安小默在2022年下发布过一篇《某股份制商业银行超大规模DevSecOps分布式部署实践》。
当时讲到,该银行应用系统数量庞大,多款应用系统的月活跃用户均达到亿级别,对应用系统的迭代速度、并发数量、稳定性、安全性等要求非常高。
默安科技经受住了这次考验,超大规模DevSecOps分布式部署在保证开发效率的同时,对研发工作的正常开展做到近乎零影响。
今天要讲的,是之后的故事。
图源:AI作画
随着金融行业数字化转型的加快,开发代码的快速迭代、系统应用的更新产生的高危漏洞,极易造成数据泄露和信息安全事件的发生。如何最大化发挥产品价值,高效、准确地检测安全漏洞并修复风险,保障业务系统上线前安全,也成为了这家银行接下来面临的重要课题。
经过长期在开发安全体系落地实践一线的磨炼,默安科技的技术运营专家们认为,开发安全建设无法依赖于单个产品,管理体系建设、流程与制度的运营,以及知识赋能都离不开高质量的陪伴式服务。在研发漏洞治理过程中,如果仅仅使用工具,可能会查出问题,但也只是“头痛医头,脚痛医脚”。只有通过服务帮助产品更深入地融入客户使用场景,才能真正从根本上解决问题,打造一个健全高效的研发漏洞治理体系。
下面讲几个小故事,一起看看默安技术运营团队如何通过雳鉴IAST交互式应用安全检测系统+陪伴式安全服务,深度参与该银行实际运营过程,为其解决阻碍开发安全能力提升的多个棘手问题。
IAST如何“丝滑”融入内部安全开发流程?
结合当前该银行已有的安全测试工具及测试流程,默安科技提供雳鉴IAST安全工具嵌入方案,覆盖企业整个安全测试区,主要负责流量的采集和安全扫描工作。其中,默安科技专家团队通过构建定制化的集群的反向代理,利用各地流量镜像获取测试网流量,帮助该银行实现轻量化管理IAST集群和场景优化,极大程度降低安全人员的人工成本,让安全测试流程更加便捷。
图 雳鉴IAST安全工具嵌入方案
结合该银行内部业务流程和场景,默安科技提供以雳鉴IAST为核心安全检测平台的DevSecOps集成方案。通过与安全团队、研发团队、测试团队、流水线团队深入交流,默安科技帮助该银行在标准DevOps周期中建立关键的安全原则,达成安全共识,其目的是让每个人都对信息安全负责,而不仅仅是安全人员。
安全测试要覆盖那么多环境,怎样做到?
该银行内部采取插桩模式和流量模式等不同检测方式,且安全测试需要覆盖测试环境、预发布环境和生产环境,不同环境下,如何采取不同的手段覆盖是其面临的一大难题。针对测试环境多样的现状,默安科技通过提供代理机制与实施方案,以覆盖手工测试环境;调研流量采集情况,提供横向拓展引擎方案,帮助该银行实现流量实时扫描全覆盖。
产品“水土不服”怎么破?
事实上,即使是一款功能再强大的产品,在客户部署使用的过程中,也常常会出现“水土不服”的现象,其本质是产品可用性和客户实际场景的贴合度问题。为了解决产品“水土不服”的问题,让雳鉴IAST更加贴合客户的实际业务场景,真正发挥产品价值,默安科技参与到客户实际运营过程中,对产品能力进行了针对性优化。
默安科技从项目需求、Agent需求、扫描需求、流量采集、系统层级以及报告内容等六个方面入手,对雳鉴IAST产品能力进行了以下优化:
● 对请求录入功能进行改进,帮助客户解决无效请求录入和认证失效等问题;
● 通过优化Agent,减少Agent对业务运行的侵入性,并将Agent所发现的信息最大化地帮助安全人员;
● 对IAST扫描功能进行优化,提升客户内部安全运营效率;
● 对流量采集功能进行优化,提升流量采集效率;
● 丰富系统信息,并对数据存储功能,项目列表、漏洞列表等接口性能进行优化提升;
● 为自动化生成报告提供可控选择,减轻IAST服务端压力及流水线压力,并将更为贴切的漏洞描述以及内容进行可控展示。
运营脚本多且杂,如何提升安全流程管理效率?
很多情况下,安全人员会依据工作需求进行脚本开发,需要耗费较多的时间和精力,同时运营脚本多又杂,缺乏对运营脚本的统一管理,导致内部安全流程管理效率低下。针对运营脚本多又杂的情况,默安科技通过梳理行内运行脚本,根据需求进行划分,并提供相关模块进行调用;使用精细化集群管理+项目模板的形式进行项目创建,替换原先多设备管控依靠脚本的形式,帮助该银行实现自动化管理运营脚本,提升内部安全流程管理效率。
先客户之忧而忧,漏洞响应快人一步
为了适应该银行的开发安全建设及行标要求,默安科技从配置类型、能力优化、场景优化、监管要求、能力丰富等方面,对雳鉴IAST安全漏洞检出能力进行了丰富和优化。
在与该银行业务的不断磨合过程中,雳鉴IAST的安全能力也得到进化,从以往依赖于产品内置的漏洞库进行风险检测,到现在能够灵活响应客户需求,实时更新安全漏洞信息,并更新对应的安全策略。雳鉴IAST根据各类风险不断积累的安全策略与能力,构成安全开发的“最强大脑”,帮助该银行持续优化完整的安全开发体系。
提升漏洞检测效率,助力业务安全上线
截至2023年12月,默安科技雳鉴IAST协助该银行共计发现高危漏洞4.5w+,中低危漏洞10w+,总项目数高达15w+,日活项目数3000+,DevSecOps智能化运营脚本40+,漏洞检出率得到大大提升,误报率达到极低水平。通过雳鉴IAST的嵌入将安全性集成到开发流程中,可以减少在开发过程中出现的安全漏洞,有助于及早发现并修复安全问题,并减少潜在的漏洞和攻击面,为业务系统上线提供强有力的保障,帮助该银行更高效地交付安全可靠的产品和服务。