智慧應用 影音

洞察所有洩密來源 實現細膩精準的研發管控

2018/08/14 - 劉中興

精品科技資安顧問陳伯榆表示,員工利用未經批准的裝置、軟體或雲端服務,執行所需資料交換,儘管便利,但因繞過企業安全機制形成Shadow IT,導致企業研發管控出現破口,後果著實嚴重;欲收到好的防守效果,須先釐清IT組成結構,從細部展開精準防禦。

陳伯榆說,企業常利用SVN/Git管理研發流程,以SVN而論,工程師習慣透過Commit/Pull從SVN Server下載或上傳檔案,SVN系統則藉由Diff比對源碼;企業常見的困擾是,若採用DRM對檔案加密,就無法正常進行Diff。為此精品科技訴諸SVS安全碟,在源碼保護、Commit/Pull/Diff作業之間達到平衡,確保任何人無法運用非授權程式讀取源碼,且即使加密也能正常Diff。更有甚者,即便是RD出廠的自動化機器程式,仍可沿用SVS模式,遏阻任何逆向工程。

但道高一尺、魔高一丈,無所不用其極的有心人,可能利用MITM(Man-in-the-Middle)手法竊取源碼;於是精品科技運用獨特的SVT敵我識別防護技術,在公司授權的研發電腦上植入代理程式,讓非授權裝置毫無從中攔截之機會。值得一提,該公司也利用X-FORT電子資料監控系統,管控指令穿透VDI之風險,防堵有心人經由VDI漏洞洩露研發資料。


圖說:精品科技資安顧問陳伯榆。