【企业安全】企业安全项目-Github信息泄露专项

1、专项预览

在这个安全专项中,主要分为两大块--项目背景(为什么要做?)和防范措施(怎么去做好?),可以通过下面这张图来简要的进行整体预览。

2、总体概况

源代码对于企业而言,无疑是最宝贵、密级较高的信息资产之一,其泄露途径有很多种可能:

然而github源代码泄露却是企业敏感信息泄露的典型代表,一般而言主要是开发大神们缺乏安全意识所致。在企业的安全建设项目中,防止github信息泄露主要可以从:制定相关制度-->安全意识培训-->技术手段监测-->相关问题处置角度出发,持续进行维护并形成一个完整的闭环。

3、风险评估

源代码泄露的途径很多,给企业带来的危害亦是不小。往大处讲,企业的核心产品信息可能遭到竞争对手复制,企业相关系统可能遭受外部攻击;从小处说,企业一些细微之处的敏感信息可能被有心人搜集为后续的攻击准备,比如企业员工邮箱、企业SMTP服务器旧用户名与密码、企业不常见的域名等,大致可以归纳为:

4、防范措施

当企业主动或被动发现github信息泄露事件时,需要及时采取相应的措施进行补救&加固。经过与部分网友前辈的讨论,按照自己的思路与视角整理出如下方法:

1)制度管控

“无规矩不成方圆”,先制定相关制度禁止将公司业务相关代码提交至公网github,并在公司范围内宣贯,可以通过邮件、海报、易拉宝、各开发部门依次推广等方法。

制度内容可参照百度文库中的一篇文章--《源代码安全管理办法》https://wenku.baidu.com/view/6bbd5ce9a6c30c2258019e8e.html

2)意识培训

涉及开发与运维人员,准备大量github信息泄露导致企业系统被攻击的案例,针对开发部门进行现场剖析与宣讲。也可以在公司内开展安全期刊、海报等宣传工作,比如我们做的一张海报:

3)GitHub巡检

有关巡检部分,其实暂时还没有做到实时监测。目前处于发展的初级阶段,使用互联网上的开源工具进行搜索。常见的有:GitMiner-Master、githubscan-master、Hawkeye-master等,经过特性对比与产品选型,最终选择使用Hawkeye-master。

PS:关于开源产品的选型对比是在去年进行,不过最近美丽联合开源了另一大利器—GSIL(https://github.com/FeeiCN/GSIL),效果更佳。

4)数据防泄漏

DLP是作为github信息泄露监测的重要辅助方法。恰逢公司内部正在推动数据防泄漏项目,对企业代码这一块的监管也将纳入其重点。出乎意料的是,除了可以看到开发上传代码至github上外,还会发现不少在用百度网盘、移动存储介质拷贝。DLP的实施对github敏感信息泄露检测提供强有力的保障,相比使用开源系统或google语法更有效、更高效。

5)内部自检git平台

“不能让业务没地方玩,不然没人跟安全玩。”不允许开发上传公司业务相关代码至公网github,但是应该在内部搭建git平台供大家交流使用。此处有一个界定--公司业务相关代码:可以约定俗称,在公司的开发规范化中规定变量名统一特殊命名方法,以及插入特定的关键单词到代码中。

5、总结反思

这又是一个以安全事件为驱动,也是一个管理制度与技术手段完美结合的案例。Github是信息泄露的主战场,更多的敏感信息泄露途径还需要不断去挖掘与阻断。如果要对这个项目进行总结的话,个人认为有几句话可供参考:

制度先行,向全公司进行宣贯;

奖惩分明,有理可依有据可查;

有力检测,技术手段提供保障。

原文发布于微信公众号 - 我的安全视界观(CANI_Security)

原文发表时间:2018-02-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

谈谈身份与访问管理(IAM)的12大趋势

你可能已经注意到,在刚结束不久的RSA大会上大量讨论围绕“身份”展开,而且很多公司也开始将自己的产品贴上“身份与访问管理(IAM)”的标签,大谈“身份治理”、“...

22740
来自专栏BestSDK

神策SDK全面支持海外数据规定GDPR,全程透明化可审计数据服务

随着欧盟通用数据保护条例要求(GDPR)正式生效,GDPR被誉为有史以来规模最大,也是最具惩罚性的隐私法之一。GDPR对于信息治理和数据隐私保护的认知更加深入,...

13930
来自专栏FreeBuf

CISO元素周期表

距离4月19日在美国举办的RSA大会,时间过去了将近一个月,大会的盛况已经逐渐淡出人们的视线,但是大会上发布的新的理念和产品却在安全圈逐步发酵,相信未来会对安全...

10830
来自专栏云计算

云数据库安全与农场和餐馆:知道来源的重要性

要确保公司云资产的安全性,首先要应用基于虚拟网络独特性修改的可靠的数据安全实践。云服务正逐渐获得IT经理们的信任,他们一直对将公司的关键业务资产放在云上的安全性...

224100
来自专栏魏艾斯博客www.vpsss.net

什么是腾讯云代金券及如何抵用省钱教程

什么是腾讯云代金券?腾讯云代金券怎么使用?很多网友只是知道腾讯云代金券可以在付款时抵用,但是对腾讯云代金券及如何使用并不了解,为了给大家答疑解惑,快速上云,顺利...

67530
来自专栏FreeBuf

内部威胁那些事儿(二):系统破坏

一、引言 上一章我们整体介绍了内部威胁的定义、特征以及反映普遍行为模式的威胁模型,并且根据威胁目标将现有内部威胁分成了系统破坏、信息窃取以及欺诈三类基本的类型,...

28970
来自专栏机器之心

Bi-weekly | 这是机器之心的第一份付费内容产品

人工智能已经成为全球范围内科技和产业发展的焦点,你是这个行业里的一员,可能是学术研究者、技术专家、企业家、投资人,也可能是开发、产品、又或是市场运营。你不想错过...

34160
来自专栏FreeBuf

解读Gartner 2016年十大信息安全技术

2016年6月13-16日,Gartner安全与风险管理峰会顺利举办,Gartner分析师在会上公布了他们关于2016年十大信息安全技术的研究成果。 Gartn...

23090
来自专栏域名资讯

扫码时代来临 再一次证实了域名存在的必要性!

前几天有一位域名投资人在微博发了如下图片:

28350
来自专栏信安之路

安全对你来说意味着什么

安全是我们这个行业的代言词,我们为安全而生。当你踏入这个网络安全领域的时候,你可能会思考一个问题:安全对与我和企业来说意味着什么?

12700

扫码关注云+社区

领取腾讯云代金券