網絡安全世界,紅藍攻守就像圍棋的黑白棋子��,在不斷復雜化日益兇險的局勢進程中博弈甚至搏殺��。而開發與測試就像網絡戰役前夕的“模擬修羅場”���,無時無刻不在考驗著系統應用���、軟件開發�、生產數據等網絡運行之關鍵領域�����。
正如,首次采用“萬人在線”的云會議模式的第八屆互聯網安全大會(ISC 2020),就在8月13日-16日的技術日中�,特別設置安全開發與測試論壇����,論壇邀請杭州安恒信息技術股份有限公司高級副總裁袁明坤擔任嘉賓主席��,此外還邀請深圳開源互聯網安全技術有限公司副總經理����、英國拉夫堡大學網絡安全博士王頡����,華泰證券信息安全專家、注冊信息隱私技術專家(IAPP-CIPT) 劉國隆�,安全玻璃盒(杭州孝道科技有限公司)聯合創始人�����、CTO徐鋒,杭州安恒信息技術股份有限公司分子實驗室負責人徐禮等多位領域資深專家、全球技術大咖齊聚“云端“��,共謀網絡安全開發����、創新型測試之能力。
聚焦軟件成分與軟件生命開發周期
筑牢安全開發防線
伴隨著國家有關網絡安全保障和數據安全保護的進一步加強,新基建��、信創工作地有序推進����,開源技術的使用持續“升溫”。然而,機遇與挑戰并存�����,開源技術“熱”背后��,開源安全漏洞、開源許可證兼容����、開源項目合規和開源知識產權侵權等問題也逐步顯現�����。
鑒于此,深圳開源互聯網安全技術有限公司副總經理����、英國拉夫堡大學網絡安全博士王頡以軟件成分分析的角度�,“云端”探討企業在軟件開發過程中做好軟件安全測試對開源組件管控和安全內控的重要價值。
他表示,越來越多的企業選擇開源技術已是大勢所趨����,無可避免���。然而���,不管是發現�、管理�����、解決安全漏洞所產生的安全風險���,還是許可授權�����,涉及法律法規的合規風險�,或是開發運維工作量加大,人員技術要求較高所帶來的技術風險����,無不預示著——開源軟件安全治理早已迫在眉睫���。
作為近年全球最熱的軟件安全測試技術——軟件成分分析���,其有助于確保企業軟件供應鏈僅包含安全的組件�����,從而支持安全的應用程序開發和組裝,以確保整個軟件安全測試的有效性���。具體而言:
●首先,“軟件成分分析”在軟件開發生命周期中起到了持續監測�����、持續評估���、持續緩解和持續維護的作用;
● 其次��,開源軟件安全治理工作左移�。從軟件開發階段就建立開源軟件使用的統一策略���、建立安全準入機制����,引入開源軟件前先評估安全風險��,外包開發的軟件應在立項之初提出要求����,并在驗收時進行檢查;
●最后����,從前瞻角度看,開源軟件安全治理作為軟件安全開發的重要實踐����,或將成為最大安全風險��。可見�����,軟件成分分析治理至關重要。
此外���,“實踐是檢驗真理的唯一標準”,在軟件開發安全的認知和對軟件成分安全分析的摸索���,也需要結合行業主流的軟件安全測試技術進行實踐落地,已搭建行之有效的安全測試體系��。
深圳開源互聯網安全技術有限公司副總經理����、英國拉夫堡大學網絡安全博士 王頡
除了采取軟件成分分析手段“把脈”安全開發與測試外,軟件生命開發周期中每一階段同樣需要“植入”安全�。鑒于此����,華泰證券信息安全專家�����、注冊信息隱私技術專家(IAPP-CIPT) 劉國隆以“DevSecOps安全測試工具鏈分析與實踐”為議題,為安全開發與測試工作提出一些獨到的思路見解�。
劉國隆表示�����,企業在軟件開發的不同環節中使用各種安全測試工具提升軟件安全質量,通過“工具鏈”保障軟件安全,形成保護用戶數據����、守護公司信息資產的“安全鏈”��。
具體而言,以“縱深防御”的思路突破安全開發測試之難題,讓安全貫穿整個軟件開發生命周期���。在設計、編碼、構建、測試�、發布����、部署等軟件開發生命周期各個階段應加入相應的安全活動�����,并啟動安全質量門禁���。同時�����,開源組件漏洞極易被利用��,而進行開源組件漏洞掃描并積極修復��,在安全測試中可達到”四兩撥千斤”的效果。
最后���,劉國隆建議,實施安全活動和設置安全質量門禁不可避免的會讓產品的發布進程變慢�。鑒于此���,一方面�����,需要盡可能的精簡和自動化安全活動,“恰到好處”的使用安全工具提升安全活動效率和質量;另一方面����,需要轉變觀念和上下達成共識——“安全是產品的增值屬性而非負擔”����。
華泰證券信息安全專家�����、注冊信息隱私技術專家(IAPP-CIPT) 劉國隆
DevSecOps落地安全測試
夯實安全之基石
隨著新技術應用日趨成熟����,DevOps快速興起,緊隨“安全左移”的趨勢��,DevSecOps(安全開發與運維)儼然成為數字孿生時代下應用安全的基礎保障���。
當Sec“進入”DevOps形成DevSecOps���,不只是技術與工具變更那么簡單��,更重要的是思維方式和內部流程的轉變。
鑒于此�����,安全玻璃盒(杭州孝道科技有限公司)聯合創始人�、CTO徐鋒就針對“利用IAST推動應用安全測試自動化-IAST是DevSecOps實現自動化安全測試的最佳工具之一”這一議題,進行了一段精彩紛呈的演講���。他提出,隨著 DevSecOps 被廣泛接納�����,Interactive Application Security Testing (IAST) 可替換 SAST 和 DAST�,成為DevSecOps實現自動化安全測試的最佳工具之一。
由于IAST 漏洞詳情中都會包括漏洞形成的應用內部數據流的詳細傳播過程�,以及漏洞存在的代碼位置�,這都便于讓安全人員更方便的確認漏洞的真實性���,讓開發人員更容易理解漏洞的形成原因��,同時使得開發人員自主的去修復漏洞更加容易����。
此外�����,徐鋒還強調�,不論是DevSecOps還是IAST��,技術與工具如何變更�,思維方式和內部流程的轉變才能真正達到安全預測之關鍵����。
安全玻璃盒 (杭州孝道科技有限公司)聯合創始人��、CTO 徐鋒
隨著不斷完善的法律和監管合規要求��,建設信息系統的安全需求越來越突出,系統的開發者和運維者對系統的安全運行有了更強烈的渴望。為此����,杭州安恒信息技術股份有限公司分子實驗室負責人徐禮以“DevSecOps落地中的安全測試推動”為議題����,分享分子實驗室在安全開發流程中的最佳實踐��。
徐禮表示���,伴隨著安全測試的演進����,從最初的工具掃描����,到工具無法覆蓋的場景下的手動測試,到自動化平臺檢測�,最后到模塊化檢測��,每一階段都可能會面臨漏洞威脅之困擾。而無孔不入的漏洞攻擊藏匿于遠程代碼執行�����、業務邏輯漏洞、配置錯誤�����、防御繞過等運行操作之中�����,倘若在設計之初、代碼之源,就能洞悉漏洞之隱患���,并在測試中完成驗證利用,直至漏洞被緩解,即可達到安全建設方法論和最佳實踐“珠聯璧合”之效果�����。
與此同時����,在模擬漏洞整個攻擊鏈條的過程中,站在藍隊防御測試的角度,徐禮提出七大測試方法,分別是:
●掃描刺探:測試防護監測對掃描行為的識別
●漏洞利用:測試防護監測對漏洞利用的識別
●社工投遞:測試防護監測對社工投遞樣本的識別
●憑據盜竊:測試防護監測對終端或憑據盜竊的識別
●內網橫向:測試憑據盜取后的HASH傳遞 (PtH)���、票據傳遞 (PtT)攻擊防御和監測,反mimikatz、PowerShell等工具利用測試等
●權限提升:測試防護監測對提權攻擊的識別
●后門隧道:測試防護監測對后門和Webshell的識別
可見��,安全測試在實踐運維中推動運轉�,安全與威脅技術能力均不斷升維提升,需要各方協同聯動才能把真正的安全防御體系完善搭建起來。
杭州安恒信息技術股份有限公司分子實驗室負責人 徐禮
《孫子兵法》曾道:“故用兵之法,無恃其不來,恃吾有以待也�����;無恃其不攻����,恃吾有所不可攻也。”只有依靠充分的準備、嚴陣以待�,才能鑄就最好的防守���。
正如網絡世界中攻防對抗是永恒的主題����,是檢驗安全體系防御應對未知威脅能力最為直接的手段��。而安全開發與測試正是這條網絡攻防之路的“起始點”,搭建安全開發鏈條����,重塑綜合測試新架構必將成為安全發展的“初目標”�����。
回看本屆ISC互聯網安全大會,除了此次的“安全開發與測試論壇”外�����,還特別打造了多個重磅主題日��,特設百余個安全峰會論壇�,海量精華議題����,圍繞新基建、戰略���、信創、技術��、產業等領域進行全方位�����、多角度展開“云端”論劍����,永不閉幕的第八屆互聯網安全大會(ISC 2020)正在火熱進行中�,更多前瞻安全話題敬請關注!
京公網安備 11010502041587號