安全左移如何落地?500+项目经验专家:陪伴式服务是关键
2021-08-06
近日,由中国互联网协会、360互联网安全中心等机构联合主办的ISC 2021 第九届互联网安全大会在北京举办。默安科技作为国内DevSecOps领导厂商,受邀在DevSecOps安全研发运维工程实践论坛中发表演讲。
默安科技技术专家 刘传兴
DevSecOps通过工具、技术手段将安全审计、安全测试等融入到研发及运维一体化流程中,其核心理念之一就是“安全左移”。
陪伴式安全服务是“安全左移”的落地关键
数字化转型发展和云原生环境中,企业安全威胁更加复杂,应用安全面临内忧外患的局面。“内忧”体现在各个厂商受自身安全能力的限制,很难对大量安全告警做出甄别,从而无法保证上线系统的安全性。这也是国家级攻防演练中出现大量应用安全问题的主因。“外患”则表现为应用成为黑客青睐的香饽饽,hackerone2019年报告显示72.3%的漏洞是应用安全漏洞。同时,各个国家和监管单位对应用安全的要求也越来越高,比较著名的法律和标准有《网络安全法》、GDPR和PCI-DSS等。
解决应用安全困境的最好方法是“安全左移”——从应用程序的开发源头即融入安全,治理安全风险,逐步建立完善的安全开发与运维体系。全面的应用安全左移架构包括四个层面:
01 管理体系建设
规范完整流程,设定管理卡点和相关规范,做到有规可循。
02 安全产品支撑
例如威胁建模工具、静态代码分析SAST、交互式安全工具IAST以及整体的安全能力集成等。
03 全流程运营
制度和技术输出用起来才能发现问题、发挥作用,因此需要专业技术人员深度参与完整流程、进行陪伴式运营。
04 全流程知识赋能
总结运营过程中的问题和经验,开展相关培训,引导流程关键人员,实现持续安全的目标。
由此可见,“安全左移”无法依赖于单个产品,管理体系建设、全流程产品与制度的运营以及知识赋能都离不开陪伴式的安全服务。陪伴式安全服务是指在安全左移或安全开发体系落地的全流程中,持续融入专业安全开发人员的服务,包括制定管理办法、流程、考核机制,流程评审与完善、应急响应等全流程运营服务以及开展针对性的安全培训等。
打个比方,把左移当作高考,那么,产品就像“五年高考三年模拟”,而陪伴式服务就是老师。课本固然重要,它为我们系统地梳理知识点,提高复习效率。但是应对高考更离不开老师的引导和帮助。没有老师,课本很多时候可能都会成为摆设。
为什么陪伴式安全服务很重要?可以看一个简单的案例。
某国有企业代码存在大量SQL注入,如下:
编写上述代码的程序员理解应该用prepareStatement(预编译),而不是Statement(拼接),但由于缺乏安全知识,用错了方法。安全代码如下:
该案例程序员表示这种不安全的编码方法来自于前辈的“指导”——“即安全又少写两行”。这种小聪明难以发现,而且可能会“传染”。该团队开发的其它系统也大量存在这个问题。
仅仅使用工具可能会查出问题,但也只是“头痛医头,脚痛医脚”。只有融入服务,包括针对性地对开发人员进行培训,帮助他们纠正不安全的编码习惯,才能从根本上解决问题。
安全左移落地最佳实践:三位一体
“安全左移”的最大难点就是落地,即“我应该从哪里入手?如何才能做到安全与业务双重效益的最大化?”
在传统的落地模式中,供应商往往会交给客户一份“体检报告”,告诉他们风险与威胁,并尝试从软件的需求与设计阶段层层推进。但实际应用却会遇到重重阻碍,无法真正引起客户内部的重视,安全左移只能停留在理论阶段。
默安科技主张采用“手术”的落地模式,从高效的工具入手,直接发现和处置安全问题,做出成效后再建设完整的安全开发体系。
具体的落地模式称之为“三位一体”,包括3个阶段:
01 初期引入精确有效的自动化工具
安全开发自动化工具类型多样,其中目前应用效果最为显著的是交互式安全测试工具IAST,相比于SAST、DAST误报率低得多,IAST的插桩模式具备无需payload、不产生脏数据,不受防重放机制影响,能够实现高效0耗时的DevOps对接等优点。
默安科技提供的雳鉴IAST产品还能够详细展示漏洞详情、定位到问题代码的准确位置,极大地提高了漏洞验证与修复效率。同时,还支持检测规则的定制与升级优化,通过机器学习的算法,发现客户自定义过滤函数,客户可以方便的增加规则,减少误报,还可以自定义隐私数据,发现潜在的隐私泄露问题。通过自定义,使产品越来越贴近客户的业务场景。
02 中期实现安全工具的能力集成
在落地中期阶段,应注重引入工具与现有流程的集成,通过标准接口,对接漏洞管理平台或流程管控平台,实现统一的漏洞管理与处置闭环。同时还可实现数据的分析与可视化呈现,便于内部汇报与安全开发效果建设的呈现。
漏洞闭环流程示例
03 后期构建“最强大脑”
基于前期的工作与经验积累,针对新的应用开发项目及项目更新,在开发项目的需求和设计阶段即融入安全基因,利用自动化工具进行威胁建模,提前发现项目设计中潜在的安全风险,尽可能在前期阶段即规避安全问题的出现,降低安全成本。
此外,在安全左移建设后期,还应注重全流程的威胁反哺。也就是说,如果在上线前仍然发现业务逻辑或安全漏洞,应反向在威胁建模、代码审计、安全组件管控等阶段筛查风险遗漏的原因,确定风险原因的同时更新对应的安全策略、将安全能力反哺到体系中。根据各类风险不断积累的安全策略与能力,构成了安全开发的“最强大脑”,整个安全开发体系都将受益于它。
如何检验安全左移的落地效果?
默安科技技术专家刘传兴也给出了“效果三问”,供各位参考:
实施部门是否有足够权力,确保流程卡点的真正执行与责任落实?
安全开发全流程工具是摆设还是真正投入使用了?
各部门是否从中获得收益?
他山之石,可以攻玉
默安科技作为国内开发安全的领导厂商,曾通过IAST产品与陪伴式服务,帮助某银行客户在数月内发现上千个安全问题,根据自定义函数识别等技术识别误报,并完成高危问题的修复闭环,持续优化完整的安全开发体系。
默安科技自主研发的安全开发解决方案可提供一套完整“产品+服务+平台”的SDL/DevSecOps全流程方案,包括威胁建模STAC、白盒代码安全检查SAST、软件成分分析SCA、交互式安全测试IAST、黑盒应用安全扫描DAST、开发流程三同步管理平台等产品,与主流CI/CD系统无缝集成,帮助客户在应用上线前尽可能早地消灭高危漏洞、业务安全风险等在内的安全问题。
默安科技目前已经为金融、运营商、制造、旅游等行业的多家单位建立完整的安全开发体系并投入持续运营,确保客户具备日益全面的安全开发能力,不断总结、反哺、蜕变,实现业务与安全效益最大化。
