01
前言
IDC在《中国数字化转型市场预测,2021-2026:通过应用场景践行数字化优先策略》中预测, 未来五年是数字化发展的黄金时期,企业在应用硬件、软件和服务上的投入将快速增长。
证券行业作为金融行业的代表,是数字化转型浪潮中的领航员,在应用开发、应用安全方面面临着更多机遇与更大的挑战。
IDC,《中国数字化转型市场预测,2021-2026:通过应用场景践行数字化优先策略》
伴随着数字化浪潮而来的,还有日益严重的应用安全问题。在2022年国家信息安全漏洞共享平台CNVD公布的漏洞趋势中,应用漏洞几乎始终占据70%以上的占比。
应用安全问题不仅带来了个人隐私泄露风险,影响企业经营,在金融这样与国计民生息息相关的行业中 ,会直接影响社会经济正常运转。
2022年国家信息安全漏洞共享平台(CNVD)漏洞趋势
2023年初,中国证券业协会(下称中证协)组织起草了《证券公司网络和信息安全三年提升计划(2023-2025)》,提出建立科学合理的科技投入机制,要求行业合理加大科技资金投入。
鼓励有条件的公司2023-2025三个年度信息科技平均投入金额不少于上述三个年度平均净利润的8%或平均营业收入的6%。
一些省份如江苏省也发布了省级的金融管理办法,要求将IT建设投入的5%以上投入在网络安全领域,足以看出国家与监管机构在要求企业保障网络安全方面的重视程度。
保障业务连续性无疑是证券行业进行网络安全建设时的首要目标。在证券行业中,安全部门需要保障业务运行中不出现安全事件、不出现安全事故,这仅仅依靠应用上线后的各种安全防护设备显然是不合理也不可行的。
《三年提升计划》明确要求健全网络和信息安全防护体系,深化漏洞全生命周期管控。要求使用白盒检测、黑盒检测、灰盒检测和人工渗透相结合的技术手段,检测代码安全缺陷和引入的第三方组件漏洞,提升安全风险检测的全面性、准确性和效率,实现漏洞通报、修复的闭环管理,确保变更上线前已知风险全面收敛。
为了弥补安全开发实践的欠缺、提前发现安全威胁、降低漏洞修复成本,许多证券行业企业开始探索建设DevSecOps流程。
02
证券行业安全建设思考
随着金融行业的网络安全风险不断累积,证券行业网络安全防护也面临着前所未有的威胁与挑战。
以XSS、SQL注入、敏感信息泄露、未授权访问、弱口令、远程代码执行、任意文件读取、逻辑漏洞等为代表的Web安全漏洞依旧是最多发的漏洞类型。应用系统上线后漏洞修复往往要耗费较长时间和较高的成本。
在实际的业务运行过程中,越来越多的证券行业企业发现原有的软件开发与安全测试流程过于复杂,工作繁琐,且对于人工投入要求较高,很难适应业务的敏捷快速迭代开发模式。推动安全左移,建设完整的DevSecOps流程将是证券行业的主流做法。
IAST(Interactive Application Security Testing,交互式应用程序安全测试,也叫灰盒)是一款可以无缝集成至DevSecOps敏捷安全开发流程中的应用安全测试工具,适用于开发与测试阶段,可以帮助企业在应用上线前进行应用安全测试,以提前发现安全漏洞,降低漏洞修复成本。
IAST是一种在应用和API中自动化识别和诊断软件漏洞的应用程序安全测试技术,通过插桩技术(Instrumented)收集、监控 Web应用程序运行时的函数执行、数据传输,并与服务端(server)进行实时交互,高效、准确地识别安全缺陷及漏洞。
洞态IAST是由洞态社区与洞态安全团队共同开发维护的IAST产品,已在全球29个国家和地区,帮助200多家企业部署了数十万个节点,拥有行业内最多的落地应用,并发布了国内首个《IAST落地实战笔记》,是最能落地的IAST产品。
洞态IAST专注用户体验,独创数据采集、扫描引擎分离架构,极大地提升了IAST的稳定性,拥有深度漏洞检测、跨服务漏洞检测等功能,十万级部署,万级并发,仍能无感运行。
洞态IAST独创数据采集、扫描引擎分离架构
洞态IAST可以完美适配敏捷开发和 DevSecOps流程,让开发人员和测试人员在执行功能测试时,实时、动态、同步进行漏洞检测, 可精确确定漏洞所在代码行,在无感知的情况下完成安全测试。
洞态IAST在程序运行过程中使用插桩技术监控和收集信息,根据这些信息来判断程序是否存在漏洞与安全风险。它对来自客户端产生的请求和响应进行分析,这点类似于DAST,具备了黑盒中检测结果准确的特征;而它能够监控数据流信息,通过污点分析产生告警又类似于SAST,检测结果也具备了白盒的全面性特点。
洞态IAST在协助某证券行业客户安全左移、构建完整SDL流程过程中,发挥了独特的作用。
03
洞态IAST在证券行业的落地实践方案
以洞态IAST的某头部大型证券客户为例,该证券行业客户内部拥有一套完整的安全评估与漏洞管理、修复流程,自身具备较强的安全实力。
通过自研的 SDL全流程赋能平台,集成有威胁建模、自动化测试等功能,实现了自动化基于场景的轻量级威胁建模能力,支持从外部接入源代码分析、AST等工具和渗透测试服务。洞态IAST也在接入该 SDL全流程赋能平台,融入客户DevSecOps流程的过程中进行了一些探索。
洞态IAST接入某证券行业客户自研SDL全流程赋能平台
该证券行业客户体量庞大,资产、应用、数据众多,应用上线前依赖人工渗透测试寻找安全隐患,并且为了确保上线业务的安全性,还需要多人渗透并进行交叉验证。人工投入大、人员能力要求高,效率难以满足业务的敏捷快速迭代开发。
那么是否可以通过接入IAST工具,实现应用上线前的漏洞自动化检测与发现,把人从重复性劳动中解放出来呢?答案是肯定的,但是在落地实施过程中还会面临不少现实问题。
在证券行业中接入IAST实现自动化漏洞发现实施过程思路
#1
接入自动化IAST的第一步是插桩,想要在如此庞大的体量中使用IAST进行全量覆盖,需要部署过万个节点,Agent的部署是其中的重点也是难点。
洞态IAST采用了数据采集与扫描引擎分离的独特架构,Agent端只负责采集数据,所有运算分析均通过Server端完成,有效地降低了资源占用,这让洞态在支持数万个节点的部署与上万个节点并发的同时,仍能保持生产级别的Agent稳定性。
洞态IAST独创数据采集、扫描引擎分离架构
对于头部证券的业务部门来说,脏数据是无法接受的。上万个节点的并发检测如何能不产生任何脏数据?
洞态IAST的解决方案是被动插桩模式。被动插桩模式不会主动发送Payload,对来自客户端的请求响应进行污点传播数据流监控,根据是否经过无害化处理判断是否存在漏洞。只需要业务测试(手动或自动)来触发安全测试,通过测试流量即可实时的进行漏洞检测,并不会影响同时运行的其他测试活动,在此过程中不会产生脏数据。
被动插桩模式
#2
实现规模化IAST插桩检测后,检测的准确性是另一个关键问题。本身IAST作为结合了SAST与DAST部分优势特性的工具,就已经具备了检测结果准确、误报漏报少的优势。
如何在80分的基础上更进一步,做到90分甚至95分?我们发现在测试验收阶段加入安全度量指标,实现IAST检查结果的展示与处理是一个可行性很高的思路。
将静态安全扫描、制品安全扫描、IAST扫描结果作为安全度量指标,按照应用-单元-版本号等关键字段管理扫描结果。将指标统计数据、中高危风险概要和全量详细信息指标数据汇总用于展示和门禁管控。
#3
在与SDL全流程赋能平台对接的过程中我们发现,该平台作为一个SDL全流程赋能平台,接入了包括IAST、DAST等多种单点安全工具,各个单点安全工具均在应用安全测试中拥有着各自的独特价值。
IAST产品的特点决定了它可以提供更高的测试准确性,可详细地标注漏洞在应用程序代码中的确切位置,帮助开发人员修复。
但同时IAST也存在一定的限制,对于部分复杂的漏洞场景,由于漏洞检测不依赖真实的漏洞 Payload,所以在验证漏洞的可利用性时,可能存会在一定难度,而这一点恰恰是 DAST 工具所擅长的。
但是目前各单点工具之间仍然是独立工作,难以协同。如今,如同木桶效应中各块木板的长短一般,相较于追求某个单点安全工具的极致性能,探寻安全能力和安全数据之间联通的可能性或许是一个更具性价比也更高效可行的安全建设路径。
在拥有可以满足核心安全需求的单点安全能力的条件下,通过联通性与安全效能的叠加性可以获得更大的经济收益与安全保障效果。
即使是拥有了该SDL全流程赋能平台提供的完整SDL能力,要实现各个单点工具之间的联动仍然是十分困难的,需要耗费极大的人力与时间。
因此,我们开始思考如何通过IAST直接与其他应用安全测试工具结合起来,以更方便地验证漏洞,从而降低推进漏洞修复工作的难度。
目前,洞态IAST已经实现了与黑盒DAST工具的一体化联动,黑盒工具可根据以下架构在实现请求头修改和数据同步之后对漏洞数据进行关联。
洞态IAST与黑盒DAST一体化联动架构
有了洞态IAST成功接入 SDL全流程赋能平台的经验,且洞态IAST已实现与黑盒联动,相信在未来,单点工具之间、工具与平台之间互相联动协作,数据互通,必将帮助甲方更好地推进信息安全建设。
04
能落地,才有意义
安全部门的首要目标是保障业务连续,免受安全风险与威胁,安全产品与安全能力不能落地就没有意义。安全团队如何与开发、业务部门协作,是技术、产品、人员之外一个隐性的影响因素,特别是在IAST这种由安全部门采购,研发部门使用的安全工具,其中的影响表现得尤其明显。
安全产品拥有良好的落地能力,高效、准确地发现与修复漏洞的过程提高了安全部门的价值,也间接推动了安全部门与其他部门的沟通合作,这对于甲方安全部门在内部推动整体安全建设是大有裨益的。
经过多年数字化转型的建设,证券行业信息化水平普遍较高,大多已经建立了较为完备的DevSecOps流程,在如今业务与监管的双重压力下,证券甲方企业需要补足在DevSecOps流程中各个节点的安全能力,更需要能落地、能联动的、好用易用的人性化安全产品。
洞态IAST凭借装机量大、稳定性强、检出率高、专注用户体验等优点使其正逐渐成为更多甲方客户的第一选择。
关于火线安全
北京安全共识科技有限公司(品牌简称“火线安全”),聚焦于应用安全和攻防研究领域,是一家社区驱动的应用安全创新企业,通过自主研发的自动化测试产品洞态IAST,结合超过数万名的实名白帽安全专家,帮助企业解决应用安全的各类风险。
通过多年的深厚积累,火线安全快速成长,总部落地北京,在上海、深圳等地均设立了分支机构。凭借建立行业正循环的初心,以客户为先的服务意识,已服务上百家优质客户,涵盖金融、智能制造业、产业互联网等众多行业领域,并先后获得了奇绩创坛、经纬中国、五源资本等知名投资机构能力加持。
往期推荐