安全419关注到,悬镜安全联合FreeBuf咨询发布《2022 DevSecOps行业洞察报告》,从多视角洞察并分析DevSecOps在国内的发展现状,并前瞻性预测其发展趋势,旨在推动更多用户着手采纳业内领先的DevSecOps敏捷安全体系及落地实践经验。安全419梳理其中精华内容,为企业组织提供安全建设的有效参考。
DevSecOps 敏捷安全工具金字塔 2.0
DevSecOps 敏捷安全工具金字塔 2.0
DevSecOps 敏捷安全技术金字塔描述了安全工具所属的不同层次,该2.0版本延续安全工具分层与组织的 DevSecOps 成熟度非正比关系的编排原则,主要依据该工具的普适性、侵入性、易用性等参考因素。
01、卓越层
CARTA(持续自适应风险与信任评估)平台
CARTA架构促进了一种持续适应不断变化安全形势的方案,而不是试图阻止任何一方或允许特定的交互。作为自适应安全方法,CARTA 可以帮助组织克服应用团队和安全团队之间的障碍,为企业提供风险管理能力。
02、实践深化层
ASRA(自动化安全风险评估)
ASRA 对于帮助组织理解威胁情报数据、动态更新策略和在系统内实现持续合规性至关重要。通过使用自动化风险评估,可以根据组织的安全性和合规性策略识别安全缺陷并确定其优先级。
ASTO(应用安全测试自动化编排)
API Fuzz(模糊测试)
API Fuzz 是一种自动化软件测试技术,它试图通过将无效和意外的输入和数据随机输入计算机程序来寻找可破解的软件错误,以发现编码错误和安全漏洞。正确执行的模糊测试技术可以提供一种低成本、高效的发现漏洞的方法,比手动分析在短时间内可以执行的覆盖更多的代码路径和值迭代。
RASP(运行时应用自我保护)
RASP 技术内置于应用程序或应用程序运行环境中,能够控制应用程序执行、检测漏洞并防止实时攻击。RASP 将安全性整合到运行的应用程序中,能够立即检测、阻止和缓解攻击,通过分析应用程序行为和 上下文来保护实时运行的应用程序。通过使用该应用程序持续监控其自身行为,RASP 能够保护应用程序免遭数据窃取。
AVC/VPT(应用程序漏洞关联)
AVC/VPT(应用程序漏洞关联)
OSS/SCA(开源软件 / 软件成分分析)
IAST(交互式应用安全测试)
Container Security(容器安全)
BAS(入侵与攻击模拟)
BAS 通过模拟对端点的恶意软件攻击、数据泄露和复杂的 APT 攻击,测试组织的网络安全基础设施是否安全可靠,在执行结束时,系统将生成关于组织安全风险的详细报告,并提供相关解决方案。同时结合红队和蓝队的技术使其实现自动化和持续化,实时洞察组织的安全态势。
03、传统建设层
IDS/IPS(入侵检测系统 / 入侵防御系统)
03、传统建设层
IDS/IPS(入侵检测系统 / 入侵防御系统)
IDS、IPS是两类传统的安全保障产品,主要用于应对网络安全系统中的黑客攻击事件。该工具已经非常成熟, 但由于其拥有实时检测和响应的特点,在生产系统中有着高度的实用性,因此现如今依旧是在线应用的网络保护中十分必要的一环。
IAM(身份识别与访问管理)
IAM是一个业务流程、政策和技术框架,可促进电子或数字身份的管理,具有不断增加的功能列表,包括生物识别、行为分析和人工智能,非常适合新安全环节的严格要求,可以通过工具来实施全面的安全、审计和访问策略来加强监管合规性。
WAF(Web 应用防火墙)
WAF是通过执行一系列针对 HTTP 和 HTTPS 的安全策略,可以对来自 Web 应用程序客户端的各类请求进行内容检测和验证,确保其安全性和合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效的安全防护。
EDR(端点检测与响应)
EDR是一种集成的端点安全解决方案,将实时连续监控和端点数据的收集与基于规则的自动响应和分析功能相结合。通过使用分析工具促进了持续的检测和检测。这些工具通过识别、响应和转移内部威胁和外部攻击来确定可以改善公司整个安全状态的任务。
SAST(静态应用程序安全测试)
SAST 用于扫描应用程序的源代码、二进制代码或直接代码。可以识别漏洞的根本原因并帮助修复潜在的安全漏洞,可以“由内而外”分析应用程序,并且不依赖正在运行的系统来执行扫描。
DAST(动态应用安全测试)
DAST(动态应用安全测试)
DAST 用于查找生产中的应用程序漏洞。测试人员无需具备编程能力,无需了解应用程序的内部逻辑结构,也无须了解代码细节。DAST 不区分测试对象的实现语言,采用攻击特征库来做漏洞发现与验证。
2022 上半年度热点技术
01、软件成分分析技术(SCA)
随着开源软件的日益普及,SCA正在成为应用程序安全的必备工具。其主要有两种模式:静态模式是使用工具对目标工程文件进行解压,识别和分析各个组件的关系;动态模式则是依赖于执行过程,在程序执行的同时收集必要的活动元数据信息,通过数据流跟 踪的方式对目标组件的各个部分之间的关系进行标定。从使用成本来看,可分为开源(免费)的开源威胁治理工具和商业化的开源威胁治理工具。开源的主要包括 Snyk Open Source、OpenSCA、Veracode SCA、DependencyCheck等,各大企业可以根据自己的实际情况进行选择。
02、运行时应用自我保护(RASP)
为了更好地预防针对应用程序的攻击威胁以及应对“HW”等超大流量超大规模的实战验证,RASP 作为降低应用风险的一项关键创新技术,弥补了传统边界安全防护产品的先天性防护不足,可应对无处不在的应用漏洞与网络威胁,为应用程序提供全生命周期的动态防护和内生主动安全免疫能力,其必将加快企业数字化转型,推动软件供应链的创新发展。市面上绝大多数 Java 版 RASP 技术,如 OpenRASP、云鲨 RASP、Imperva RASP 等都是在运行时阶段字节码加载前进行插桩,其优点是无需对源代码进行修改真正做到对应用程序的无侵入。
2022 年下半年 DevSecOps 实践趋势预测
01、开源软件供应链安全热度只增不减
作为业务应用程序的重要组成部分,开源软件已成为网络空间的重要基础设施。开源软件的大量使用导致软件 供应链越来越复杂化和多样化,开源软件已成为影响软件供应链安全的关键因素之一。据 Synopsys 称,99% 的商业数据库至少包含一个开源组件,其中近 75% 的代码库包含开源安全漏洞。随着开源组件使用的增加,风险面也在不断膨胀,使用包含已知安全漏洞的开源组件很有可能将安全缺陷引入到软件产品中,并随着软件的使用而进行扩散,进而对软件供应链造成巨大的安全威胁。
02、软件供应链精准监管的有力抓手SBOM
近年来一些重大的软件供应链攻击,如 2021 年的 Apache Log4j2 漏洞攻击和 2022 年的 spring 框架漏洞攻击,越来越多的组织和政府意识到软件供应链安全的重要性。SBOM 已经成为了安全业界公认的遏制软件供应链风 险的最佳方案之一,SBOM 的推广应用可以增强软件供应链的可见性,极大地便利软件组件溯源、软件产品依赖关系梳理、已知漏洞的影响范围判断、及时发现恶意软件渗透等,从而有力支撑软件供应链相关监管政策规则的落地实施。
03、RASP 与 IAST 技术实现一体化
实现 RASP 技术与 IAST 技术一体化的新思路逐渐展露头角,各大安全厂商也纷纷跟进研究,由于 RASP 与 IAST 同样都使用了插桩技术,由此可以实现将 IAST 技术与 RASP 技术使用同一插桩探针,通过插桩来记录应用程序运行时的堆栈数据,分析应用程序健康度。即在测试阶段采用 IAST 插桩探针的检测功能,在应用上线后自动开启 RASP 功能,启动探针的安全防护功能,主要针对测试阶段检测到的没来得及修复的且 不影响应用程序正常运行的安全漏洞进行精准防护,实现运行时自我保护机制。
京公网安备 11010802033237号
