X-FORT SVS安全碟搭配敵我識別機制 強力捍衛研發資產
- 劉中興
-
眾所皆知,近年兩岸之間的人才流動與挖角時有所聞,連帶使「內部人員威脅」(Insider Threat)成為許多高科技公司的惡夢,只因一旦有內賊攜帶製程配方、設備參數、機器人程式、營業秘密...等等有價資料,帶搶投靠敵營,勢將衝擊經營命脈,甚至釀成重大損失,後果不堪設想,因而促使不少公司開始重視源碼(Source Code)或是研發資料的安全保護。
精品科技資安顧問陳伯榆指出,談及高科技企業的源碼保護議題,版本控制伺服器(如:SVN)往往是不容忽略的一環,常見的情境是,當研發工程師產出研發成果,便透過Commit或Pull等方式傳遞至SVN,再經由SVN執行Diff比對程序,實現版本控制需求;換言之,維持正常的Commit、Pull及Diff運作,絕對有助提升開發工作效率與程式除錯之方便性,但若選擇以單一檔案式加解密作為源碼保護手段,恐讓前述的效率與便利性為之崩解。看似無法平衡的兩造雙方,其實可以做到安全保護的。
陳伯榆解釋,啟用DRM,意謂程式內容必須加密,必定影響Diff,故不少企業為避免招惹這些麻煩,對DRM敬謝不敏,也因而徒增源碼外洩風險;如今Insider Threat問題轉趨白熱化,許多企業主亟需在不干擾研發作業效能之下,設法強化源碼安全保護。
有鑑於此,精品科技特別在其X-FORT電子資料監控系統中,增設SVS(Secure Virtual Storage)文件保護模組選項,俾使企業將想要保護的源碼檔案,拖曳到SVS安全碟目錄內,如此工程師只能藉由公司允許的開發工具,在目錄中執行編輯,完全不影響Diff等等作業程序;反之如果有人意圖採用合法清單外的Debug程式或開發工具,私自Commit/Pull SVN上的研發成果,或做出逾越權限的資料交換行為,將被立即阻擋下來,就算內賊嫌疑人想透過列印、螢幕截圖等途徑竊取機敏內容,也將分別遭受浮水印、馬賽克畫面之干擾,終至犯行敗露或功敗垂成。
然而道高一尺、魔高一丈,企業千萬不能低估員工迴避管制的能力,倘若員工私帶PC、甚至諸如Raspberry Pi Zero等微型裝置,繼而將之竄改為原本合法授權PC的MAC Address、並且連結內網,便有可能憑著合法正常的姿態,執行Commit/Pull指令;為此精品科技備妥另一道利器SVT(Secure Virtual Tunnel),藉由FOF(Friend or Foe)敵我識別的運作原則,等於在SVN前架設SVT守門員,唯有裝載X-FORTAgent程式的受保護裝置,才能得其門而入,其餘皆視同為敵人,一律阻絕在外,不可能有機會進入SVN竊奪研發成果。
陳伯榆補充說,有些人主張可藉助VDI達到源碼資產的保護效果,主要是看重VDI落實資料不落地的能力,加上它亦可限定合法軟體工具的使用範圍;他認為VDI確實有助於減輕MIS管理負擔,但若一廂情願認為可靠它完全扛起資料防守、事後鑑識分析之責,未必有過度渲染之虞;事實上,本來就具備登入權限的Insider Threat,只要輕易運用作業系統或應用程式的功能喚起底層指令,例如CMD或PowerShell,便有機會穿透竊取,且由於VDI環境資料不落地,意謂檔案操作記錄付諸闕如,所以公司即使源碼遭竊,也渾然不知竊賊為何人。
除此之外,許多企業採用VDI作為公司工作環境,強烈建議,VDI與DLP(資料外洩防護)應整合應用,各司其職建立聯合防守關係,絕非互為取代;企業可利用X-FORT的SVS、SVT與DLP等功能建立三層防護,另外再結合VDI,可望大幅增強源碼安全保護成效。
[ 精品科技陳伯榆先生,將於7/19舉辦的2018雲端資安論壇發表「想保護企業研發成果,研發管控總是卡卡?」,活動完全免費,欲進一步了解公司營業秘密如何不被悄悄竊取,歡迎MIS、資料庫、營運E化、稽核與法遵等資訊人員報名參加!]
