网络安全世界,红蓝攻守就像围棋的黑白棋子,在不断复杂化日益凶险的局势进程中博弈甚至搏杀。而开发与测试就像网络战役前夕的“模拟修罗场”,无时无刻不在考验着系统应用、软件开发、生产数据等网络运行之关键领域。
正如,首次采用“万人在线”的云会议模式的第八届互联网安全大会(ISC 2020),就在8月13日-16日的技术日中,特别设置安全开发与测试论坛,论坛邀请杭州安恒信息技术股份有限公司高级副总裁袁明坤担任嘉宾主席,此外还邀请深圳开源互联网安全技术有限公司副总经理、英国拉夫堡大学网络安全博士王颉,华泰证券信息安全专家、注册信息隐私技术专家(IAPP-CIPT) 刘国隆,安全玻璃盒(杭州孝道科技有限公司)联合创始人、CTO徐锋,杭州安恒信息技术股份有限公司分子实验室负责人徐礼等多位领域资深专家、全球技术大咖齐聚“云端“,共谋网络安全开发、创新型测试之能力。
聚焦软件成分与软件生命开发周期
筑牢安全开发防线
伴随着国家有关网络安全保障和数据安全保护的进一步加强,新基建、信创工作地有序推进,开源技术的使用持续“升温”。然而,机遇与挑战并存,开源技术“热”背后,开源安全漏洞、开源许可证兼容、开源项目合规和开源知识产权侵权等问题也逐步显现。
鉴于此,深圳开源互联网安全技术有限公司副总经理、英国拉夫堡大学网络安全博士王颉以软件成分分析的角度,“云端”探讨企业在软件开发过程中做好软件安全测试对开源组件管控和安全内控的重要价值。
他表示,越来越多的企业选择开源技术已是大势所趋,无可避免。然而,不管是发现、管理、解决安全漏洞所产生的安全风险,还是许可授权,涉及法律法规的合规风险,或是开发运维工作量加大,人员技术要求较高所带来的技术风险,无不预示着——开源软件安全治理早已迫在眉睫。
作为近年全球最热的软件安全测试技术——软件成分分析,其有助于确保企业软件供应链仅包含安全的组件,从而支持安全的应用程序开发和组装,以确保整个软件安全测试的有效性。具体而言:
首先,“软件成分分析”在软件开发生命周期中起到了持续监测、持续评估、持续缓解和持续维护的作用;
其次,开源软件安全治理工作左移。从软件开发阶段就建立开源软件使用的统一策略、建立安全准入机制,引入开源软件前先评估安全风险,外包开发的软件应在立项之初提出要求,并在验收时进行检查;
最后,从前瞻角度看,开源软件安全治理作为软件安全开发的重要实践,或将成为最大安全风险。可见,软件成分分析治理至关重要。
此外,“实践是检验真理的唯一标准”,在软件开发安全的认知和对软件成分安全分析的摸索,也需要结合行业主流的软件安全测试技术进行实践落地,已搭建行之有效的安全测试体系。
深圳开源互联网安全技术有限公司副总经理、
英国拉夫堡大学网络安全博士 王颉
除了采取软件成分分析手段“把脉”安全开发与测试外,软件生命开发周期中每一阶段同样需要“植入”安全。鉴于此,华泰证券信息安全专家、注册信息隐私技术专家(IAPP-CIPT) 刘国隆以“DevSecOps安全测试工具链分析与实践”为议题,为安全开发与测试工作提出一些独到的思路见解。
刘国隆表示,企业在软件开发的不同环节中使用各种安全测试工具提升软件安全质量,通过“工具链”保障软件安全,形成保护用户数据、守护公司信息资产的“安全链”。
具体而言,以“纵深防御”的思路突破安全开发测试之难题,让安全贯穿整个软件开发生命周期。在设计、编码、构建、测试、发布、部署等软件开发生命周期各个阶段应加入相应的安全活动,并启动安全质量门禁。同时,开源组件漏洞极易被利用,而进行开源组件漏洞扫描并积极修复,在安全测试中可达到”四两拨千斤”的效果。
最后,刘国隆建议,实施安全活动和设置安全质量门禁不可避免的会让产品的发布进程变慢。鉴于此,一方面,需要尽可能的精简和自动化安全活动,“恰到好处”的使用安全工具提升安全活动效率和质量;另一方面,需要转变观念和上下达成共识——“安全是产品的增值属性而非负担”。
华泰证券信息安全专家、
注册信息隐私技术专家(IAPP-CIPT) 刘国隆
DevSecOps落地安全测试
夯实安全之基石
随着新技术应用日趋成熟,DevOps快速兴起,紧随“安全左移”的趋势,DevSecOps(安全开发与运维)俨然成为数字孪生时代下应用安全的基础保障。
当Sec“进入”DevOps形成DevSecOps,不只是技术与工具变更那么简单,更重要的是思维方式和内部流程的转变。
鉴于此,安全玻璃盒(杭州孝道科技有限公司)联合创始人、CTO徐锋就针对“利用IAST推动应用安全测试自动化-IAST是DevSecOps实现自动化安全测试的最佳工具之一”这一议题,进行了一段精彩纷呈的演讲。他提出,随着 DevSecOps 被广泛接纳,Interactive Application Security Testing (IAST) 可替换 SAST 和 DAST,成为DevSecOps实现自动化安全测试的最佳工具之一。
由于IAST 漏洞详情中都会包括漏洞形成的应用内部数据流的详细传播过程,以及漏洞存在的代码位置,这都便于让安全人员更方便的确认漏洞的真实性,让开发人员更容易理解漏洞的形成原因,同时使得开发人员自主的去修复漏洞更加容易。
此外,徐锋还强调,不论是DevSecOps还是IAST,技术与工具如何变更,思维方式和内部流程的转变才能真正达到安全预测之关键。
安全玻璃盒 (杭州孝道科技有限公司)
联合创始人、CTO 徐锋
随着不断完善的法律和监管合规要求,建设信息系统的安全需求越来越突出,系统的开发者和运维者对系统的安全运行有了更强烈的渴望。为此,杭州安恒信息技术股份有限公司分子实验室负责人徐礼以“DevSecOps落地中的安全测试推动”为议题,分享分子实验室在安全开发流程中的最佳实践。
徐礼表示,伴随着安全测试的演进,从最初的工具扫描,到工具无法覆盖的场景下的手动测试,到自动化平台检测,最后到模块化检测,每一阶段都可能会面临漏洞威胁之困扰。而无孔不入的漏洞攻击藏匿于远程代码执行、业务逻辑漏洞、配置错误、防御绕过等运行操作之中,倘若在设计之初、代码之源,就能洞悉漏洞之隐患,并在测试中完成验证利用,直至漏洞被缓解,即可达到安全建设方法论和最佳实践“珠联璧合”之效果。
与此同时,在模拟漏洞整个攻击链条的过程中,站在蓝队防御测试的角度,徐礼提出七大测试方法,分别是:
扫描刺探:测试防护监测对扫描行为的识别
漏洞利用:测试防护监测对漏洞利用的识别
社工投递:测试防护监测对社工投递样本的识别
凭据盗窃:测试防护监测对终端或凭据盗窃的识别
内网横向:测试凭据盗取后的HASH传递 (PtH)、票据传递 (PtT)攻击防御和监测,反mimikatz、PowerShell等工具利用测试等
权限提升:测试防护监测对提权攻击的识别
后门隧道:测试防护监测对后门和Webshell的识别
可见,安全测试在实践运维中推动运转,安全与威胁技术能力均不断升维提升,需要各方协同联动才能把真正的安全防御体系完善搭建起来。
杭州安恒信息技术股份有限公司分子实验室负责人 徐礼
《孙子兵法》曾道:“故用兵之法,无恃其不来,恃吾有以待也;无恃其不攻,恃吾有所不可攻也。”只有依靠充分的准备、严阵以待,才能铸就最好的防守。
正如网络世界中攻防对抗是永恒的主题,是检验安全体系防御应对未知威胁能力最为直接的手段。而安全开发与测试正是这条网络攻防之路的“起始点”,搭建安全开发链条,重塑综合测试新架构必将成为安全发展的“初目标”。
回看本届ISC互联网安全大会,除了此次的“安全开发与测试论坛”外,还特别打造了多个重磅主题日,特设百余个安全峰会论坛,海量精华议题,围绕新基建、战略、信创、技术、产业等领域进行全方位、多角度展开“云端”论剑,永不闭幕的第八届互联网安全大会(ISC 2020)正在火热进行中,更多前瞻安全话题敬请关注!