2. Mai 2019

Informationssicherheitsrichtlinie

Inhalt

  • Hintergrund

  • Verpflichtung zur Sicherheit

  • Security-Management des Unternehmens

  • Datenschutz für Endanwender

  • Management der Zugangssteuerung für Informationen

  • Security-Management im Personalbereich

  • Physisches Security-Management

  • Operatives Management

  • Security-Management für Informationssysteme

  • Historie und Versionierung

Hintergrund

Snyk (das „Unternehmen“) entwickelt automatisierte Software zur Analyse von Drittanbieter-Bibliotheken sowie um Unternehmen ein besseres Verständnis ihrer Softwareabhängigkeiten und einen stärkeren Schutz mit Tools zum Finden, Beheben und Überwachen von bekannten Schwachstellen in Node.js npm- und Ruby-Paketen zu ermöglichen.
Das Softwareentwicklungsunternehmen hat seinen Hauptsitz in London, Großbritannien, und unterhält einen Forschungs- und Entwicklungsstandort in Tel Aviv, Israel.

Die in den IT-Systemen von Snyk gespeicherten und verarbeiteten Daten sind ein integraler Bestandteil seiner Geschäftstätigkeit. Der Schutz der Vertraulichkeit, Integrität und Verfügbarkeit dieser Daten ist ein wesentlicher Grundsatz der Managementprozesse.

Die Informationssicherheitsrichtlinie umfasst die Verpflichtung des Managements zur Sicherheit von Daten sowie die notwendigen Hauptelemente, damit das Unternehmen das erforderliche Informationssicherheitsniveau aufrechterhalten kann.

Verpflichtung zur Sicherheit

Snyk verpflichtet sich, eine sichere Umgebung für Kunden und Partner zu gewährleisten. Als ein führender Anbieter von Security-Developer-Tools legt Snyk großen Wert auf die Aufrechterhaltung höchster Datensicherheitsstandards. Dazu gehört auch Transparenz in Bezug auf die Maßnahmen, die zur Gewährleistung dieser Standards ergriffen werden.

Die Informationssicherheitsrichtlinie von Snyk legt die Regeln, Leitlinien und Verfahren zum Schutz von Datenbeständen auf den Informationssystemen von Snyk sowie innerhalb bzw. auf der zugehörigen Infrastruktur, Hardware und Netzwerke durch eine intelligente Architektur aus Sicherheitskontrollen und Security-Monitoring fest.

Alle Mitarbeiter und autorisierten Auftragnehmer von Snyk müssen sich unabhängig von ihren Funktionen, Positionen und Arbeitsorten an diese Informationssicherheitsrichtlinie halten.

Security-Management des Unternehmens

Sicherheitsverantwortung

Snyk hat Danny Grander (danny@snyk.io), den Mitbegründer von Snyk, zum Information Security Officer (Informationssicherheitsbeauftragten) ernannt. Die Hauptverantwortung dieses Sicherheitsbeauftragten besteht darin, die Vertraulichkeit, Integrität und Verfügbarkeit der Daten und Computerressourcen von Snyk zu schützen. Zu seinen weiteren zentralen Aufgaben zählen folgende Bereiche:

  • Produktsicherheitsarchitektur und -strategie

  • Schwachstellen-Management

  • Reaktion auf Sicherheitsvorfälle (Security Incident Response)

  • Risikobewertung und Risk-Audits

  • Sicherheitsbewusstsein

Snyk führt regelmäßige Risikobewertungen durch. Der Umfang dieser Bewertungen variiert und wird entweder intern oder von einem vertrauenswürdigen Drittanbieter durchgeführt. Snyk hält sich über die neuesten Sicherheitslücken und Schwachstellen auf dem Laufenden und sorgt für die Anwendung ständiger Server-Upgrades, um das höchste Sicherheitsniveau aufrechtzuerhalten und die sofortige Aktualisierung mit Security-Patches zu gewährleisten, sobald kritische Schwachstellen bekannt werden.

Datenschutz für Endanwender

Snyk verpflichtet sich zur Sicherung des Datenschutzes für Endanwender in allen seiner Tools, CLI und Web-Portale.
Die Datenschutzpraktiken von Snyk werden auf folgender Webseite ausführlicher beschrieben:

https://dev.snyk.io/policies/privacy

Management der Zugangssteuerung für Informationen

Zugang zur Kundenumgebung

Snyk verpflichtet sich, die vertraulichen Daten von Kunden jederzeit zu schützen. Zugriffsrechte auf Kundendaten werden nur so weit gewährt, wie dies unbedingt nötig ist (Need-to-Know-Basis). Weiter müssen diese Zugriffsrechte von einem Mitglied der Snyk-Unternehmensleitung genehmigt werden sowie die endgültige Zugriffsüberprüfung durch den Sicherheitsbeauftragten von Snyk bestehen. Der Zugang zu Produktionsumgebungen ist auf die Snyk-Mitarbeiter im Support und im operativen Geschäft sowie eine begrenzte Anzahl von Mitgliedern des Snyk-Entwicklerteams beschränkt.

Kundendaten werden in den Standorten von Snyk niemals auf physischen Servern gespeichert oder in gedruckter Form aufbewahrt. Müssen Produktionsinformationen auf den lokalen Computer eines Mitarbeiters kopiert werden, werden diese Informationen anonymisiert, um mögliche Datenschutzverstöße zu verhindern. Diese werden gelöscht, sobald sie nicht mehr benötigt werden.

Jeder Zugang zu einer Kundenumgebung – sei es durch einen Kunden oder einen Snyk-Mitarbeiter – wird in der Produktionsumgebung von Snyk protokolliert und für spätere Analysen aufbewahrt. Protokolle werden für einen Mindestzeitraum von 30 Tagen gespeichert.

Für den Zugang auf Kundenumgebungen müssen Snyk-Mitarbeiter ein Passwort verwenden, das der Snyk-Richtlinie für die Stärke von Passwörtern entspricht (mindestens acht Zeichen lang und drei Komplexitätsstufen). Alle in der Snyk-Datenbank gespeicherten Administrator-Passwörter werden mit einem One-Way-HMAC-Hash versehen. Hashing-Salts werden geschützt auf separaten Medien mit eingeschränkten Zugriffsrechten gesichert.

Weitere Einzelheiten zu den Protokoll- und Datenaufbewahrungsrichtlinien finden Sie unter: https://cloud.google.com/logging/quota-policy

Zugang zu Produktionsservern

Der Zugang zu den Produktionsservern von Snyk oder deren Managementschnittstellen (z. B. die Managementkonsole von Snyk) ist auf operative und Support-Mitarbeiter von Snyk sowie eine kleine Anzahl von Mitgliedern des Forschungs- und Entwicklungsteams von Snyk beschränkt, die diesen Zugriff zur Erfüllung ihrer Aufgaben benötigen.

Die Zugangskontrollen für Produktionsserver werden mindestens alle sechs Wochen überprüft.
Die Zugangsüberprüfungen werden in einer speziellen Protokolldatei dokumentiert.

Datensegmentierung zwischen Unternehmen

Zwar wird die Produktionsumgebung von Snyk von Tausenden Benutzern verwendet, doch die Daten sind so partitioniert, dass jeder Benutzer nur die Daten sehen kann, die sich auf seine Kommunikation mit der Snyk-Anwendung beziehen. Die softwarebasierte Infrastruktur verhindert per se Datenlecks zwischen verschiedenen Benutzeransichten aufgrund menschlicher Fehler.

Netzwerkzugang

Snyk betreibt drahtlose Netzwerke (WLANs) in seinen Standorten. Um den vertraulichen Unternehmensdatenverkehr vom öffentlichen Datenverkehr zu trennen, gibt es bei Snyk zwei getrennte Netzwerke für Gäste und den internen Geschäftsbetrieb, die beide durch eine WPA2-Verschlüsselung geschützt sind.

Zugang zu E-Mail, Postsendungen, Analysen, Support und anderen Drittanbieter-Tools

Snyk führt eine Liste von Drittanbieter-Tools, auf die jeder Mitarbeiter Zugriff hat, einschließlich der Zugangsstufe (grundlegender Zugang, Administrator) und ob der Zugriff vorübergehend erforderlich ist oder nicht. Die Liste wird vierteljährlich (oder bei Kündigung eines Mitarbeiters) vom CISO überprüft, um die Richtigkeit zu verifizieren und Bereiche zu erkennen, in denen der Zugang eingeschränkt werden kann. Der Administratorzugriff auf verschiedene Tools wird auf ein Minimum beschränkt.

Abrechnung

Snyk verwendet PCI-konforme Drittanbieterdienste (Stripe) für Kreditkartentransaktionen. Dabei werden die Kreditkartendaten von Snyk weder eingesehen noch gespeichert. Weitere Informationen zur Sicherheit von Stripe finden Sie unter:

https://stripe.com/help/security

Datenklassifizierung

  • Bei Snyk gibt es zwei Datenklassen: vertrauliche Daten und nicht besonders schützenswerte Daten („nicht sensible Daten“).

  • Als vertrauliche Daten gelten:

  • Alle Richtlinien und Verfahren müssen die Datenklassifizierung umsetzen.

  • Personenbezogene Daten (PII, Personally Identifiable Information) werden gemäß den Anforderungen des Büros des Datenschutzbeauftragten (ICO, Information Commissioner Office) registriert.

Security-Management im Personalbereich

Background-Checks

Snyk führt bei jedem neuen Mitarbeiter (einschließlich Vollzeit- und Teilzeitbeschäftigten sowie Auftragnehmern) eine Zuverlässigkeitsüberprüfung durch, vorbehaltlich der nach geltendem Recht vorgeschriebenen Einschränkungen. Diese Background-Checks umfassen persönliche Gespräche, Social-Media-Recherchen, Abfragen bei Datenbanken für juristische Veröffentlichungen, Referenzanrufe sowie die Beauftragung unabhängiger Dritter, die sich auf solche Zuverlässigkeitsprüfungen spezialisiert haben.

Security-Schulungen

In der Einarbeitungsphase absolvieren neu eingestellte Mitarbeiter Schulungen zum Sicherheitsbewusstsein, bei denen es um die Verantwortung jedes Mitarbeiters für die Sicherheit geht. In den Schulungen werden folgende Themen behandelt:

  • Gewährleistung eines optimalen Schutzes von Kundendaten

  • Aspekte der Unternehmenssicherheit, einschließlich Vertraulichkeit von Informationen und des Schutzes geistigen Eigentums (Urheberrechte/Intellectual Property)

  • Verstehen von Sicherheitsbedrohungen wie Malware oder Phishing

  • Verstehen von physischen Bedrohungen

  • Sicherheit von Laptops

  • Meldung von Sicherheitsvorfällen

Die Kenntnisse über Sicherheitsrichtlinien werden jährlich mit obligatorischen Schulungen für alle Snyk-Mitarbeiter aufgefrischt.

Offboarding

Snyk unterhält ein dokumentiertes Verfahren mit einer Beschreibung der Schritte, die nach der Kündigung eines Mitarbeiters erfolgen müssen, und hat zuständige Personen für die Durchsetzung des Verfahrens bestimmt. Das Verfahren umfasst den Widerruf des physischen und virtuellen Zugangs zu verschiedenen Systemen, einschließlich der Produktionsumgebungen. Darüber hinaus beschreibt das Verfahren den Prozess zum Einziehen von Laptops und anderer Hardware sowie wie Daten und Konfigurationen sicher von Geräten gelöscht werden sollten.

Nach der Vertraulichkeitsvereinbarung von Snyk sind Mitarbeiter verpflichtet, vertrauliches (physisch oder digital gespeichertes, gedrucktes oder schriftlich festgehaltenes) Material in Bezug auf Prozesse, Infrastruktur, Software, Finanzen oder Kundendaten auszuhändigen.

Rollen- und Aufgabenänderungen

Im Rahmen der Weiterentwicklung von Rollen und Aufgaben bei Snyk ändert sich auch der Arbeitsbereich von Mitarbeitern, einschließlich der Berechtigungen und Zugangsrechte zur Erfüllung ihrer Aufgaben. Bei einer solchen Änderung ist der direkte Vorgesetzte des Mitarbeiters dafür verantwortlich, den CISO über diese Änderung zu informieren, woraufhin die Berechtigungen entzogen und basierend auf dem neuen Aufgabenbereich neu erteilt werden.

Social Engineering

Snyk schult seine Mitarbeiter regelmäßig über Social-Engineering-Bedrohungen wie E-Mail-Phishing, E-Mail-Spoofing, Threats, Nötigung, Einschüchterung, Schenkungen, Freundschaftswerbung u. Ä. Weiter verwendet Snyk SPF- und DKIM-Signaturen und -Validierungen für alle E-Mails und setzt DMARC sowie andere fortschrittliche Anti-Phishing-Technologien ein, um zu verhindern, dass gefälschte und Phishing-E-Mails seine Mitarbeiter erreichen. Mitarbeiter werden angewiesen, niemals unbekannte USB-Sticks, CDs oder andere Medien in ihre Laptops und Desktop-Rechner einzusetzen bzw. einzulegen.

Support-Mitarbeiter absolvieren zusätzliche Schulungen darüber, welche Art von Informationen sie bei Supportanfragen von Kunden offenlegen dürfen. Informationen über Angestellte des Unternehmens, die interne Organisation von Snyk sowie Informationen über andere Kunden werden bei Supportanfragen niemals weitergegeben. Zeitlich zurückliegende Daten vom Konto des Antragstellers können unter gewissen Umständen weitergegeben werden, sofern der Antragsteller authentifiziert wurde. Solche Daten werden nur über das Kundenportal der Snyk-App und niemals per E-Mail oder über das Support-Ticketing-System bereitgestellt.

Physisches Security-Management

Snyk speichert in den Standorten von Snyk keine Kundeninformationen auf physischen Servern oder bewahrt diese in gedruckter Form auf. Snyk nutzt gemäß ISO 27001 und FISMA zertifizierte Rechenzentren, die von Google verwaltet werden. Google verfügt über langjährige Erfahrung in der Gestaltung und Errichtung sowie im Betrieb großer Rechenzentren. Von dieser Erfahrung profitiert auch die Google-Plattform und -Infrastruktur. Google-Rechenzentren sind in unauffälligen Gebäuden untergebracht, wobei kritische Einrichtungen durch umfassende Einbruchssicherungen, Perimeterkontrollen mit Bermen nach militärischen Standards und andere natürliche Abgrenzungssicherungen geschützt sind. Der physische Zugang wird sowohl am Perimeter als auch an den Zugangspunkten des Gebäudes durch professionelles Sicherheitspersonal streng kontrolliert, das eine Videoüberwachung, hochmoderne Einbruchmeldesysteme und andere elektronische Mittel verwendet.

Autorisierte Mitarbeiter müssen mindestens dreimal eine Zwei-Faktor-Authentifizierung bestehen, um die Etagen zu betreten, in denen sich das Rechenzentrum befindet. Alle Besucher und Auftragnehmer müssen sich ausweisen, sich bei der Anmeldung namentlich eintragen und werden ständig von autorisierten Mitarbeitern begleitet.

Google erteilt Mitarbeitern nur dann Zugang zu Rechenzentren und zu Informationen, wenn dafür eine legitime geschäftliche Anforderung besteht. Benötigt ein Mitarbeiter die Zugangs- bzw. Zugriffsrechte nicht mehr, werden diese sofort widerrufen, auch wenn er weiterhin bei Google tätig ist.

Alle physischen und elektronischen Zugriffe von Google-Mitarbeitern auf Rechenzentren werden routinemäßig protokolliert und geprüft.

Weitere Informationen finden Sie unter:

Google:
https://cloud.google.com/security/compliance
https://cloud.google.com/security/whitepaper

Snyk-Standorte

Der Zugang zu den Standorten von Snyk ist nur möglich mit: einem digitalen FOB für den Zugang zum Gebäude sowie einem Schlüssel zum Büro (Niederlassung London), einem Büroschlüssel während der Geschäftszeiten (Niederlassung Tel Aviv) sowie einem Torschlüssel, Aufzugsschlüssel und Büroschlüssel außerhalb der Geschäftszeiten (Niederlassung Tel Aviv). Weiter müssen Besucher der Snyk-Standorte während der Geschäftszeiten jederzeit von Snyk-Mitarbeitern begleitet werden. Außerhalb der Geschäftszeiten sind die Büroräume mit einem digitalen Alarm verkabelt, der von einer rund um die Uhr einsatzbereiten Sicherheitsfirma an allen Tagen (24/7) überwacht wird. Den Mitarbeitern stehen Aktenvernichter zur Verfügung, um vertrauliche Informationen sicher zu entsorgen.

Verlorene oder gestohlene Schlüssel oder FOBs sind unverzüglich der Büroleitung zu melden. Bei Diebstahl oder anderweitigem Verlust von Schlüsseln werden alle betroffenen Schlösser im Büro ausgetauscht. Verlorene oder gestohlene FOBs werden per Fernzugriff deaktiviert.

Datenentfernung

Medien und Geräte, die die Einrichtungen und Kontrollen von Snyk vorübergehend oder dauerhaft verlassen, bedürfen der Überprüfung und Bestätigung durch den Sicherheitsbeauftragten und unterliegen Datenlöschprozessen, für die Software zur Datenbereinigung (Scrubbing), Medienvernichtung oder andere Mittel nach Ermessen des Sicherheitsbeauftragten eingesetzt werden.

Die Außerbetriebnahme physischer Hardware aus der Produktionsumgebung von Snyk wird von Google durchgeführt. Diese umfasst die Vernichtung der auf der Hardware gespeicherten Daten, wie im Abschnitt „Tracking und Entsorgung von Hardware“ im Google-Whitepaper „Sicherheit bei Google“ beschrieben (siehe https://cloud.google.com/security/whitepaper).

Gäste

Ein Gast ist jede Person, die kein Mitarbeiter oder autorisierter Auftragnehmer („Mitarbeiter“) von Snyk ist, wie z. B. Angehörige oder Freunde. Desktop-Rechner, Laptops und andere Geräte von Snyk dürfen nur von Snyk-Mitarbeitern verwendet werden.

Unbekannte Gäste werden anhand eines behördlich ausgestellten Ausweises identifiziert und müssen jederzeit von einem Snyk-Mitarbeiter begleitet werden.

Gästen ist keinerlei Zugriff auf die Geräte von Snyk gestattet. Gäste können über das WLAN-Gastnetzwerk von Snyk mit ihren eigenen Laptops, Tablets und Smartphones auf das Internet zugreifen. Die IT-Abteilung von Snyk leistet keinen Support für Computer von Gästen. Zum Drucken von Dokumenten sollten Gäste diese per E-Mail an einen Mitarbeiter weiterleiten, der das Dokument (nach weiteren Viren- und Malware-Scans) ausdruckt.

Operatives Management

Entwicklung und Tests

Snyk verwendet mehrere Methoden, um hohe Programmierstandards zu gewährleisten und die Anzahl der Bugs zu minimieren. Zu diesen Methoden gehören ein obligatorischer Review-Prozess für jeden Code, der dem Produkt hinzugefügt wird, automatisierte Code-Review-Tools sowie ein Framework zur kontinuierlichen Integration, das automatische Tests sowohl auf Unit- als auch auf Systemebene durchführt. Snyk verwendet zudem eine Staging-Umgebung, in der sich Änderungen vor der Produktionseinführung vollständig manuell testen lassen.

Die Forschungs- und Entwicklungsabteilung von Snyk umfasst ein Qualitätssicherungsteam (QA), das allein für die Aufrechterhaltung des hohen Qualitätsstandards von Snyk-Produkten verantwortlich ist.

Für seine Forschung und Entwicklung verwendet Snyk einen agilen Entwicklungsprozess, der häufige Rollouts in die Produktion sowie die Rücknahme von Änderungen ermöglicht, sollten nach der Bereitstellung in der Produktion Probleme auftreten. Snyk führt regelmäßige Sicherheitsbewertungen seiner Produktionsumgebung durch und nutzt dabei sowohl seine interne Expertise als auch Drittanbieter-Tools, um sicherzustellen, dass die Produkte die höchsten Sicherheitsstandards erfüllen. Für entdeckte Probleme werden Tickets erstellt und die Korrektur wird begonnen. Nach der Implementierung der relevanten Fixes werden erneute Tests durchgeführt, um die Behebung der Schwachstellen zu bestätigen.

Snyk verbessert seine interne Sicherheit zudem anhand des Feedbacks aus der Community und führt regelmäßig ein Security-Bug-Bounty-Programm durch (https://dev.snyk.io/docs/security), bei dem Mitglieder der allgemeinen Community für die Erkennung und verantwortungsvolle Offenlegung entdeckter Schwachstellen gegenüber Snyk belohnt werden.

Diese Schritte sowie zusätzliche Richtlinien zur verlässlichen Erfüllung aller Sicherheitsanforderungen sind als Teil des Softwareentwicklungs-Lebenszyklus (System Development Lifecycle, SDLC) von Snyk definiert.

Penetrationstests

Snyk nimmt die Dienste externer Pentesting-Firmen für Penetrationstests auf Anwendungs- und Infrastrukturebene in Anspruch. Externe Pentests erfolgen mindestens einmal jährlich. Zusätzlich wird mindestens zweimal jährlich ein interner Pentest von unserem erfahrenen Security-Team durchgeführt.

Eindämmung von Malware

Die Snyk-Abteilungen Forschung und Entwicklung, Operations und Support arbeiten ausschließlich mit Apple OSX-Betriebssystemen. Obwohl Malware üblicherweise keine signifikante Bedrohung für die Sicherheit dieser Systeme darstellt, beugt Snyk mit aktiven Maßnahmen möglichen Angriffen auf Computer seiner Mitarbeiter vor. Auf allen Laptops und Desktop-Rechnern von Mitarbeitern ist ein Endpunktschutzsystem von SentinelOne installiert, das die Computer in Echtzeit auf Bedrohungen durch Malware und Exploits überwacht.

Community-Benachrichtigungen

Der Sicherheitsbeauftragte von Snyk erhält regelmäßig Sicherheitsbenachrichtigungen aus verschiedenen Quellen für Sicherheitsinformationen. Bei Entdeckung einer Bedrohung werden deren Auswirkungen bewertet und Abwehrmaßnahmen geplant. Alle Snyk-Mitarbeiter werden sofort über hochriskante Schwachstellen, begleitet von Anleitungen zur Behebung dieser Sicherheitslücken, informiert. Ebenfalls werden Snyk-Mitarbeiter angehalten, nur vertrauenswürdige Software zu installieren, ihren bevorzugten Browser regelmäßig zu patchen, interne Sicherheitsmechanismen (FileVault, Firewall) zu verwenden und macOS-Software regelmäßig mit Updates zu aktualisieren.

Umgang mit Drittanbietern und Auftragnehmern

Alle Auftragnehmer und Drittanbieter müssen vor der Beauftragung vom CISO zugelassen werden. Der CISO bewertet und genehmigt den Sicherheitsstatus des Drittanbieters, einschließlich Überprüfung der Richtlinien und Verfahren des Anbieters für Bereiche wie Sicherheit, Daten und Datenschutz. Solche Bewertungen werden jährlich oder jedes Mal durchgeführt, wenn sich die Art der Beauftragung oder die in Anspruch genommenen Dienstleistungen wesentlich ändern. Zudem werden die Überprüfungen in einem separaten Anwenderbewertungsprotokoll aufgezeichnet und auf dem aktuellen Stand gehalten.

Hochverfügbarkeit, Disaster Recovery und Datenbank-Backups

Jeder kritische Server in der Cloud-Umgebung von Snyk wird entweder durch mehrere doppelte Instanzen (mehrere Verfügbarkeitszonen) oder einen Slave-Knoten (für Datenbanken) für einen Failover als Ausfallsicherung unterstützt. Dies gewährleistet eine minimale Systemausfallzeit bei einem kritischen Fehler. Der automatische Failover-Prozess wird von der zugrunde liegenden Cloud-Infrastruktur ausgelöst, wenn festgestellt wurde, dass eine Komponente nicht zuverlässig auf Anfragen reagiert.

Die Auswirkungen auf die Endbenutzererfahrung im Falle von Ausfallzeiten sind ebenfalls minimal. Die Funktionalität der Snyk-Website und der APIs wird nicht sichtbar beeinträchtigt, sondern es kommt lediglich zu einer Verzögerung bei der Bearbeitung einiger Anfragen.

Zudem erstellt Snyk täglich sowie vor größeren Upgrades oder Konfigurationsänderungen an der Produktionsumgebung Datenbank-Backups seines Produktionssystems. Diese Backups ermöglichen im Katastrophenfall die Nachbildung einer Umgebung (Replica Environment) innerhalb kürzester Zeit.

Datenwiederherstellungen erfolgen vierteljährlich, um die Intaktheit der Daten und Prozesse zu gewährleisten.

Aufbewahrung und Vernichtung von Daten

Snyk bewahrt Datenbank-Backups für einen Mindestzeitraum von 90 Tagen auf, wobei tägliche Backups für die letzten 7 Tage, wöchentliche Backups für die letzten 4 Wochen und monatliche Backups für die letzten 3 Monate gespeichert werden. Detaillierte Produktionsprotokolle, einschließlich Protokolle für den Zugriff (Access Logs) auf den Management-Server, werden 30 Tage lang aufbewahrt.

Die Protokollierung der Endbenutzeraktivitäten umfasst einen Zeitraum von mindestens 6 Monaten, um zurückliegende Bedrohungen analysieren zu können.

Die Außerbetriebnahme von Hardware wird von Google mithilfe eines Prozesses geregelt, der die Offenlegung von Kundendaten verhindern soll. Dieser Prozess umfasst u. a. Techniken zur Datenvernichtung gemäß DoD 5220.22-M (National Industrial Security Program Operating Manual) und NIST 800-88 (Guidelines for Media Sanitization).

Datenarchiv

Die folgenden Regeln gelten für Daten, die nicht mehr verwendet werden, aber für Audits, Buchhaltungszwecke, regulatorische Anforderungen (z. B. vom Finanzamt), zur Abwehr möglicher Ansprüche sowie für andere legitime und rechtmäßige Zwecke aufbewahrt werden müssen:

  1. Die Daten werden als Archivdaten gekennzeichnet.

  2. Der Zugriff auf archivierte Daten wird ausschließlich auf relevante Mitarbeiter beschränkt (z. B. CEO, CFO, VP Products, IT-Manager, F+E-Führungskräfte und Rechtsberater).

  3. Hat sich der Zweck der Datenaufbewahrung erledigt oder sind seit der Archivierung sieben Jahre verstrichen (je nachdem, was zuerst eintritt), werden die Daten aus dem System von Snyk entfernt.

Netzwerksicherheit

Der Application-Cluster von Snyk wird in der Cloud-Umgebung von Google gehostet. Bei diesem Modell bietet die zugrunde liegende Cloud-Plattform Netzwerksicherheitskontrollen, während die Netzwerk- und Systemarchitekten von Snyk die verschiedenen Routing- und Security-Gruppen gemeinsam mit dem operativen Snyk-Team konfigurieren.

Der Application-Cluster von Snyk wird durch eine Sicherheitsgruppe geschützt, die den Netzwerkzugriff aus dem öffentlich zugänglichen Internet filtert. Durch dieses Filtering werden eingehende Verbindungen nur auf gewissen Ports und mit bestimmten Protokollen zugelassen, die für den Standardbetrieb des Clusters notwendig sind.

Datenbank-Ports sind über das Internet nicht erreichbar. Außerdem verwendet Snyk eine konfigurierte, hostbasierte Firewall, um den Datenverkehr einzelner Instanzen zusätzlich zu isolieren.

Änderungen am Netzwerklayout sowie an Sicherheitsgruppen, Ports, Firewalls, Routern oder anderer Netzwerkinfrastruktur müssen vom IT-Leiter genehmigt und von mindestens zwei Technikern mit anschließender manueller Konsistenzprüfung durchgeführt werden.

Zur Abwehr von DDoS-Angriffen (Distributed Denial of Service) verlässt sich Snyk auf die proprietären DDoS-Abwehrtechniken von Google, die das Risiko erfolgreicher DDoS-Angriffe verringern und dank der großen Anzahl verwendeter ISPs eine zusätzliche Auswahl beim Internetzugang bieten.

Google ist zudem für die Erkennung illegaler Port-Scans in der Cloud-Umgebung von Snyk zuständig und verantwortlich. Wegen der minimalen Anzahl offener Ports für eingehende Verbindungen in der Cloud-Umgebung von Snyk haben Port-Scans im Allgemeinen zwar keinen Effekt, dennoch werden erkannte unautorisierte Port-Scans blockiert und Snyk-Mitarbeiter darüber informiert.

Härtung des Systems

Snyk wendet Best Practices zum Härten von Produktionsservern, um Risiken durch Angriffsflächen zu minimieren und um bei neuesten Sicherheitsstandards auf dem Laufenden zu bleiben.

Alle Hardware-Server von Snyk sind virtuell und werden mit zertifizierten, vertrauenswürdigen Images bereitgestellt. Der CISO und der IT-Leiter haben Security-Update-Feeds der entsprechenden Betriebssysteme abonniert. Außerdem werden regelmäßig Sicherheits-Patches installiert und kritische Updates innerhalb von 24 Stunden nach Veröffentlichung angewendet.

Bei den Zugriffsberechtigungen auf das Dateisystem wird das Prinzip der geringsten Benutzerrechte befolgt, bei dem Ordner und Dateien mit hoher Sorgfaltspflicht nur den Gruppen und Benutzern zugewiesen werden, die den entsprechenden Lese- oder Schreibzugriff benötigen.

Legacy-Dienste wie Telnet-Server, rsh, rlogin, rcp, ypserv, ypbind, tftp, tftp-Server, talk oder Talk-Server werden entfernt. Andere Dienste/Daemons werden nur bei Bedarf auf Nicht-Standard-Ports ausgeführt.

Auf allen Servern ist OSSec für das Monitoring auf Serverebene installiert.

Der Root-Benutzer ist auf „nologin“ eingestellt und jeder Zugriff auf die Maschine muss aus Gründen der Überprüfbarkeit mit persönlichen Konten erfolgen. Für den SSH-Zugriff sind ein Schlüssel und ein Passwort erforderlich.

Die gesamte virtuelle Hardware wird routinemäßig vom zertifizierten Image neu angelegt, um länger bestehende Sicherheitsverletzungen oder Datenlecks zu verhindern.

Netzwerk, Routing und andere Infrastrukturen sind ausnahmslos virtuell und werden von unserer Cloud-Plattform (Google Cloud Platform) verwaltet, die dafür verantwortlich ist, diese Ressourcen zu patchen und auf dem neuesten Stand zu halten.

Monitoring

Snyk verwendet mehrere interne und Drittanbieter-Tools, um seine Produktionsumgebung zu überwachen und vor potenziellen Bedrohungen oder Fehlern zu schützen:

  • Es gibt einen internen Mechanismus zur Benachrichtigung der Operations- und Support-Teams von Snyk, wenn Anomalien in der Produktion festgestellt werden.

  • Das Google Cloud Monitoring-Analysetool ist so konfiguriert, dass es den Status der Produktionsumgebung von Snyk kontinuierlich überwacht, einschließlich Serververfügbarkeit, CPU, Arbeitsspeicher, Speicherplatz und andere wichtige Kennzahlen. Das Cloud-Monitoring-Tool sendet basierend auf vorkonfigurierten Richtlinien auch Warnungen an das Operations-Team von Snyk.

  • Mit dem Website-Monitoring-Tool Pingdom wird die Verfügbarkeit und Leistung der Website verfolgt.

  • Logz.io wird zur kontinuierlichen Protokollüberwachung und -archivierung verwendet.

  • Sentry wird für das Bug- und Regression-Tracking in der Live-Produktion eingesetzt.

Ein internes Production-Monitoring-Dashboard sammelt Informationen aus mehreren Snyk-Systemen und bietet dem operativen Snyk-Team einen klaren Überblick über den Status der Produktionsumgebung von Snyk.

Snyk betreibt zudem ein Support-Ticketing-System, über das Administratoren und Endbenutzer alle Probleme und Fehler melden können, auf die sie bei der Verwendung der webbasierten Lösung von Snyk stoßen.

Security-Management für Informationssysteme

Sicherheitskontrollen für Laptops

Die Snyk-Abteilungen Forschung und Entwicklung, Operations und Support arbeiten ausschließlich mit Apple OSX-Betriebssystemen. Um die Sicherheit von Snyk-Daten auf Laptop- und Desktop-Computern zu gewährleisten, hat Snyk die folgenden Kontrollen implementiert:

  • standardisierte Anforderungen an die Passwort-Authentifizierung, um eine Passwortstärke von mindestens 8 Zeichen durchzusetzen

  • automatische Bildschirmsperre nach 10 Minuten Inaktivität

  • automatische Festplattenverschlüsselung (FDE) mit FileVault

  • Verwendung der integrierten OSX-Firewall

Ebenfalls werden Snyk-Mitarbeiter angehalten, nur vertrauenswürdige Software zu installieren, ihren bevorzugten Browser regelmäßig zu patchen und macOS-Software regelmäßig mit Updates zu aktualisieren.

Schwachstellen-Management

Snyk-Cloud-Server verwenden die Linux-Distribution Ubuntu. Die Ubuntu Foundation demonstriert ihr Engagement für die Sicherheit mit häufigen Updates ihres Host-Betriebssystems, um Sicherheitsprobleme zu beheben.

Weiter erhält der Sicherheitsbeauftragte von Snyk regelmäßig Benachrichtigungen aus verschiedenen Quellen für Sicherheitsinformationen. Bei Entdeckung einer Bedrohung werden deren Auswirkungen bewertet sowie Abwehrmaßnahmen geplant und vom Forschungs- und Entwicklungsteam von Snyk umgesetzt. Kritische Schwachstellen werden innerhalb von 30 Tagen behoben.

Quellcode-Kontrollen

Snyk pflegt seinen Quellcode in privaten Repositories auf GitHub. Der Zugang zu den entsprechenden Repositories ist auf Snyk-Mitarbeiter beschränkt, die im Rahmen ihres Aufgabenbereichs Zugriff auf den Quellcode haben müssen. Der Zugang zu GitHub erfordert eine MFA (Multi-Faktor-Authentifizierung) durch alle Mitarbeiter und Auftragnehmer.

Meldung und Handhabung von Sicherheitsvorfällen

Snyk verpflichtet sich, jeden Vorfall, der sich auf seine Kunden auswirken kann, schnellstmöglich zu melden, insbesondere wenn Kundendaten betroffen sein könnten. Kunden werden von Snyk benachrichtigt, sobald ein sie womöglich betreffender Vorfall bestätigt wurde. Während der Untersuchung des Vorfalls werden Kunden proaktiv über die Art der Vorfälle und deren Folgen für sie auf dem Laufenden gehalten.

Kunden können zudem über das Support-Ticketing-System von Snyk mutmaßliche Sicherheitsvorfälle melden.

Beim Auftreten einer bestätigten Sicherheitsverletzung werden folgende Maßnahmen ergriffen:

  1. Das betroffene System wird vom öffentlichen Zugang getrennt.

  2. Alle Zugangs- und Audit-Protokolle der letzten 30 Tage werden auf einen Nebenspeicherort kopiert.

  3. Der CEO, der Sicherheitsbeauftragte und der Rechtsbeistand werden unverzüglich informiert.

  4. Die Sicherheitsverletzung wird genau untersucht und es werden alle erforderlichen Maßnahmen ergriffen, um deren Ursache zu ermitteln sowie ähnliche Vorfälle künftig zu verhindern.

  5. Alle Involvierten, einschließlich eventuell betroffene Kunden, werden vorbehaltlich des anwendbaren Rechts und gemäß den vertraglichen Verpflichtungen von Snyk benachrichtigt.

  6. Das kompromittierte System wird mit einem vollständigen Security-Scan überprüft.

  7. Der Sicherheitsbeauftragte erstellt einen Bericht über den Vorfall und die zu dessen Lösung ergriffenen Maßnahmen.

Nach Abschluss eines Vorfalls wird mit den zuständigen Snyk-Mitarbeitern eine Post-mortem-Sitzung durchgeführt, um die zugrunde liegenden Ursachen zu bewerten, längerfristige Anforderungen zu ermitteln und die Risiko- sowie Incident-Management-Prozesse von Snyk zu verbessern.

Externe Stellen, die bei einem Sicherheitsvorfall informiert werden

Wer?

E-Mail

Google/Apigee

external-incidents@google.com

The Guardian

infosec@theguardian.com

Disziplinarmaßnahmen

 Gegen Mitarbeiter, die gegen die in dieser Informationssicherheitsrichtlinie enthaltenen Regeln und Richtlinien verstoßen oder diese missachten, können Disziplinarmaßnahmen ergriffen werden.

Richtlinienüberarbeitung

Der Sicherheitsbeauftragte von Snyk überprüft diese Richtlinie mindestens alle 6 Monate und nimmt nach jedem größeren Sicherheitsvorfall ggf. Änderungen vor, legt neue Versionen der Richtlinie
zur Genehmigung durch den CEO von Snyk vor und verteilt diese an alle Mitarbeiter von Snyk.

Snyk ist eine Developer Security Plattform. Integrieren Sie Snyk in Ihre Tools, Workflows und Pipelines im Dev-Prozess – und Ihre Teams identifizieren, priorisieren und beheben Schwachstellen in Code, Abhängigkeiten, Containern, Cloud-Ressourcen und IaC nahtlos. Snyk bringt branchenführende Application & Security Intelligence in jede IDE.

Kostenlos startenLive-Demo buchen

Produkt

Was ist Snyk?Snyk Code (SAST)Snyk Open Source (SCA)Snyk ContainerSnyk Infrastructure as CodeSnyk AppRisk (ASPM)Developer Security PlattformAnwendungssicherheitSicherheit für die Software-LieferketteSicherheit für KI-generierten Code DeepCode AIPreiseDeployment-OptionenIntegrationenIDE-Plug-insGit-SicherheitSicherheit für CI/CD-PipelinesSnyk CLISnyk LearnSnyk for JavaScript

Ressourcen

DokumentationSnyk API-DocsAPI-StatusReporting zu SicherheitslückenSupport-Portal & FAQsBlogSecurity-GrundlagenRessourcen für Security-LeaderRessourcen für ethische HackerSchwachstellen-DatenbankSnyk OSS AdvisorSnyk Top 10VideosRessourcen für KundenSecurity LabsThe Secure Developer Podcast

Unternehmen

Über SnykKunden-StoriesKarriere und KulturEventsTechnologien für die öffentliche HandUnser Commitment zu SicherheitNutzungsbedingungenDatenschutzFür Einwohner Kaliforniens: Meine persönliche Daten dürfen nicht weiterverkauft werden.Website-NutzungsbedingungenProcurement

Connect

Live-Demo buchenKontaktSupportSchwachstelle melden

Security

AnwendungssicherheitContainer-SicherheitSicherheit für die LieferketteJavaScript-SicherheitOpen-Source-SicherheitAWS-SicherheitSecure SDLCSecurity-StatusSichere ProgrammierungEthisches HackingCybersecurity und KICode CheckerPythonEnterprise CybersecurityJavaScriptSnyk + GitHubSnyk vs. VeracodeSnyk vs. CheckmarxSnyk vs Synopsys

© 2024 Snyk Limited
Alle Rechte vorbehalten

logo-devseccon