網(wǎng)絡(luò)安全世界,紅藍攻守就像圍棋的黑白棋子,在不斷復(fù)雜化日益兇險的局勢進程中博弈甚至搏殺。而開發(fā)與測試就像網(wǎng)絡(luò)戰(zhàn)役前夕的“模擬修羅場”,無時無刻不在考驗著系統(tǒng)應(yīng)用、軟件開發(fā)、生產(chǎn)數(shù)據(jù)等網(wǎng)絡(luò)運行之關(guān)鍵領(lǐng)域。
正如,首次采用“萬人在線”的云會議模式的第八屆互聯(lián)網(wǎng)安全大會(ISC 2020),就在8月13日-16日的技術(shù)日中,特別設(shè)置安全開發(fā)與測試論壇,論壇邀請杭州安恒信息技術(shù)股份有限公司高級副總裁袁明坤擔(dān)任嘉賓主席,此外還邀請深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司副總經(jīng)理、英國拉夫堡大學(xué)網(wǎng)絡(luò)安全博士王頡,華泰證券信息安全專家、注冊信息隱私技術(shù)專家(IAPP-CIPT) 劉國隆,安全玻璃盒(杭州孝道科技有限公司)聯(lián)合創(chuàng)始人、CTO徐鋒,杭州安恒信息技術(shù)股份有限公司分子實驗室負責(zé)人徐禮等多位領(lǐng)域資深專家、全球技術(shù)大咖齊聚“云端“,共謀網(wǎng)絡(luò)安全開發(fā)、創(chuàng)新型測試之能力。
聚焦軟件成分與軟件生命開發(fā)周期
筑牢安全開發(fā)防線
伴隨著國家有關(guān)網(wǎng)絡(luò)安全保障和數(shù)據(jù)安全保護的進一步加強,新基建、信創(chuàng)工作地有序推進,開源技術(shù)的使用持續(xù)“升溫”。然而,機遇與挑戰(zhàn)并存,開源技術(shù)“熱”背后,開源安全漏洞、開源許可證兼容、開源項目合規(guī)和開源知識產(chǎn)權(quán)侵權(quán)等問題也逐步顯現(xiàn)。
鑒于此,深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司副總經(jīng)理、英國拉夫堡大學(xué)網(wǎng)絡(luò)安全博士王頡以軟件成分分析的角度,“云端”探討企業(yè)在軟件開發(fā)過程中做好軟件安全測試對開源組件管控和安全內(nèi)控的重要價值。
他表示,越來越多的企業(yè)選擇開源技術(shù)已是大勢所趨,無可避免。然而,不管是發(fā)現(xiàn)、管理、解決安全漏洞所產(chǎn)生的安全風(fēng)險,還是許可授權(quán),涉及法律法規(guī)的合規(guī)風(fēng)險,或是開發(fā)運維工作量加大,人員技術(shù)要求較高所帶來的技術(shù)風(fēng)險,無不預(yù)示著——開源軟件安全治理早已迫在眉睫。
作為近年全球最熱的軟件安全測試技術(shù)——軟件成分分析,其有助于確保企業(yè)軟件供應(yīng)鏈僅包含安全的組件,從而支持安全的應(yīng)用程序開發(fā)和組裝,以確保整個軟件安全測試的有效性。具體而言:
●首先,“軟件成分分析”在軟件開發(fā)生命周期中起到了持續(xù)監(jiān)測、持續(xù)評估、持續(xù)緩解和持續(xù)維護的作用;
● 其次,開源軟件安全治理工作左移。從軟件開發(fā)階段就建立開源軟件使用的統(tǒng)一策略、建立安全準(zhǔn)入機制,引入開源軟件前先評估安全風(fēng)險,外包開發(fā)的軟件應(yīng)在立項之初提出要求,并在驗收時進行檢查;
●最后,從前瞻角度看,開源軟件安全治理作為軟件安全開發(fā)的重要實踐,或?qū)⒊蔀樽畲蟀踩L(fēng)險?梢姡浖煞址治鲋卫碇陵P(guān)重要。
此外,“實踐是檢驗真理的唯一標(biāo)準(zhǔn)”,在軟件開發(fā)安全的認知和對軟件成分安全分析的摸索,也需要結(jié)合行業(yè)主流的軟件安全測試技術(shù)進行實踐落地,已搭建行之有效的安全測試體系。
深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司副總經(jīng)理、英國拉夫堡大學(xué)網(wǎng)絡(luò)安全博士 王頡
除了采取軟件成分分析手段“把脈”安全開發(fā)與測試外,軟件生命開發(fā)周期中每一階段同樣需要“植入”安全。鑒于此,華泰證券信息安全專家、注冊信息隱私技術(shù)專家(IAPP-CIPT) 劉國隆以“DevSecOps安全測試工具鏈分析與實踐”為議題,為安全開發(fā)與測試工作提出一些獨到的思路見解。
劉國隆表示,企業(yè)在軟件開發(fā)的不同環(huán)節(jié)中使用各種安全測試工具提升軟件安全質(zhì)量,通過“工具鏈”保障軟件安全,形成保護用戶數(shù)據(jù)、守護公司信息資產(chǎn)的“安全鏈”。
具體而言,以“縱深防御”的思路突破安全開發(fā)測試之難題,讓安全貫穿整個軟件開發(fā)生命周期。在設(shè)計、編碼、構(gòu)建、測試、發(fā)布、部署等軟件開發(fā)生命周期各個階段應(yīng)加入相應(yīng)的安全活動,并啟動安全質(zhì)量門禁。同時,開源組件漏洞極易被利用,而進行開源組件漏洞掃描并積極修復(fù),在安全測試中可達到”四兩撥千斤”的效果。
最后,劉國隆建議,實施安全活動和設(shè)置安全質(zhì)量門禁不可避免的會讓產(chǎn)品的發(fā)布進程變慢。鑒于此,一方面,需要盡可能的精簡和自動化安全活動,“恰到好處”的使用安全工具提升安全活動效率和質(zhì)量;另一方面,需要轉(zhuǎn)變觀念和上下達成共識——“安全是產(chǎn)品的增值屬性而非負擔(dān)”。
華泰證券信息安全專家、注冊信息隱私技術(shù)專家(IAPP-CIPT) 劉國隆
DevSecOps落地安全測試
夯實安全之基石
隨著新技術(shù)應(yīng)用日趨成熟,DevOps快速興起,緊隨“安全左移”的趨勢,DevSecOps(安全開發(fā)與運維)儼然成為數(shù)字孿生時代下應(yīng)用安全的基礎(chǔ)保障。
當(dāng)Sec“進入”DevOps形成DevSecOps,不只是技術(shù)與工具變更那么簡單,更重要的是思維方式和內(nèi)部流程的轉(zhuǎn)變。
鑒于此,安全玻璃盒(杭州孝道科技有限公司)聯(lián)合創(chuàng)始人、CTO徐鋒就針對“利用IAST推動應(yīng)用安全測試自動化-IAST是DevSecOps實現(xiàn)自動化安全測試的最佳工具之一”這一議題,進行了一段精彩紛呈的演講。他提出,隨著 DevSecOps 被廣泛接納,Interactive Application Security Testing (IAST) 可替換 SAST 和 DAST,成為DevSecOps實現(xiàn)自動化安全測試的最佳工具之一。
由于IAST 漏洞詳情中都會包括漏洞形成的應(yīng)用內(nèi)部數(shù)據(jù)流的詳細傳播過程,以及漏洞存在的代碼位置,這都便于讓安全人員更方便的確認漏洞的真實性,讓開發(fā)人員更容易理解漏洞的形成原因,同時使得開發(fā)人員自主的去修復(fù)漏洞更加容易。
此外,徐鋒還強調(diào),不論是DevSecOps還是IAST,技術(shù)與工具如何變更,思維方式和內(nèi)部流程的轉(zhuǎn)變才能真正達到安全預(yù)測之關(guān)鍵。
安全玻璃盒 (杭州孝道科技有限公司)聯(lián)合創(chuàng)始人、CTO 徐鋒
隨著不斷完善的法律和監(jiān)管合規(guī)要求,建設(shè)信息系統(tǒng)的安全需求越來越突出,系統(tǒng)的開發(fā)者和運維者對系統(tǒng)的安全運行有了更強烈的渴望。為此,杭州安恒信息技術(shù)股份有限公司分子實驗室負責(zé)人徐禮以“DevSecOps落地中的安全測試推動”為議題,分享分子實驗室在安全開發(fā)流程中的最佳實踐。
徐禮表示,伴隨著安全測試的演進,從最初的工具掃描,到工具無法覆蓋的場景下的手動測試,到自動化平臺檢測,最后到模塊化檢測,每一階段都可能會面臨漏洞威脅之困擾。而無孔不入的漏洞攻擊藏匿于遠程代碼執(zhí)行、業(yè)務(wù)邏輯漏洞、配置錯誤、防御繞過等運行操作之中,倘若在設(shè)計之初、代碼之源,就能洞悉漏洞之隱患,并在測試中完成驗證利用,直至漏洞被緩解,即可達到安全建設(shè)方法論和最佳實踐“珠聯(lián)璧合”之效果。
與此同時,在模擬漏洞整個攻擊鏈條的過程中,站在藍隊防御測試的角度,徐禮提出七大測試方法,分別是:
●掃描刺探:測試防護監(jiān)測對掃描行為的識別
●漏洞利用:測試防護監(jiān)測對漏洞利用的識別
●社工投遞:測試防護監(jiān)測對社工投遞樣本的識別
●憑據(jù)盜竊:測試防護監(jiān)測對終端或憑據(jù)盜竊的識別
●內(nèi)網(wǎng)橫向:測試憑據(jù)盜取后的HASH傳遞 (PtH)、票據(jù)傳遞 (PtT)攻擊防御和監(jiān)測,反mimikatz、PowerShell等工具利用測試等
●權(quán)限提升:測試防護監(jiān)測對提權(quán)攻擊的識別
●后門隧道:測試防護監(jiān)測對后門和Webshell的識別
可見,安全測試在實踐運維中推動運轉(zhuǎn),安全與威脅技術(shù)能力均不斷升維提升,需要各方協(xié)同聯(lián)動才能把真正的安全防御體系完善搭建起來。
杭州安恒信息技術(shù)股份有限公司分子實驗室負責(zé)人 徐禮
《孫子兵法》曾道:“故用兵之法,無恃其不來,恃吾有以待也;無恃其不攻,恃吾有所不可攻也。”只有依靠充分的準(zhǔn)備、嚴陣以待,才能鑄就最好的防守。
正如網(wǎng)絡(luò)世界中攻防對抗是永恒的主題,是檢驗安全體系防御應(yīng)對未知威脅能力最為直接的手段。而安全開發(fā)與測試正是這條網(wǎng)絡(luò)攻防之路的“起始點”,搭建安全開發(fā)鏈條,重塑綜合測試新架構(gòu)必將成為安全發(fā)展的“初目標(biāo)”。
回看本屆ISC互聯(lián)網(wǎng)安全大會,除了此次的“安全開發(fā)與測試論壇”外,還特別打造了多個重磅主題日,特設(shè)百余個安全峰會論壇,海量精華議題,圍繞新基建、戰(zhàn)略、信創(chuàng)、技術(shù)、產(chǎn)業(yè)等領(lǐng)域進行全方位、多角度展開“云端”論劍,永不閉幕的第八屆互聯(lián)網(wǎng)安全大會(ISC 2020)正在火熱進行中,更多前瞻安全話題敬請關(guān)注!
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請謹慎對待。投資者據(jù)此操作,風(fēng)險自擔(dān)。
近日,德國柏林國際電子消費品展覽會(IFA2024)隆重舉辦。憑借在核心技術(shù)、產(chǎn)品設(shè)計及應(yīng)用方面的創(chuàng)新變革,全球領(lǐng)先的智能終端企業(yè)TCL實業(yè)成功斬獲兩項“IFA全球產(chǎn)品設(shè)計創(chuàng)新大獎”金獎,有力證明了其在全球市場的強大影響力。
近日,中國家電及消費電子博覽會(AWE 2024)隆重開幕。全球領(lǐng)先的智能終端企業(yè)TCL實業(yè)攜多款創(chuàng)新技術(shù)和新品亮相,以敢為精神勇闖技術(shù)無人區(qū),斬獲四項AWE 2024艾普蘭大獎。
“以前都要去窗口辦,一套流程下來都要半個月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進了21600元。
由世界人工智能大會組委會、上海市經(jīng)信委、徐匯區(qū)政府、臨港新片區(qū)管委會共同指導(dǎo),由上海市人工智能行業(yè)協(xié)會聯(lián)合上海人工智能實驗室、上海臨港經(jīng)濟發(fā)展(集團)有限公司、開放原子開源基金會主辦的“2024全球開發(fā)者先鋒大會”,將于2024年3月23日至24日舉辦。