella och proprietära känsliga data. Att skydda denna resurs är ett grundläggande behov för alla organisationer som genererar kod. Förlust av källkod påverkar inte bara din ekonomiska bottom line, Det ger också dina konkurrenter ett ben upp. Om ditt företag skapar källkod måste du se till att den förblir under organisationens kontroll. Men källkoden är en mycket värdefull råvara och med värde kommer risk.

för att mildra den risken måste du följa en process som omfattar bästa praxis. Våra 5 bästa metoder för att säkra källkod bygger på djup branschkunskap. Om du följer deras råd kan ditt företag innehålla riskerna med källkodsutveckling. Dessa bästa metoder erbjuder en skiktad strategi för skydd som bygger på tidigare praxis metod för att lägga djup och styrka till din säkerhet. Dessa bästa metoder kommer att säkerställa att alla hot, både interna och externa, mildras mot. Att hålla din kod säker är en prioritet i en värld där cyberbrott är utbredd. Men lika, oavsiktlig exponering kan hamna kostar din organisation dyrt.

Resurser

  • Computerworld: https://www.computerworld.com.au/article/632406/ex-ibm-employee-jailed-over-source-code-theft/
  • Cyberwire: https://www.thecyberwire.com/issues/issues2018/April/CyberWire_2018_04_27.html
  • Stop-Source-Code-stöld, varför utvecklare stjäla källkod?: https://www.stop-source-code-theft.com/why-do-developers-steal-source-code/
  • Gemalto, Breach Level Index: https://breachlevelindex.com/
  • Comparitech: https://www.comparitech.com/blog/information-security/data-breach-share-price-2018/
  • stopp-källkod-stöld, insiderhot 101: https://www.stop-source-code-theft.com/insider-threat-101-for-software-development-companies/
  • stopp-källkod-stöld: https://www.stop-source-code-theft.com/
  • Haag Security Delta: https://www.thehaguesecuritydelta.com/media/com_hsd/report/154/document/2017-Insider-Threat-Intelligence-Report.pdf
  • com: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
  • FIDO Alliance: https://fidoalliance.org/specifications/
  • GitHub hjälp: https://help.github.com/en/articles/securing-your-account-with-two-factor-authentication-2fa
  • Computer Associates: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf

Lämna ett svar

Din e-postadress kommer inte publiceras.