網(wǎng)絡(luò)安全世界�����,紅藍攻守就像圍棋的黑白棋子��,在不斷復(fù)雜化日益兇險的局勢進程中博弈甚至搏殺��。而開發(fā)與測試就像網(wǎng)絡(luò)戰(zhàn)役前夕的“模擬修羅場”��,無時無刻不在考驗著系統(tǒng)應(yīng)用�、軟件開發(fā)、生產(chǎn)數(shù)據(jù)等網(wǎng)絡(luò)運行之關(guān)鍵領(lǐng)域���。
正如���,首次采用“萬人在線”的云會議模式的第八屆互聯(lián)網(wǎng)安全大會(ISC 2020),就在8月13日-16日的技術(shù)日中���,特別設(shè)置安全開發(fā)與測試論壇��,論壇邀請杭州安恒信息技術(shù)股份有限公司高級副總裁袁明坤擔(dān)任嘉賓主席�����,此外還邀請深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司副總經(jīng)理��、英國拉夫堡大學(xué)網(wǎng)絡(luò)安全博士王頡���,華泰證券信息安全專家、注冊信息隱私技術(shù)專家(IAPP-CIPT) 劉國隆����,安全玻璃盒(杭州孝道科技有限公司)聯(lián)合創(chuàng)始人�����、CTO徐鋒���,杭州安恒信息技術(shù)股份有限公司分子實驗室負責(zé)人徐禮等多位領(lǐng)域資深專家、全球技術(shù)大咖齊聚“云端“�����,共謀網(wǎng)絡(luò)安全開發(fā)���、創(chuàng)新型測試之能力���。
聚焦軟件成分與軟件生命開發(fā)周期
筑牢安全開發(fā)防線
伴隨著國家有關(guān)網(wǎng)絡(luò)安全保障和數(shù)據(jù)安全保護的進一步加強,新基建����、信創(chuàng)工作地有序推進,開源技術(shù)的使用持續(xù)“升溫”����。然而�,機遇與挑戰(zhàn)并存��,開源技術(shù)“熱”背后���,開源安全漏洞、開源許可證兼容�、開源項目合規(guī)和開源知識產(chǎn)權(quán)侵權(quán)等問題也逐步顯現(xiàn)。
鑒于此����,深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司副總經(jīng)理、英國拉夫堡大學(xué)網(wǎng)絡(luò)安全博士王頡以軟件成分分析的角度�����,“云端”探討企業(yè)在軟件開發(fā)過程中做好軟件安全測試對開源組件管控和安全內(nèi)控的重要價值�。
他表示,越來越多的企業(yè)選擇開源技術(shù)已是大勢所趨�,無可避免。然而����,不管是發(fā)現(xiàn)、管理�、解決安全漏洞所產(chǎn)生的安全風(fēng)險,還是許可授權(quán),涉及法律法規(guī)的合規(guī)風(fēng)險��,或是開發(fā)運維工作量加大�����,人員技術(shù)要求較高所帶來的技術(shù)風(fēng)險����,無不預(yù)示著——開源軟件安全治理早已迫在眉睫。
作為近年全球最熱的軟件安全測試技術(shù)——軟件成分分析�,其有助于確保企業(yè)軟件供應(yīng)鏈僅包含安全的組件,從而支持安全的應(yīng)用程序開發(fā)和組裝�����,以確保整個軟件安全測試的有效性�。具體而言:
●首先,“軟件成分分析”在軟件開發(fā)生命周期中起到了持續(xù)監(jiān)測�、持續(xù)評估、持續(xù)緩解和持續(xù)維護的作用;
● 其次�,開源軟件安全治理工作左移。從軟件開發(fā)階段就建立開源軟件使用的統(tǒng)一策略����、建立安全準(zhǔn)入機制��,引入開源軟件前先評估安全風(fēng)險���,外包開發(fā)的軟件應(yīng)在立項之初提出要求,并在驗收時進行檢查;
●最后�,從前瞻角度看,開源軟件安全治理作為軟件安全開發(fā)的重要實踐�����,或?qū)⒊蔀樽畲蟀踩L(fēng)險��?梢姡浖煞址治鲋卫碇陵P(guān)重要�����。
此外�,“實踐是檢驗真理的唯一標(biāo)準(zhǔn)”,在軟件開發(fā)安全的認知和對軟件成分安全分析的摸索����,也需要結(jié)合行業(yè)主流的軟件安全測試技術(shù)進行實踐落地,已搭建行之有效的安全測試體系���。
深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司副總經(jīng)理�、英國拉夫堡大學(xué)網(wǎng)絡(luò)安全博士 王頡
除了采取軟件成分分析手段“把脈”安全開發(fā)與測試外,軟件生命開發(fā)周期中每一階段同樣需要“植入”安全�����。鑒于此�,華泰證券信息安全專家、注冊信息隱私技術(shù)專家(IAPP-CIPT) 劉國隆以“DevSecOps安全測試工具鏈分析與實踐”為議題����,為安全開發(fā)與測試工作提出一些獨到的思路見解。
劉國隆表示���,企業(yè)在軟件開發(fā)的不同環(huán)節(jié)中使用各種安全測試工具提升軟件安全質(zhì)量����,通過“工具鏈”保障軟件安全�,形成保護用戶數(shù)據(jù)、守護公司信息資產(chǎn)的“安全鏈”�����。
具體而言�,以“縱深防御”的思路突破安全開發(fā)測試之難題��,讓安全貫穿整個軟件開發(fā)生命周期����。在設(shè)計��、編碼����、構(gòu)建、測試�����、發(fā)布�、部署等軟件開發(fā)生命周期各個階段應(yīng)加入相應(yīng)的安全活動���,并啟動安全質(zhì)量門禁�����。同時�,開源組件漏洞極易被利用��,而進行開源組件漏洞掃描并積極修復(fù),在安全測試中可達到”四兩撥千斤”的效果�。
最后,劉國隆建議�����,實施安全活動和設(shè)置安全質(zhì)量門禁不可避免的會讓產(chǎn)品的發(fā)布進程變慢�。鑒于此,一方面��,需要盡可能的精簡和自動化安全活動����,“恰到好處”的使用安全工具提升安全活動效率和質(zhì)量;另一方面,需要轉(zhuǎn)變觀念和上下達成共識——“安全是產(chǎn)品的增值屬性而非負擔(dān)”�。
華泰證券信息安全專家、注冊信息隱私技術(shù)專家(IAPP-CIPT) 劉國隆
DevSecOps落地安全測試
夯實安全之基石
隨著新技術(shù)應(yīng)用日趨成熟�����,DevOps快速興起���,緊隨“安全左移”的趨勢��,DevSecOps(安全開發(fā)與運維)儼然成為數(shù)字孿生時代下應(yīng)用安全的基礎(chǔ)保障���。
當(dāng)Sec“進入”DevOps形成DevSecOps�����,不只是技術(shù)與工具變更那么簡單��,更重要的是思維方式和內(nèi)部流程的轉(zhuǎn)變��。
鑒于此���,安全玻璃盒(杭州孝道科技有限公司)聯(lián)合創(chuàng)始人、CTO徐鋒就針對“利用IAST推動應(yīng)用安全測試自動化-IAST是DevSecOps實現(xiàn)自動化安全測試的最佳工具之一”這一議題���,進行了一段精彩紛呈的演講。他提出����,隨著 DevSecOps 被廣泛接納,Interactive Application Security Testing (IAST) 可替換 SAST 和 DAST���,成為DevSecOps實現(xiàn)自動化安全測試的最佳工具之一����。
由于IAST 漏洞詳情中都會包括漏洞形成的應(yīng)用內(nèi)部數(shù)據(jù)流的詳細傳播過程,以及漏洞存在的代碼位置����,這都便于讓安全人員更方便的確認漏洞的真實性,讓開發(fā)人員更容易理解漏洞的形成原因����,同時使得開發(fā)人員自主的去修復(fù)漏洞更加容易。
此外��,徐鋒還強調(diào)��,不論是DevSecOps還是IAST��,技術(shù)與工具如何變更���,思維方式和內(nèi)部流程的轉(zhuǎn)變才能真正達到安全預(yù)測之關(guān)鍵��。
安全玻璃盒 (杭州孝道科技有限公司)聯(lián)合創(chuàng)始人����、CTO 徐鋒
隨著不斷完善的法律和監(jiān)管合規(guī)要求���,建設(shè)信息系統(tǒng)的安全需求越來越突出���,系統(tǒng)的開發(fā)者和運維者對系統(tǒng)的安全運行有了更強烈的渴望�。為此����,杭州安恒信息技術(shù)股份有限公司分子實驗室負責(zé)人徐禮以“DevSecOps落地中的安全測試推動”為議題,分享分子實驗室在安全開發(fā)流程中的最佳實踐��。
徐禮表示���,伴隨著安全測試的演進����,從最初的工具掃描��,到工具無法覆蓋的場景下的手動測試�����,到自動化平臺檢測���,最后到模塊化檢測,每一階段都可能會面臨漏洞威脅之困擾。而無孔不入的漏洞攻擊藏匿于遠程代碼執(zhí)行���、業(yè)務(wù)邏輯漏洞����、配置錯誤��、防御繞過等運行操作之中�,倘若在設(shè)計之初、代碼之源��,就能洞悉漏洞之隱患����,并在測試中完成驗證利用,直至漏洞被緩解�,即可達到安全建設(shè)方法論和最佳實踐“珠聯(lián)璧合”之效果。
與此同時�����,在模擬漏洞整個攻擊鏈條的過程中�����,站在藍隊防御測試的角度,徐禮提出七大測試方法���,分別是:
●掃描刺探:測試防護監(jiān)測對掃描行為的識別
●漏洞利用:測試防護監(jiān)測對漏洞利用的識別
●社工投遞:測試防護監(jiān)測對社工投遞樣本的識別
●憑據(jù)盜竊:測試防護監(jiān)測對終端或憑據(jù)盜竊的識別
●內(nèi)網(wǎng)橫向:測試憑據(jù)盜取后的HASH傳遞 (PtH)�����、票據(jù)傳遞 (PtT)攻擊防御和監(jiān)測�����,反mimikatz����、PowerShell等工具利用測試等
●權(quán)限提升:測試防護監(jiān)測對提權(quán)攻擊的識別
●后門隧道:測試防護監(jiān)測對后門和Webshell的識別
可見��,安全測試在實踐運維中推動運轉(zhuǎn)��,安全與威脅技術(shù)能力均不斷升維提升�����,需要各方協(xié)同聯(lián)動才能把真正的安全防御體系完善搭建起來��。
杭州安恒信息技術(shù)股份有限公司分子實驗室負責(zé)人 徐禮
《孫子兵法》曾道:“故用兵之法����,無恃其不來,恃吾有以待也�;無恃其不攻,恃吾有所不可攻也���。”只有依靠充分的準(zhǔn)備����、嚴陣以待�,才能鑄就最好的防守。
正如網(wǎng)絡(luò)世界中攻防對抗是永恒的主題�����,是檢驗安全體系防御應(yīng)對未知威脅能力最為直接的手段�。而安全開發(fā)與測試正是這條網(wǎng)絡(luò)攻防之路的“起始點”,搭建安全開發(fā)鏈條��,重塑綜合測試新架構(gòu)必將成為安全發(fā)展的“初目標(biāo)”��。
回看本屆ISC互聯(lián)網(wǎng)安全大會��,除了此次的“安全開發(fā)與測試論壇”外�,還特別打造了多個重磅主題日�,特設(shè)百余個安全峰會論壇�,海量精華議題,圍繞新基建�、戰(zhàn)略、信創(chuàng)�、技術(shù)、產(chǎn)業(yè)等領(lǐng)域進行全方位�、多角度展開“云端”論劍,永不閉幕的第八屆互聯(lián)網(wǎng)安全大會(ISC 2020)正在火熱進行中���,更多前瞻安全話題敬請關(guān)注!
京公網(wǎng)安備 11010502041587號