软件开发环境中的安全挑战与DevSec实践

随着信息技术的快速发展,软件开发环境已成为企业运营的核心部分。然而,随着这一领域的扩展,安全问题也日益凸显。2015年以来,业界越来越重视开发环境本身的安全性,提出了“DevSec”这一概念。DevSec强调了即使企业在传统软件安全工具上投入了大量资金,内部威胁依然存在,开发环境可能是所有领域中风险最大的。这不仅仅是黑客攻击、病毒和数据泄露的问题:基于软件的盗窃,即窃取代码和其他资产通常是为了经济利益,正成为一个日益增长的担忧。

软件开发环境以其复杂性而闻名,传统的安全工具很难对其进行监控,因此很难追踪安全漏洞或黑客攻击的来源。虽然大多数事件可能是偶然的,但内部员工滥用他们的特权访问权限以获取不正当利益的威胁仍然非常现实。这不是危言耸听:虽然没有人公开讨论问题的规模,但行业内有一些已知的案例。例如,在2014年,世界上最大的芯片制造商之一遭受了对其源代码的重大知识产权盗窃。该公司花了一年时间试图确定问题的根源,直到应用了行为分析工具,才证明了一些流氓员工是罪魁祸首。

这可能是一个极端的例子,很难对全球基于软件的知识产权盗窃的成本进行量化,但根据卡巴斯基实验室的数据,2014年五分之一的制造公司报告了知识产权的损失。在英国,Detica的一份报告估计,知识产权盗窃给英国企业造成的成本超过90亿英镑。

DevOps带来了DevSec的兴起。尽管这种方法有许多好处——尤其是开发者和运维团队之间更好的协作方式,使得产品更快地进入市场——但人们担心缩短的发布周期时间并不意味着安全性的降低。无论是否涉及DevOps,开发者安全的风险都因许多软件项目中涉及的贡献者的数量和多样性而加剧,这使得跟踪谁在做什么、在哪里以及如何做变得越来越困难。即使是旨在减轻“内部威胁”的传统安全工具,如权限管理访问,也难以真正了解软件开发部门正在发生的事情。代码库通常是孤立的,虽然开发者可能是团队的一部分,但他们的工作方式往往与组织的其他部分隔离。

好消息是,现在有一种新的解决方案来检测知识产权威胁,它基于关注贡献者如何与软件和硬件团队的代码和资产互动。其基础是行为分析,这是目前安全预防中最热门领域之一。它通过一种非常不同的方式解决问题。让回到前面提到的全球芯片制造商遭受知识产权盗窃的例子。该公司意识到软件工程师窃取了大量高价值数据,但无法证明案件或检测到已知嫌疑人的活动,尽管与一家大型咨询和服务公司花费了超过100万英镑。

使用Helix Threat Detection的独特算法技术,可以通过其行为分析运行Perforce Helix版本控制引擎的历史日志数据。这涉及到将2万名软件开发人员执行的91亿个“事件”转化为有用和可操作的数据。结果,在不到两周的时间内,就找到了针对两名嫌疑人的确凿证据,而且还发现了另外11名未知开发者,他们每天复制多达50万个文件。

行为分析的聪明之处在于,它不仅仅揭示了不寻常的活动,还使用其他因素来计算实际风险,防止公司被难以解释的安全“噪音”淹没。例如,行为分析可能会发现一个软件开发人员在一天中不寻常的时间工作,或者检出大量代码,但没有检入,或者访问与他们的角色不核心的文件类型。

沪ICP备2024098111号-1
上海秋旦网络科技中心:上海市奉贤区金大公路8218号1幢 联系电话:17898875485