关于IAST灰盒安全测试技术,看悬镜宁戈这篇就够了~

原创
2020/10/09 14:47
阅读数 80

悬镜安全作为国内DevSecOps理念的最佳实践者之一,在IAST灰盒安全测试技术方面有着丰富的落地实践经验。2020年9月5日(上周六),悬镜安全技术负责人宁戈受行业媒体安在邀约,参与“安在新媒体网络安全创新沙龙”,并在活动现场做《新一代灰盒安全测试技术与实践》主题演讲,向业界同行与媒体嘉宾详细介绍了DevSecOps和IAST技术核心点,以及在悬镜安全的落地实践案例,获得了现场一致好评!

 

 

图|演讲人-悬镜安全技术负责人宁戈

开发安全面临的两个问题

(1)系统一定有未被发现的安全漏洞。程序员每写1000行代码,就会出现1个逻辑性缺陷。每个逻辑性的缺陷,或者若干个逻辑性缺陷,最终导致一个漏洞;因此“缺陷是天生的,漏洞是必然的”。

(2)现代应用都是组装的而非纯自研。78%-90%的现代应用融入了开源组件,平均每个应用包含147个开源组件,且67%的应用采用了带有已知漏洞的开源组件,软件供应链安全威胁迫在眉睫。

 

 

现代应用安全的风险面,主要来自第三方开源组件缺陷(如CNNVD/CNVD/CVD漏洞)和自研代码,Web通用漏洞(SQL注入、命令执行、XXE、XSS等OWASP TOP10)和业务逻辑漏洞(水平/垂直越权、短信轰炸、批量注册、验证码绕过等 )。

 

 

因此,针对现代应用全面风险审查应考虑从第三方开源组件、自研代码通用漏洞、自研代码业务逻辑漏洞等维度综合审计。

 

接下来看应用开发模式的技术演进,我们可以看到最早是瀑布型开发模式,时间周期长,后来引入了敏捷开发,迅速获得市场反馈,现在是DevSecOps敏捷开发,从“瀑布模型——>敏捷模型——>DevSecOps”,覆盖设计、开发、测试、部署环节。这就要求我们的工具在DevOps中做到透明化。

 

 

传统的SDL面临的安全挑战主要来自3个方面:

  • 业务先上线,安全问题后补救
  • 安全责任过于依赖有限的安全团队资源
  • 安全较缓慢,常置于流程之外,当版本更新迭代较快时,传统的安全手段限制业务交付

 

DevSecOps的5大新型特点:

  • 责任:安全是每个人的责任,应该嵌入到从开发到运营的每一个环节
  • 嵌入流程:开发运维
  • 柔和嵌入研发运维流程,自动化
  • 自动化流程,人更趋向于运营反馈处理
  • 适用于周期较慢、迭代较快的业务

 

 

RSAC2018正式提出“Golden Pipeline”软件流水线实践体系,强调 CI/CD 自动化工具链支撑。

 

 

通过AST技术优劣势对比图我们可以看出IAST技术误报率极低、检出率高、使用成本低基本没有误报,同时更加偏向应用本身漏洞,也可发现难以回显带外。每一项技术都有自己的特点,任何一项新兴技术的出现,都有时代的背景和其适应的场景。

 

IAST灰盒安全测试技术

IAST灰盒安全测试技术主要通过IAST插桩、旁路流量镜像、主机流量嗅探、代理+VPN、主动收集/启发式爬虫等技术对Android/IOS/APP SERVER应用和Web网站进行渗透测试。

 

IAST灰盒安全测试技术的三大优势

  • 低门槛。无需专业技术背景,普通测试人员透明众测完成业务安全测试
  • 低侵入。旁路流量部署不影响正常业务流执行和通信效率
  • 低消耗。透明部署,不影响正常测试工作和用户使用流程

 

 

插桩技术

  • 在目标应用的关键类、方法中插入检测逻辑
  • Java、NodeJs、.Net、PHP皆可依据自身语言特性插桩
  • 以Java为例,利用Instrument特性,类加载时transform字节码
  • 结合字节码操作框架,ASM、Javassist、Aspectj,修改类和方法

 

IAST流量代理及VPN技术。适合测试人员对单个网站进行深度渗透测试,不依赖测试系统语言环境,无须介入测试环境即可进行安全测试。

 

运行时OSS分析。更加侧重应用系统实际运行过程中动态加载的第三方组件及依赖,在此基础上实时检测组件中潜藏的各类安全漏洞及开源协议风险。

IAST技术总结

IAST技术特点

• 相比传统SAST/DAST,IAST精准度更高;

• IAST可以解决签名接口问题;

• IAST获取信息全面和精细,有利于指导研发;

• IAST更易于整合到DevSecOps CI/CD流程;

• 主被动IAST融合,将使IAST技术优势更加突出。

 

落地重点考虑事项

• 同时支持应用插桩和多种流量追踪技术,应对业务场景丰富、开发语言众多、部署环境复杂等场景;

• 支持自动化安装,协调CI/CD完成批量部署;

• 支持配置热加载、性能异常熔断机制;

• 支持SCA第三方开源组件运行时监测分析;

• 支持Jenkins 、Jira、CAS等第三方平台。

 

 

悬镜安全作为DevSecOps敏捷安全领导者,在该领域有着丰富的落地实践案例和完备的体系方案,自主研发的DevSecOps软件供应链全生命周期的高级威胁检测防御体系,为客户提供包括威胁建模、风险发现、威胁模拟、检测响应在内的全生命周期安全解决方案,覆盖编码阶段、测试阶段、预发布阶段、发布阶段、线上运维阶段。

 

 

当前,践行悬镜敏捷安全理念并采用悬镜DevSecOps智适应威胁管理体系解决方案的企业机构包括中国银行、中信建投证券、中国石化、中体彩、人民网、国家电网、北京大学等,客户覆盖金融、电信、政务、能源、教育等领域

 

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部