企业安全项目 | Github信息泄露专项 – 作者:阿尔法之梦

1、专项预览

在这个安全专项中,主要分为两大块–项目背景(为什么要做?)和防范措施(怎么去做好?),可以通过下面这张图来简要的进行整体预览。

图片.png

2、总体概况

源代码对于企业而言,无疑是最宝贵、密级较高的信息资产之一,其泄露途径有很多种可能:

图片.png然而github源代码泄露却是企业敏感信息泄露的典型代表,一般而言主要是开发大神们缺乏安全意识所致。在企业的安全建设项目中,防止github信息泄露主要可以从:制定相关制度–>安全意识培训–>技术手段监测–>相关问题处置角度出发,持续进行维护并形成一个完整的闭环。

图片.png

3、风险评估

源代码泄露的途径很多,给企业带来的危害亦是不小。往大处讲,企业的核心产品信息可能遭到竞争对手复制,企业相关系统可能遭受外部攻击;从小处说,企业一些细微之处的敏感信息可能被有心人搜集为后续的攻击准备,比如企业员工邮箱、企业SMTP服务器旧用户名与密码、企业不常见的域名等,大致可以归纳为:

图片.png

4、防范措施

当企业主动或被动发现github信息泄露事件时,需要及时采取相应的措施进行补救&加固。经过与部分网友前辈的讨论,按照自己的思路与视角整理出如下方法:

图片.png1)制度管控

“无规矩不成方圆”,先制定相关制度禁止将公司业务相关代码提交至公网github,并在公司范围内宣贯,可以通过邮件、海报、易拉宝、各开发部门依次推广等方法。

图片.png制度内容可参照百度文库中的一篇文章《源代码安全管理办法》https://wenku.baidu.com/view/6bbd5ce9a6c30c2258019e8e.html

图片.png2)意识培训

涉及开发与运维人员,准备大量github信息泄露导致企业系统被攻击的案例,针对开发部门进行现场剖析与宣讲。也可以在公司内开展安全期刊、海报等宣传工作,比如我们做的一张海报:

图片.png3)GitHub巡检

有关巡检部分,其实暂时还没有做到实时监测。目前处于发展的初级阶段,使用互联网上的开源工具进行搜索。常见的有:GitMiner-Master、githubscan-master、Hawkeye-master等,经过特性对比与产品选型,最终选择使用Hawkeye-master。

图片.pngPS:关于开源产品的选型对比是在去年进行,不过最近美丽联合开源了另一大利器—GSILhttps://github.com/FeeiCN/GSIL),效果更佳。

4)数据防泄漏

DLP是作为github信息泄露监测的重要辅助方法。恰逢公司内部正在推动数据防泄漏项目,对企业代码这一块的监管也将纳入其重点。出乎意料的是,除了可以看到开发上传代码至github上外,还会发现不少在用百度网盘、移动存储介质拷贝。DLP的实施对github敏感信息泄露检测提供强有力的保障,相比使用开源系统或google语法更有效、更高效。

 5)内部自检git平台

“不能让业务没地方玩,不然没人跟安全玩。”不允许开发上传公司业务相关代码至公网github,但是应该在内部搭建git平台供大家交流使用。此处有一个界定–公司业务相关代码:可以约定俗称,在公司的开发规范化中规定变量名统一特殊命名方法,以及插入特定的关键单词到代码中。

5、总结反思

这又是一个以安全事件为驱动,也是一个管理制度与技术手段完美结合的案例。Github是信息泄露的主战场,更多的敏感信息泄露途径还需要不断去挖掘与阻断。如果要对这个项目进行总结的话,个人认为有几句话可供参考:

制度先行,向全公司进行宣贯;

奖惩分明,有理可依有据可查;

有力检测,技术手段提供保障。

来源:freebuf.com 2018-07-22 15:39:01 by: 阿尔法之梦

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论