现如今,数字化被视作企业发展的核心驱动力。尤其是对零售业这一关乎民生的关键产业而言,数字化转型的深入推进,为行业发展注入全新的生命力,助力零售企业在存量竞争环境下通过更加高效的经营方式实现生意增长。
该客户为知名国际零售品牌,早在2018年,便开始投入数字化,在业务数字化和云化的大背景下,随着业务的不断扩展,上线了并迭代了大量的信息系统,比如电商平台、小程序、云管理平台、dtc-wms等,实现自身业务线下线上的无缝融合,每年通过线上线下平台服务超过50多亿名顾客。然而,新业务、新系统开发的规模和复杂性急剧增加,应用程序的迭代和部署愈发频繁,也意味着会产生更多的未知安全风险,应用漏洞的数量和占比大幅增加。
出于安全合规考虑,该品牌在系统上线前进行安全测试,一般采用漏扫和渗透的方式。虽然此类安全测试能起到安全管控的作用,但是存在漏洞误报高、难定位的问题,安全、研发人员需要耗费大量的时间和精力,漏洞定位和修复成本较高,大量的安全测试工作也使安全人员忙于测试漏洞和修复漏洞,漏洞发现和处置效率低下,也因此,采用自动化安全测试工具成为必然的选择。
无论是已有上千应用资产在企业内部业务系统,还是企业自建的DevOps研发运营一体化业务开发模式,抑或是企业采购的第三方开发应用系统,IAST(灰盒测试技术)作为一款适用于DevSecOps的优秀安全检测工具,通过主被动插桩、流量、日志分析等多种检测模式的结合,能够发现动态持续开发的业务系统中存在的通用Web漏洞、业务逻辑缺陷、系统服务漏洞,将安全漏洞的发现和修复时间前置到开发测试环境,大大提升修复效率。
灵脉IAST,应用左移安全赋能
基于现状,该品牌经过谨慎地考察调研与多方对比,最终选择引入悬镜灵脉IAST。灵脉IAST灰盒安全测试平台是全球首个代码疫苗内核驱动的新一代交互式应用安全测试平台,也是国内语言支持数量和测试覆盖场景类型数量均第一、具备探针技术领先和实践成熟度的IAST产品,率先具备API接口安全检测及敏感数据链路追踪能力,透明集成于现有IT流程,自动化完成业务代码上线前安全测试,重点覆盖90%以上中高危漏洞,防止应用带病上线,保障数字供应链开发环节的安全运行。
通过深入调研和分析客户需求和安全建设情况,并结合该品牌业务系统的特点,悬镜安全以安全体系为规范,通过IAST的检测能力,配合悬镜安全提供的技术运营服务,实现了系统安全漏洞集中管控,将安全隐患左移,在开发环节管控业务系统安全性,避免上线阶段投入过多人力成本,也避免企业应用系统带病上线。
全面的应用漏洞检测
1
灵脉IAST独具六大检测模式,动态污点追踪模式(被动插桩)、交互式缺陷定位模式(主动插桩)、流量代理/VPN模式、主机流量嗅探和旁路流量镜像模式、Web日志分析模式,能够全面覆盖漏洞场景,多角度深入挖掘其他测试工具难以发现的安全缺陷及漏洞。
2
灵脉IAST不仅可以检测出传统OWASP TOP10中的主流Web应用漏洞,还能检测出一些和业务设计缺陷息息相关的业务逻辑漏洞,如水平越权、垂直越权、批量注册、验证码绕过及短信轰炸等。
3
除了全面的检测范围,灵脉IAST在检测时提供具体的定位信息,帮助开发人员迅速定位并修复问题,减少修复的时间和成本;同时可轻松集成到 CI/CD 流程中,并将漏洞结果同步至 Jira、禅道等缺陷跟踪平台,实现完善的漏洞全生命周期闭环跟踪管理。
深入的供应链风险治理
1
基于悬镜独有的代码疫苗专利技术,灵脉IAST可通过单探针精准检测应用实际运行过程中动态加载的第三方组件及依赖,识别引入的开源组件安全漏洞及开源许可证风险,并对漏洞的利用难度、许可证的兼容性给出可靠建议;
2
支持导入导出SBOM清单,快速建立供应链资产数据库;
3
全面接入XSBOM数字供应链安全情报,实现自动化获取情报-检测漏洞-验证漏洞-漏洞防护的过程。
兼具API安全和数据安全
1
传统基于流量、日志分析的API安全难以适用微服务、云原生等新型场景,灵脉IAST基于探针技术深入应用内部,可针对API风险进行代码级的分析。
2
灵脉IAST可检测敏感信息泄露威胁,如手机号、身份证、银行卡号等,追踪敏感数据在应用间产生-处理-流转-输出-存储-销毁的全生命周期,获取包含敏感信息接口的调用时间、调用来源、请求与响应等详细信息。
3
支持灵活定义敏感数据检测规则,并支持分类分级的数据安全治理,结合链路拓扑图,可视化展示敏感数据和漏洞风险的传递路径。
领先的强大性能与兼容性
1
基于悬镜百万级的插桩应用实践经验,灵脉IAST的探针CPU占用均值<5%、内存影响<5%、QPS影响率<5%,性能遥遥领先。
2
基于悬镜自研的XSensor主机级Agent安装助手,灵脉IAST可对普通进程、容器内进程批量安装、升级、卸载Agent,Java Agent还支持在不重启应用和容器的情况下安装或卸载 Agent,有效简化Agent插桩安装流程、提升管理效率。
3
此外,为应对应用系统自身配置较低或高并发的极端情况,灵脉IAST提供了探针自动恢复和熔断机制,包括CPU、内存、GC熔断和QPS高频限流熔断,用户可以结合自身业务情况自定义熔断阈值,确保业务优先;在低于熔断阈值并稳定保持一段时间后,探针会自动恢复正常运行。
流程自动化,三大效益持续提升
目前,在IAST工具全面上线使用以来,悬镜灵脉IAST检测出有近28个主要应用、组件总数3323个,存在大量高危漏洞,发现漏洞总数超12万。典型的包括SQL注入、XML实体注入漏洞(XXE)等安全漏洞,分布在包括ONSTORE、shoping-uat、card-uat等等业务系统中。
其中效果最为显著的是该品牌利用IAST技术进行会员姓名、卡号、电话等敏感信息泄露检查,目的是为了在开发过程中实时发现并修复潜在的安全漏洞,确保自身会员数据的安全性和隐私保护,从而增强用户信任并维护品牌形象。
此外,通过对每个应用做具体的数据统计,可以有效推动研发去做漏洞修复,以及可视化地实时监控漏洞变化情况,根据变化情况去评估当月的安全治理质量,极大的提升了上线检测和整改的效率,减轻了安全人员和研发人员的负担。
最后,为实现漏洞的管控及修复的闭环管理,把IAST检出的漏洞,进行人工验证。该品牌通过“IAST检出漏洞->人工验证->提交验证报告至该应用研发修复->人工复验->输出漏洞验证报告”这个流程实现漏洞动态清零,保障了业务系统安全上线。
作为悬镜第三代DevSecOps数字供应链安全管理体系中上线前测试环节的应用风险发现平台,灵脉IAST连续四年市场应用率第一,并在国内首批通过中国信通院开展的《交互式应用程序测试工具》评测和CWE兼容性认证。截至目前,灵脉IAST探针累计插桩应用达300万+,广泛实践于金融、泛互联网、政企、通信、能源等行业头部用户,帮助用户构建起安全、高效、智能的企业数字应用,夯实数字经济创新发展的技术底座,持续守护中国数字供应链安全。
+
推荐阅读
关于“悬镜安全”
悬镜安全,起源于子芽创立的北京大学网络安全技术研究团队“XMIRROR”,作为数字供应链安全开拓者和DevSecOps敏捷安全领导者,始终专注于以“代码疫苗”技术为内核,凭借原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报预警服务”的第三代DevSecOps数字供应链安全管理体系,创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。