您應該了解的 GitHub 安全最佳實踐
GitHub 的最大優點是原始碼協作非常容易。但這種輕鬆卻隱藏著安全風險。首先,儲存在 GitHub 中的原始程式碼通常包含專有或業務敏感數據,保護這些資產成為當務之急。其次,由於儲存庫也可能存放以開發人員或執行時間為中心的敏感數據,例如API 金鑰、私鑰、OAuth ID 等和智慧財產權(例如原始碼),因此這些內容的暴露可能會導致隱私洩露、機密資料外洩以及其他形式的虐待。第三,由於 GitHub 通常被設定為受信任站點,以便開發人員輕鬆協作,因此攻擊者可能會濫用此存取點,試圖將惡意軟體滲透到您的組織中。
DLP Cloud 透過以下兩種路徑為任何GitHub 執行個體 提供存取治理、資料遺失防護 (DLP) 內容檢查和威脅防護,從而保護您的 Enterprise Github Cloud 執行個體 :
API:企業 GitHub Securlet,具有針對 DLP 和威脅的內容檢查功能
網關:用於內嵌內容檢查和自適應存取控制的 GitHub Gatelet
建置您的 GitHub 安全系統
您需要防範兩種主要威脅模型:
透過將企業 GitHub 儲存庫暴露到網路或透過上傳到商業企業-國外 GitHub 儲存庫來洩露敏感數據
GitHub 用於傳播惡意軟體,因為 GitHub 通常位於瀏覽器的受信任網站中,允許開發人員與其儲存庫自由交互,從而為攻擊者利用通配符獲取優勢敞開了大門
您的安全策略應圍繞以下 4 個面向:
治理:組織內使用 GitHub 的可操作可見性和洞察力
存取控制:對 GitHub 應用適當的控制以支援使用者生產力(認識到開發人員的存取權限將不同於一般使用者設定檔)
資料和憑證保護:保護業務敏感資料(可能嵌入原始碼)和智慧財產權免遭洩露
威脅防護:防止可能使用 GitHub 分發的惡意軟體的傳播
使用 Symantec DLP Cloud 保護 GitHub
DLP Cloud 包含強大的功能組合,包括審核、存取控制、使用者行為分析、內聯內容掃描以及直接檢查應用程式的資料和惡意軟體風險。在本節中,我們將展示它如何支援安全策略的四個階段。
治理 - 行動可見性與洞察力
我的組織如何使用 GitHub?
CASB 審計提供用戶的可見性和洞察力、他們在上傳/下載方面的使用詳細資訊以及 SaaS 應用程式的業務就緒評級。此 ShadowIT 工具可用於了解已存取的各種帳戶和儲存庫以及由誰存取。管理員可以使用此資料來確定是否制裁或取消制裁這些帳戶。
我有高風險用戶嗎?
DLP Cloud 使用監督和非監督機器學習來分析使用者的 GitHub 活動(使用使用者實體行為分析,UEBA)。此分析由風險向量和偵測器執行,將為可接受的行為建立基線,並將風險評分分配給 Github 實例的協作者。然後,這些風險評分可用於推動適應性政策。客戶可以創建和自訂其他風險向量和檢測器,以滿足其特定的用例,並確保系統能夠隨著快速變化的安全環境而發展。
存取控制
誰在使用 GitHub?
當您的工程業務繼續進行時,CASB GitHub Securlet 會監視已啟動的公司實例並報告所執行的常見活動,例如建立儲存庫、合併拉取請求、新增協作者以及 此處記錄的其他幾個活動。可以建立策略來警告管理員任何違規行為。 CASB GitHub Gatelet 監控內聯流量,並且可以強制執行訪問,將 GitHub 限制為僅限受制裁的帳戶和儲存庫,或來自特定使用者或使用特定客戶端軟體(即 Git 用戶端或瀏覽器)。可以阻止對其他帳戶和儲存庫的訪問,以防止任何類型的未經批准的上傳或下載。此外,策略可以針對阻止某些活動並記錄 在此。
資料和憑證保護
GitHub 中正在傳送或儲存什麼內容?
掃描原始程式碼或推送到公司儲存庫的任何其他文件中的內容,以查找以開發人員為中心的敏感識別碼(例如金鑰、機密等)或偵測任何被視為敏感的內容(例如包含PII 等的測試文件中的客戶資訊)可以使用業界領先的賽門鐵克 DLP 進行設置,以對任何違規行為發出警報,以提高可見度和合規性。擁有存取權限的網路犯罪分子或惡意內部人員可以找到利用敏感資料的方法,從而增加企業風險。 DLP 內容包已改進,包含各種以開發人員為中心的資料識別碼。
非公司 GitHub 帳號怎麼樣?
雖然 CASB Github Securlet 或基於 API 的方法在啟動公司帳戶時效果很好,但如果資料(包含敏感資訊的程式碼或其他公司文件)上傳到無法透過 API 處理的非公司 Github 帳戶會怎麼樣?此時,Github Gatelet 可用於批准允許與封鎖帳戶的列表,並且 Github 的 SaaS 劃分可用於策略中,以允許公司存取某些帳戶。此外,此方法還可用於從任何第 3 方儲存庫檢查是否存在像惡意軟體一樣下載的檔案。
如何檢查 GitHub 命令列介面 (CLI)?
由於大多數開發人員使用命令列介面與 GitHub 進行通信,CASB Gateway 還支援對 GitHub 專有協定進行解碼,並將請求中的內容傳送到 DLP,以阻止動態資料並防止敏感內容被提交。
威脅防護
如何阻止來自 GitHub 的惡意軟體感染?
據悉,目前有數 百萬個惡意程式碼庫充斥著 GitHub。 開發人員(他們往往富有創造力,而且很可能睡眠不足)會利用分叉的受感染儲存庫,使他們容易受到攻擊,這是一個真正的風險。可使用 CASB 閘道製定策略,阻止下載任何包含惡意軟體、惡意 URL 等的內容,進而改善 GitHub 的安全狀況。具體來說,在這種情況下,CASB 高級威脅防護的動態分析可以透過沙箱/檔案虛擬執行來識別新的和未知的惡意軟體。
使用 Symantec DLP Cloud 提供持續的最佳實踐
Symantec DLP 提供了許多重要的保護。為了確保您的 GitHub 安全狀況持續強勁,我們建議您:
使用 CloudSOC Audit 定期監控 GitHub 使用情況和正在使用的帳戶/儲存庫
啟動 CASB GitHub Securlet 以更深入地了解所執行的活動
定義敏感內容並設定 DLP 策略以取得通知。至少每年審查一次(最佳實踐是透過每月舉行會議的資料治理委員會)。
使用 CASB GitHub Gatelet 可以:
透過 CLI 和瀏覽器阻止惡意軟體和惡意 URL 上傳/下載
阻止對未經批准的存儲庫或未經授權的方法或用戶的訪問
阻止透過 CLI 和瀏覽器上傳敏感內容
原文出處 Symatnec Enterprise Blogs
댓글