web-dev-qa-db-fra.com

DLP pour protéger le code source des startups

Mon client est une petite start-up qui souhaite protéger leur code source, avoir une sécurité réseau de base, une désactivation USB, etc. sont en place.

Vous vous demandez quelles sont les options DLP adaptées à une petite démarrage, principalement pour protéger l'exposition de code source intentionnelle ou accidentelle.

Merci

dlp
5
blackbox007

Je ne pense pas que cela soit aussi facile que de simplement brancher du produit DLP dans un environnement arbitraire.

Je dirais qu'il est pratiquement impossible d'empêcher réellement le vol intentionnel d'informations par un initié qui a besoin d'une part pour avoir accès au code de travail et d'autre pour avoir un moyen de communiquer avec des externes (comme surfer sur le Web pour obtenir informations). Bien que l'on puisse probablement empêcher les canaux directs entre la partie de communication et la pièce d'écriture de code en les présentant dans des réseaux et des systèmes physiquement séparés, cela n'a pas d'impact notable sur la productivité et est donc peu pratique pour la plupart des environnements. Il est probablement particulièrement inacceptable pour les startups où une grande confiance dans l'autre est souvent nécessaire pour obtenir la flexibilité nécessaire et la productivité élevée.

Le renversement accidentel du code source par les initiés est un peu différent. DLP pourrait peut-être empêcher que les employés poster des extraits du code dans certains sites externes tels que Stackoverflow. Mais cela vient au coût de ne pas permettre de poster quoi que ce soit (qui a de nouveau une incidence sur la productivité) ou d'inspecter en quelque sorte chaque trafic (Inclure l'interception SSL) et de comparer des postes à des parties du code source - qui nécessite d'une manière ou d'une autre que le DLP reçoit des informations sur le code il devrait protéger. Mais la question est que la fuite de petits extraits du code est même un problème important du tout.

Plus d'un problème risque probablement de fuir des parties majeures du code. Les fuites accidentellement des parties majeures des initiés suggèrent qu'il existe un problème de la manière dont le code source est traité en interne, c'est-à-dire que c'est plus un problème de processus dans lequel une DLP n'en aidait pas vraiment. Assurez-vous ainsi de la manière dont les processus sont conçus et vivaient qu'il n'y a même pas besoin d'avoir un code source en dehors de la société, c'est-à-dire qu'il n'est pas nécessaire de disposer de code source disponible sur certains systèmes de cloud afin d'exécuter votre produit ou ce code source. doit être expédié aux clients afin qu'ils puissent exécuter votre produit. Malheureusement, il n'y a pas assez d'informations spécifiques sur votre cas d'utilisation, de sorte que celles-ci ne peuvent être que de très larges recommandations.

Les fuites principales parties du code par les attaquants sont un problème dans lequel DLP est probablement la partie moins pertinente. Au lieu de cela, les recommandations habituelles s'appliquent, c'est-à-dire une sécurité appropriée en premier lieu afin de rendre l'intrusion dans votre réseau et votre mouvement latéral à l'intérieur du réseau suffisamment dure et appropriée de surveillance. Et puis assurez-vous qu'il est clair qui a accès aux données et quand et comment et comment (à partir de quels systèmes), etc. et assurez-vous qu'il est non seulement clair, mais qu'il est effectivement appliqué et surveillé contre des motifs d'utilisation inhabituelle. Et plus cet accès est restrictif est la meilleure - mais plus de restrictions reviennent avec une perte de flexibilité et de productivité. Les concepts de confiance zéro comme BeyondCorp peuvent aider ici. Mais s'ils peuvent être mis en œuvre dépend beaucoup des spécificités de l'infrastructure et de l'environnement, les applications utilisées ... à nouveau, celles-ci ne peuvent être que des recommandations générales.

3
Steffen Ullrich

Vous devez identifier vos besoins et spécialement, vous devez comprendre quel niveau de sécurité dont ils ont besoin. Si votre client est une société antivirus, le code source doit être très sécurisé. Par conséquent, vous devez fournir une solution de sécurité quelque peu de haut niveau. Il ne doit pas être une protection à une couche unique. La taille de l'entreprise n'a pas d'importance. La valeur des données est importante.

Selon cela, vous pouvez utiliser, DLP, Solutions DRM. DLP fournit une sécurité de niveau très élevé, y compris

  • Découverte et protection où elle est utilisée ou stockée
  • Surveillance de l'utilisation des données.
  • Visibilité et contrôle sur les données cryptées .... etc.

Certainement, il fournit un niveau de sécurité élevé à une exposition aux données intentionnelle ou accidentelle.

En plus de cela, vous pouvez utiliser la solution DRM. Il s'agit d'un outil de gestion des droits de données et il fournira une protection quelque peu similaire à la DLP. (DRM! = DLP)

Dans votre autre question, une désactivation USB est généralement fournie par une solution antivirus. La sécurité du réseau peut être fournie par antivirus. Mais ils sont une expertise dans un emploi séparé. Mais vous pouvez acheter un seul produit incluant à la fois antivirus et DLP. Tous les systèmes antivirus majeurs fournissent ces capacités. Mais pour la solution DLP, vous devrez payer en outre.

Pour la sécurité du réseau, vous pouvez utiliser un pare-feu, un système IDS/IPS. S'ils considèrent les coûts, des pare-feu d'OpenSource réputés sont disponibles.

2
Infra

Quelle est votre menace?

Si votre client a peur de Outsiders enfreignant leur système et voler le code source? Si tel est le cas, les différentes solutions DLP fonctionnent bien et vous devriez combiner leur mécanique. Vous voulez d'abord tag tous les fichiers de manière appropriée et implémenter des règles pour le marquage automatique (par exemple, basé sur le répertoire). Vous devriez également empreinte digitale les fichiers source, mais cela n'est pas fiable si elles sont travaillées. Il est préférable d'ajouter des informations d'identification aux fichiers, tels qu'un en-tête standard, que vous pouvez écrire une règle pour. Bien sûr, un attaquant peut éditer le fichier et supprimer cet en-tête, mais seulement s'il comprend ce que vous faites et dispose d'un accès suffisant pour faire cela. Et comme ce n'est pas la seule chose que vous comptez, vous êtes bon.

Si votre client a peur de INSIDERS fuite du code source, il devient un peu plus dur. En plus des étiquettes et des empreintes digitales (les en-têtes sont inutiles, vos initiés savent d'eux et ont accès) Vous devez mettre en œuvre des règles sur qui peut les modifier et comment et un système DLP qui prend en charge ces aspects de gestion. Vous devez définir des flux de travail et des autorisations. Tout ce faisable, mais pourrait être trop difficile à gérer pour une start-up.

En ce qui concerne les produits:

  • ForcePoint DLP fonctionne bien, je l'ai déjà utilisé et cela peut faire ce dont vous avez besoin.
  • McAfee DLP devrait également vous couvrir
  • Boldon James est un système de marquage qui pourrait être utile en plus si vous avez le budget

Tous auront besoin d'une personne familiarisée avec le produit à mettre en œuvre. Il y en a d'autres, mais je n'ai pas d'expérience en 1ère manuelle avec eux.

0
Tom