关于IAST灰盒安全测试技术,看悬镜宁戈这篇就够了~

强颜欢笑 提交于 2020-09-30 06:48:42

点击蓝字


关注我们

悬镜安全作为国内DevSecOps理念的最佳实践者之一,在IAST灰盒安全测试技术方面有着丰富的落地实践经验。2020年9月5日(上周六),悬镜安全技术负责人宁戈受行业媒体安在邀约,参与“安在新媒体网络安全创新沙龙”,并在活动现场做《新一代灰盒安全测试技术与实践》主题演讲,向业界同行与媒体嘉宾详细介绍了DevSecOps和IAST技术核心点,以及在悬镜安全的落地实践案例,获得了现场一致好评!


图|演讲人-悬镜安全技术负责人宁戈

开发安全面临的两个问题

(1)系统一定有未被发现的安全漏洞程序员每写1000行代码,就会出现1个逻辑性缺陷。每个逻辑性的缺陷,或者若干个逻辑性缺陷,最终导致一个漏洞;因此“缺陷是天生的,漏洞是必然的”。
(2)现代应用都是组装的而非纯自研78%-90%的现代应用融入了开源组件,平均每个应用包含147个开源组件,且67%的应用采用了带有已知漏洞的开源组件,软件供应链安全威胁迫在眉睫。


现代应用安全的风险面,主要来自第三方开源组件缺陷(如CNNVD/CNVD/CVD漏洞)和自研代码,Web通用漏洞(SQL注入、命令执行、XXE、XSS等OWASP TOP10)和业务逻辑漏洞(水平/垂直越权、短信轰炸、批量注册、验证码绕过等 )。


因此,针对现代应用全面风险审查应考虑从第三方开源组件、自研代码通用漏洞、自研代码业务逻辑漏洞等维度综合审计。
 
接下来看应用开发模式的技术演进,我们可以看到最早是瀑布型开发模式,时间周期长,后来引入了敏捷开发,迅速获得市场反馈,现在是DevSecOps敏捷开发,从“瀑布模型——>敏捷模型——>DevSecOps”,覆盖设计、开发、测试、部署环节。 这就要求我们的工具在DevOps中做到透明化。


传统的SDL面临的安全挑战主要来自3个方面:
  • 业务先上线,安全问题后补救

  • 安全责任过于依赖有限的安全团队资源

  • 安全较缓慢,常置于流程之外,当版本更新迭代较快时,传统的安全手段限制业务交付


DevSecOps的5大新型特点:
  • 责任:安全是每个人的责任,应该嵌入到从开发到运营的每一个环节

  • 嵌入流程:开发运维

  • 柔和嵌入研发运维流程,自动化

  • 自动化流程,人更趋向于运营反馈处理

  • 适用于周期较慢、迭代较快的业务



RSAC2018正式提出“Golden Pipeline”软件流水线实践体系,强调 CI/CD 自动化工具链支撑。


通过AST技术优劣势对比图我们可以看出IAST技术误报率极低、检出率高、使用成本低基本没有误报,同时更加偏向应用本身漏洞,也可发现难以回显带外。每一项技术都有自己的特点,任何一项新兴技术的出现,都有时代的背景和其适应的场景。

IAST灰盒安全测试技术

IAST灰盒安全测试技术主要通过IAST插桩、旁路流量镜像、主机流量嗅探、代理+VPN、主动收集/启发式爬虫等技术对Android/IOS/APP SERVER应用和Web网站进行渗透测试。

IAST灰盒安全测试技术的三大优势
  • 低门槛。无需专业技术背景,普通测试人员透明众测完成业务安全测试

  • 低侵入。旁路流量部署不影响正常业务流执行和通信效率

  • 低消耗。透明部署,不影响正常测试工作和用户使用流程



插桩技术
  • 在目标应用的关键类、方法中插入检测逻辑

  • Java、NodeJs、.Net、PHP皆可依据自身语言特性插桩

  • Java为例,利用Instrument特性,类加载时transform字节码

  • 结合字节码操作框架,ASM、Javassist、Aspectj,修改类和方法


IAST流量代理及VPN技术。适合测试人员对单个网站进行深度渗透测试,不依赖测试系统语言环境,无须介入测试环境即可进行安全测试。

运行时OSS分析更加侧重应用系统实际运行过程中动态加载的第三方组件及依赖,在此基础上实时检测组件中潜藏的各类安全漏洞及开源协议风险。

IAST技术总结

IAST技术特点

• 相比传统SAST/DAST,IAST精准度更高;

• IAST可以解决签名接口问题;

• IAST获取信息全面和精细,有利于指导研发;

• IAST更易于整合到DevSecOps CI/CD流程;

• 主被动IAST融合,将使IAST技术优势更加突出。


落地重点考虑事项

• 同时支持应用插桩和多种流量追踪技术,应对业务场景丰富、开发语言众多、部署环境复杂等场景;

• 支持自动化安装,协调CI/CD完成批量部署;

• 支持配置热加载、性能异常熔断机制;

• 支持SCA第三方开源组件运行时监测分析;

• 支持Jenkins 、Jira、CAS等第三方平台。



悬镜安全作为DevSecOps敏捷安全领导者,在该领域有着丰富的落地实践案例和完备的体系方案,自主研发的DevSecOps软件供应链全生命周期的高级威胁检测防御体系,为客户提供包括威胁建模、风险发现、威胁模拟、检测响应在内的全生命周期安全解决方案,覆盖编码阶段、测试阶段、预发布阶段、发布阶段、线上运维阶段。



当前,践行悬镜敏捷安全理念并采用悬镜DevSecOps智适应威胁管理体系解决方案的企业机构包括中国银行、中信建投证券、中国石化、中体彩、人民网、国家电网、北京大学等,客户覆盖金融、电信、政务、能源、教育等领域

本文分享自微信公众号 - 悬镜AI安全(Anpro-tech)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!