【企业安全】企业安全项目-Github信息泄露专项

1、专项预览

在这个安全专项中,主要分为两大块--项目背景(为什么要做?)和防范措施(怎么去做好?),可以通过下面这张图来简要的进行整体预览。

2、总体概况

源代码对于企业而言,无疑是最宝贵、密级较高的信息资产之一,其泄露途径有很多种可能:

然而github源代码泄露却是企业敏感信息泄露的典型代表,一般而言主要是开发大神们缺乏安全意识所致。在企业的安全建设项目中,防止github信息泄露主要可以从:制定相关制度-->安全意识培训-->技术手段监测-->相关问题处置角度出发,持续进行维护并形成一个完整的闭环。

3、风险评估

源代码泄露的途径很多,给企业带来的危害亦是不小。往大处讲,企业的核心产品信息可能遭到竞争对手复制,企业相关系统可能遭受外部攻击;从小处说,企业一些细微之处的敏感信息可能被有心人搜集为后续的攻击准备,比如企业员工邮箱、企业SMTP服务器旧用户名与密码、企业不常见的域名等,大致可以归纳为:

4、防范措施

当企业主动或被动发现github信息泄露事件时,需要及时采取相应的措施进行补救&加固。经过与部分网友前辈的讨论,按照自己的思路与视角整理出如下方法:

1)制度管控

“无规矩不成方圆”,先制定相关制度禁止将公司业务相关代码提交至公网github,并在公司范围内宣贯,可以通过邮件、海报、易拉宝、各开发部门依次推广等方法。

制度内容可参照百度文库中的一篇文章--《源代码安全管理办法》https://wenku.baidu.com/view/6bbd5ce9a6c30c2258019e8e.html

2)意识培训

涉及开发与运维人员,准备大量github信息泄露导致企业系统被攻击的案例,针对开发部门进行现场剖析与宣讲。也可以在公司内开展安全期刊、海报等宣传工作,比如我们做的一张海报:

3)GitHub巡检

有关巡检部分,其实暂时还没有做到实时监测。目前处于发展的初级阶段,使用互联网上的开源工具进行搜索。常见的有:GitMiner-Master、githubscan-master、Hawkeye-master等,经过特性对比与产品选型,最终选择使用Hawkeye-master。

PS:关于开源产品的选型对比是在去年进行,不过最近美丽联合开源了另一大利器—GSIL(https://github.com/FeeiCN/GSIL),效果更佳。

4)数据防泄漏

DLP是作为github信息泄露监测的重要辅助方法。恰逢公司内部正在推动数据防泄漏项目,对企业代码这一块的监管也将纳入其重点。出乎意料的是,除了可以看到开发上传代码至github上外,还会发现不少在用百度网盘、移动存储介质拷贝。DLP的实施对github敏感信息泄露检测提供强有力的保障,相比使用开源系统或google语法更有效、更高效。

5)内部自检git平台

“不能让业务没地方玩,不然没人跟安全玩。”不允许开发上传公司业务相关代码至公网github,但是应该在内部搭建git平台供大家交流使用。此处有一个界定--公司业务相关代码:可以约定俗称,在公司的开发规范化中规定变量名统一特殊命名方法,以及插入特定的关键单词到代码中。

5、总结反思

这又是一个以安全事件为驱动,也是一个管理制度与技术手段完美结合的案例。Github是信息泄露的主战场,更多的敏感信息泄露途径还需要不断去挖掘与阻断。如果要对这个项目进行总结的话,个人认为有几句话可供参考:

制度先行,向全公司进行宣贯;

奖惩分明,有理可依有据可查;

有力检测,技术手段提供保障。

原文发布于微信公众号 - 我的安全视界观(CANI_Security)

原文发表时间:2018-02-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏华章科技

史上最大 DDoS 攻击爆发,物联网安全问题浮出水面

上周五,美国最主要的 DNS 服务商 Dyn 遭遇大规模 DDoS 攻击,导致 Twitter、Spotify、Netflix、AirBnb、CNN、华尔街日报...

802
来自专栏程序员互动联盟

【入门指导第十一讲】不是所有人都适合参加培训

存在问题: 培训这个问题一致困扰着很多人,但是培训真的适合我们嘛? 解决方案: ? ? ? 编程几乎没有入门障碍 成为一个就业程序员,你所需的是一个上网本和一个...

2435
来自专栏企鹅号快讯

不只是全民电商,这分明是微信的“新零售”

北京通优科技发展有限公司 将“微信小店”升级为“小店小程序”,将还没连接上微信的商店都带入微信生态圈。微信突如其来的新能力,不仅极大地降低了普通店铺开发小程序的...

20610
来自专栏FreeBuf

谈谈身份与访问管理(IAM)的12大趋势

你可能已经注意到,在刚结束不久的RSA大会上大量讨论围绕“身份”展开,而且很多公司也开始将自己的产品贴上“身份与访问管理(IAM)”的标签,大谈“身份治理”、“...

1574
来自专栏腾讯云数据库(TencentDB)

腾讯云数据库MySQL游戏行业数据安全实践分享

作者介绍:李明,腾讯云数据库架构师华南区负责人,曾在某专业数据库服务商、51job任职DBA。

55318
来自专栏机器学习算法与Python学习

python数据挖掘你准备好了吗?

彩蛋~~~~文末有python进行数据挖掘的详细路径规划图。 经常有人问我怎么才能快速入门python数据挖掘,这个问题怎么说呢?那些经典的书籍可以让你对pyt...

3026
来自专栏数据猿

安华金和创始人兼总裁刘晓韬:我们不要再谈脱离了“使用”的数据安全问题

数据猿导读 数据安全治理目标旨在强调数据的安全使用。我们不谈脱离了“使用”的数据安全,数据存在的价值就是为了使用,为了实现数据的安全使用,数据安全治理需要满足数...

2615
来自专栏云计算

云数据库安全与农场和餐馆:知道来源的重要性

要确保公司云资产的安全性,首先要应用基于虚拟网络独特性修改的可靠的数据安全实践。云服务正逐渐获得IT经理们的信任,他们一直对将公司的关键业务资产放在云上的安全性...

21010
来自专栏FreeBuf

解读Gartner 2016年十大信息安全技术

2016年6月13-16日,Gartner安全与风险管理峰会顺利举办,Gartner分析师在会上公布了他们关于2016年十大信息安全技术的研究成果。 Gartn...

2109
来自专栏FreeBuf

内部威胁那些事儿(二):系统破坏

一、引言 上一章我们整体介绍了内部威胁的定义、特征以及反映普遍行为模式的威胁模型,并且根据威胁目标将现有内部威胁分成了系统破坏、信息窃取以及欺诈三类基本的类型,...

2147

扫码关注云+社区