漏洞作为网络攻击的根源,近年来披露数量和影响程度持续增加,成为网络安全领域面临的重大挑战之一。根据国家信息安全漏洞库(CNNVD)发布的数据显示,2023年共披露漏洞18635枚,其中,中危漏洞占46.93%,高危漏洞占47.22%,漏洞威胁态势依然严峻。
作为关键信息基础设施运营者,民航一旦遭到破坏、丧失功能或数据泄露,可能会严重危害国家安全、国计民生以及公共利益。在外部安全威胁和内部脆弱性的双重压力交织之下,如何有效管控漏洞风险、提升漏洞修复效率,成为下面这家航空集团亟需解决的重要课题。
图源 AI作图
安全漏洞定位与修复能力亟待提升
该客户为某大型航空集团,开发模式以自研为主,在业务数字化和云化的大背景下,随着横向业务的不断拓展,该集团新上线了大量信息系统,比如电商平台、智能客服、运输运营管理、NDC新能力分销等。新业务、新系统也就意味着会产生更多未知的安全风险,应用漏洞的数量和占比大幅增加。
出于安全合规考虑,该集团在系统上线前进行安全测试,一般采用漏扫和渗透的方式。虽然此类安全测试能起到安全管控的作用,但是存在漏洞误报高、难定位的问题,安全、研发人员需要耗费大量的时间和精力,漏洞定位和修复成本较高,大量的安全测试工作也使安全人员忙于测试漏洞和修复漏洞,漏洞发现和处置效率低下。
伴随式服务 从零搭建开发安全体系
基于现状,该集团经过审慎考察调研与多方对比,最终选择引入默安科技雳鉴开发安全工具链及伴随式服务。
通过深入调研和分析客户需求和安全建设情况,结合该集团业务系统的特点,默安科技开发安全专家提出开发安全整体建设规划,以安全体系规范为基础,通过SAST(静态应用安全检测系统)、IAST(交互式应用安全检测系统)的检测能力,配合默安科技提供的技术运营服务,从零开始搭建开发安全建设体系,实现系统安全漏洞及安全研发流程的集中化管理,在开发环节管控业务系统安全性,避免上线阶段投入过多的人力成本。
一是建立开发安全相关规章制度。协助该集团建立可落地执行的开发安全管理制度规范,明确各部门职责分工,合理设定安全卡点。
二是完善安全检测手段。通过雳鉴系列开发安全工具链——STAC(威胁建模分析系统)、SAST、IAST、SCA(软件成分分析系统),与内部管理和漏洞平台对接,实现流程自动化,配合管理制度规范,完善安全检测手段,提升安全检测效率。
三是低入侵、零成本融入开发流程。凭借SAST和IAST检测流程自动化,在不改变原有开发流程、原有工作方式、不增加额外工作量的情况下,帮助集团完成安全测试;优化检测规则,降低漏报和误报,集中修复中高危安全漏洞,缩短上线前检测和整改的时间,减轻安全人员和研发人员负担。
四是提供开发安全培训服务。通过提供开发安全培训服务,帮助相关人员了解风险、危害,以及在开发测试阶段进行漏洞修复的成本和收益,并结合开发安全咨询服务,优化和完善开发安全管理制度,推进开发安全项目落地。
流程自动化 两大效益持续提升
目前,该集团一期开发安全建设已颇具成效,初步建立安全开发管理制度规范,明确各部门职责和人员分工协作;搭建SAST、IAST应用检测平台,并对接项目管理和漏洞管理平台,实现自动化流程,70%以上业务系统已纳入开发安全体系管控中,并且实现了开发安全流程自动化;此外,通过安全培训,大幅提升开发、测试、安全人员的开发安全意识与技能,有力保障整个开发安全体系的落地。
仅IAST侧已经累计创建15个核心应用、193个项目、发现34000+个安全漏洞,中高危漏洞的发生率大幅降低。
接下来,随着合作不断加深,该集团规划引入更多专业工具,进一步完善开发安全体系工具链和提升整个流程自动化效率,与默安科技的故事,未完待续……
在开发安全领域,默安科技不仅拥有自主研发的具备国际竞争力的工具链与平台,更打造出经过长期大量实践验证的技术运营服务能力,熟悉开发安全在各类企业不同发展阶段落地中的痛点与难点,通过产品+伴随式的专业服务,持续为交通、金融、能源、智能制造等多个行业开发安全体系的建设带来非常重要的价值。