【企业安全】企业安全项目-Github信息泄露专项

1、专项预览

在这个安全专项中,主要分为两大块--项目背景(为什么要做?)和防范措施(怎么去做好?),可以通过下面这张图来简要的进行整体预览。

2、总体概况

源代码对于企业而言,无疑是最宝贵、密级较高的信息资产之一,其泄露途径有很多种可能:

然而github源代码泄露却是企业敏感信息泄露的典型代表,一般而言主要是开发大神们缺乏安全意识所致。在企业的安全建设项目中,防止github信息泄露主要可以从:制定相关制度-->安全意识培训-->技术手段监测-->相关问题处置角度出发,持续进行维护并形成一个完整的闭环。

3、风险评估

源代码泄露的途径很多,给企业带来的危害亦是不小。往大处讲,企业的核心产品信息可能遭到竞争对手复制,企业相关系统可能遭受外部攻击;从小处说,企业一些细微之处的敏感信息可能被有心人搜集为后续的攻击准备,比如企业员工邮箱、企业SMTP服务器旧用户名与密码、企业不常见的域名等,大致可以归纳为:

4、防范措施

当企业主动或被动发现github信息泄露事件时,需要及时采取相应的措施进行补救&加固。经过与部分网友前辈的讨论,按照自己的思路与视角整理出如下方法:

1)制度管控

“无规矩不成方圆”,先制定相关制度禁止将公司业务相关代码提交至公网github,并在公司范围内宣贯,可以通过邮件、海报、易拉宝、各开发部门依次推广等方法。

制度内容可参照百度文库中的一篇文章--《源代码安全管理办法》https://wenku.baidu.com/view/6bbd5ce9a6c30c2258019e8e.html

2)意识培训

涉及开发与运维人员,准备大量github信息泄露导致企业系统被攻击的案例,针对开发部门进行现场剖析与宣讲。也可以在公司内开展安全期刊、海报等宣传工作,比如我们做的一张海报:

3)GitHub巡检

有关巡检部分,其实暂时还没有做到实时监测。目前处于发展的初级阶段,使用互联网上的开源工具进行搜索。常见的有:GitMiner-Master、githubscan-master、Hawkeye-master等,经过特性对比与产品选型,最终选择使用Hawkeye-master。

PS:关于开源产品的选型对比是在去年进行,不过最近美丽联合开源了另一大利器—GSIL(https://github.com/FeeiCN/GSIL),效果更佳。

4)数据防泄漏

DLP是作为github信息泄露监测的重要辅助方法。恰逢公司内部正在推动数据防泄漏项目,对企业代码这一块的监管也将纳入其重点。出乎意料的是,除了可以看到开发上传代码至github上外,还会发现不少在用百度网盘、移动存储介质拷贝。DLP的实施对github敏感信息泄露检测提供强有力的保障,相比使用开源系统或google语法更有效、更高效。

5)内部自检git平台

“不能让业务没地方玩,不然没人跟安全玩。”不允许开发上传公司业务相关代码至公网github,但是应该在内部搭建git平台供大家交流使用。此处有一个界定--公司业务相关代码:可以约定俗称,在公司的开发规范化中规定变量名统一特殊命名方法,以及插入特定的关键单词到代码中。

5、总结反思

这又是一个以安全事件为驱动,也是一个管理制度与技术手段完美结合的案例。Github是信息泄露的主战场,更多的敏感信息泄露途径还需要不断去挖掘与阻断。如果要对这个项目进行总结的话,个人认为有几句话可供参考:

制度先行,向全公司进行宣贯;

奖惩分明,有理可依有据可查;

有力检测,技术手段提供保障。

原文发布于微信公众号 - 我的安全视界观(CANI_Security)

原文发表时间:2018-02-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏小巫技术博客

求职面试-你们想知道的腾讯面经

733
来自专栏SDNLAB

SDN对传统网络的变革和提升(完整版)

SDN的概念出现于2007年象牙塔内的斯坦福大学,兴起于2012年互联网大佬Google的B4首秀,火热于2016年万企入云的风起云涌,可以说如今在通信、互联网...

2894
来自专栏ATYUN订阅号

【业界】谷歌利用机器学习删除了Google Play中的70万个垃圾应用,同比2016年增加了70%

1月30日,Google分享了Google Play努力保护Android用户的细节,他们的工程师、政策专家、产品经理和运营专业人士都在监视商店是否存在误导性和...

3714
来自专栏疯狂的小程序

小程序火爆的因素

几天前,我重新翻阅了2017年5月写的一篇关于小程序的文章,文章虽青涩但还算精确,文中阐述了三个观点:

19310
来自专栏安恒信息

研究发现安全修补漏洞速度远远慢于黑客利用速度

数据安全公司经过对数个软件漏洞的分析得出结论,尽管软件安全漏洞与缺陷已经被发现,但是企业对修补各种漏洞的反应过慢,为黑客利用这些漏洞进行攻击留下了...

2705
来自专栏腾讯技术工程官方号的专栏

参加腾讯DevDays是一种什么样的感受?

932
来自专栏工科狗和生物喵

一个机械人到半只程序猿的进化之旅

开篇语 好吧,名字是不是很有新意?写出来的刹那我差点在自习室感动到落泪,但是后来想想,好像有点文不对题啊~~但是谁叫这个标题这么帅呢?一向务实的我都忍不住败倒在...

36510
来自专栏java一日一条

程序员的10大成功面试技巧

我们也发现,很多很有才华的程序员在面试的时候总是掉链子,这大概是因为他们把大多数时间都用来搞技术开发,而忽略了学习面试技巧的重要性。

493
来自专栏FreeBuf

Google无视用户隐私设置,暗中收集Android位置数据

许多人都知道智能手机会追踪他们的位置,但是,在已经主动关闭了定位服务,且没有使用任何应用程序,甚至都没有插入运营商的SIM卡的情况下,你觉得手机还会被定位吗? ...

2266

你在网上的信息属于你吗?再想想,他们可以读取你的密码,旅行计划、想法和一切

上周,当印象笔记改变他们的服务条款隐私政策以明确允许他们获取用户内容时,整个互联网沸腾了。收到许多用户的犀利吐槽后,印象笔记撤回了这项隐私政策,规定只有当用户选...

1394

扫码关注云+社区