X-FORT SVS安全碟搭配敌我识别机制 强力扞卫研发资产
众所皆知,近年两岸之间的人才流动与挖角时有所闻,连带使「内部人员威胁」(Insider Threat)成为许多高科技公司的恶梦,只因一旦有内贼携带制程配方、设备参数、机器人程序、营业秘密...等等有价数据,带抢投靠敌营,势将冲击经营命脉,甚至酿成重大损失,后果不堪设想,因而促使不少公司开始重视源码(Source Code)或是研发数据的安全保护。
精品科技网安顾问陈伯榆指出,谈及高科技企业的源码保护议题,版本控制服务器(如:SVN)往往是不容忽略的一环,常见的情境是,当研发工程师产出研发成果,便透过Commit或Pull等方式传递至SVN,再经由SVN执行Diff比对程序,实现版本控制需求;换言之,维持正常的Commit、Pull及Diff运作,绝对有助提升开发工作效率与程序除错之方便性,但若选择以单一档案式加解密作为源码保护手段,恐让前述的效率与便利性为之崩解。看似无法平衡的两造双方,其实可以做到安全保护的。
陈伯榆解释,启用DRM,意谓程序内容必须加密,必定影响Diff,故不少企业为避免招惹这些麻烦,对DRM敬谢不敏,也因而徒增源码外泄风险;如今Insider Threat问题转趋白热化,许多企业主亟需在不干扰研发作业效能之下,设法强化源码安全保护。
有监于此,精品科技特别在其X-FORT电子数据监控系统中,增设SVS(Secure Virtual Storage)文件保护模块选项,俾使企业将想要保护的源码档案,拖曳到SVS安全碟目录内,如此工程师只能藉由公司允许的开发工具,在目录中执行编辑,完全不影响Diff等等作业程序;反之如果有人意图采用合法清单外的Debug程序或开发工具,私自Commit/Pull SVN上的研发成果,或做出逾越权限的数据交换行为,将被立即阻挡下来,就算内贼嫌疑人想透过打印、屏幕截图等途径窃取机敏内容,也将分别遭受浮水印、马赛克画面之干扰,终至犯行败露或功败垂成。
然而道高一尺、魔高一丈,企业千万不能低估员工回避管制的能力,倘若员工私带PC、甚至诸如Raspberry Pi Zero等微型装置,继而将之窜改为原本合法授权PC的MAC Address、并且连结内网,便有可能凭着合法正常的姿态,执行Commit/Pull指令;为此精品科技备妥另一道利器SVT(Secure Virtual Tunnel),藉由FOF(Friend or Foe)敌我识别的运作原则,等于在SVN前架设SVT守门员,唯有装载X-FORTAgent程序的受保护装置,才能得其门而入,其余皆视同为敌人,一律阻绝在外,不可能有机会进入SVN窃夺研发成果。
陈伯榆补充说,有些人主张可藉助VDI达到源码资产的保护效果,主要是看重VDI落实数据不落地的能力,加上它亦可限定合法软件工具的使用范围;他认为VDI确实有助于减轻MIS管理负担,但若一厢情愿认为可靠它完全扛起数据防守、事后监识分析之责,未必有过度渲染之虞;事实上,本来就具备登入权限的Insider Threat,只要轻易运用操作系统或应用程序的功能唤起底层指令,例如CMD或PowerShell,便有机会穿透窃取,且由于VDI环境数据不落地,意谓档案操作记录付诸阙如,所以公司即使源码遭窃,也浑然不知窃贼为何人。
除此之外,许多企业采用VDI作为公司工作环境,强烈建议,VDI与DLP(数据外泄防护)应整合应用,各司其职建立联合防守关系,绝非互为取代;企业可利用X-FORT的SVS、SVT与DLP等功能建立三层防护,另外再结合VDI,可望大幅增强源码安全保护成效。
[ 精品科技陈伯榆先生,将于7/19举办的2018云端网安论坛发表「想保护企业研发成果,研发管控总是卡卡?」,活动完全免费,欲进一步了解公司营业秘密如何不被悄悄窃取,欢迎MIS、数据库、营运E化、稽核与法遵等信息人员报名参加!]