本次分享共分為三個部分,一是IAST技術的介紹,二是懸鏡IAST灰盒安全測試產品的特點,三是懸鏡IAST灰盒安全測試產品在客戶實際場景中的一些落地。
一、IAST簡介
IAST交互式應用程序安全測試,是由在2012年提出的一種新型運行時應用安全測試方案。它同時規避了黑盒安全掃描DAST和白盒代碼審計技術的主要技術缺陷,通過輕量級的微探針技術,使得它在具有黑盒流量的同時,也能獲得白盒的精準代碼行定位。
IAST之所以被用戶認同,來源于的興起。正式提出了黃金管道的概念,特別強調了自動化工具在CI/CD中的作用,AST應用安全測試就是其中的關鍵工具鏈技術之一,包括了DAST、SAST還有IAST等。
對比三種測試技術,DAST黑盒的誤報率低,使用成本低,可發現配置、運維、運行時層面漏洞。但是由于其采用模擬攻擊行為的方式,所以會具有一定的臟數據和大流量,容易對正常測試造成干擾,且無法深入定位到代碼行。
SAST白盒的優點是可以在開發環節就快速定位漏洞。但缺點是掃描時間長,誤報率高,迫使企業花費更多的時間消除誤報,使用成本高。
IAST灰盒通過服務端部署微探針的方式,在過濾流量的同時,精準定位漏洞的代碼文件、代碼行、函數以及參數等。實際上IAST灰盒是DAST和SAST優勢的結合,既不會造成臟數據,還可以將結果與業務測試同步出來。
二、懸鏡IAST灰盒安全測試產品介紹
靈脈IAST,是懸鏡安全旗下的IAST灰盒安全測試產品。
它主要有三個特點:
1.將RNN深度學習算法與IAST技術結合,能夠快速幫助用戶建立內部安全眾測平臺;
2.通過主動和被動兩種插樁模式結合,降低誤報;
3.可以通過多種流量采集模式覆蓋更多的場景。
也就是說,靈脈IAST結合了主動插樁、被動插樁、旁路流量鏡像、主機流量嗅探、流量代理/VPN以及實時的Web日志分析,可以達到低門檻、低侵入、低消耗的基本要求。
主動插樁是通過Agent把流量進行初步分析后,將流量發送到掃描控制端,結合對數據流量重放。優點是精度更高,更易于指導研發修復,且支持漏洞利用、漏洞復現;但缺點是難以處理簽名加密接口,且流量的重放會產生一定的臟數據。不過我們可以基于插樁的原理,在關鍵步驟進行阻斷,以防止臟數據的出現。
被動插樁采用動態污點追蹤技術,對所有變量打上污點標記,可知污點標記在傳播過程中經歷了哪些函數,結合Agent獲取到的請求,判斷是否有漏洞存在。優點是不需要進行數據重放,沒有臟數據,可處理簽名、加密接口,更適合敏捷開發;但漏報率會略有上升。
流量的采集主要有兩種方式:一是交換機的端口鏡像功能,二是在目標主機上安裝嗅探探針。通過這兩種方式采集流量發送到掃描控制端,再結合對數據進行重放。這兩種方式適用于測試目標或部門之間存在隔離,無法清晰了解測試資產的場景,通過在網絡出口旁路部署流量鏡像,可以透明無感知接入。
代理是在測試前在瀏覽器上配置代理,VPN則是在客戶端上配置相應的VPN,這兩種方式都是將流量采集后結合進行數據重放。這種方案適合于測試小白,對一個簡單的網站或是一項業務進行安全測試。
三、懸鏡IAST灰盒安全測試產品落地場景
場景1:研發模式(插樁模式、代理/VPN檢測模式)
描述:企業研發運維一體化業務開發模式轉型過程中,傳統安全工具阻斷流程,難以接入上線前安全測試。
適配方案:將IAST插樁模式、代理/VPN檢測模式,嵌入對應的流水線流程中。整個流程十幾分鐘,結合自動化測試用例覆蓋應用業務,完成安全測試獲取測試結果。
將檢測結果同步返回到客戶內部的跟蹤管理平臺,設置相應的質量閾或質量紅線如何做好軟件安全測試,可以作為一款產品從發布到生產環節前的質量門檻來判斷其是否符合安全的需求。
場景2:非自研發業務系統環境(流量鏡像模式、縱深嗅探模式)
描述:企業系統包括第三開發、自研應用系統等,各資產難以梳理,無法準確掌握網絡環境內具體應用資產信息,不能有效的保證安全測試覆蓋業務。
適配方案:使用IAST流量鏡像檢測模式,透明旁路部署,獲取交換機中用戶對業務系統發起的訪問流量。從而在梳理業務系統資產的同時,持續進行漏洞挖掘,保障業務安全。
因為可以在這個過程中獲取備份流量,因此便可將這部分流量作為檢測數據,達到不干擾正常業務測試的目的。
我認為,一款優秀的IAST產品應當具備以下幾個能力:
1、優秀的漏洞檢出率和誤報率;
2、能夠覆蓋全面的場景;
3、高漏洞覆蓋率,并且可以靈活自動化地安裝,與第三方平臺很好地結合。
懸鏡智適應威脅管理體系目前針對安全開發、運營的每一個階段進行了全覆蓋。從威脅建模、開源治理、威脅發現、威脅模擬以及檢測響應五個環節,覆蓋開發、測試、運營過程中的每一個階段,并通過相應的工具組成了工具鏈。
但光有工具鏈還不足以形成完整的體系,所以懸鏡安全強調平臺的建設。在威脅建模環節設置夫子平臺,既可以負責工具鏈的打通,維護安全漏洞的流轉,還可以在此基礎上結合人工和安全服務,形成“工具鏈+平臺+安全服務”的模式,可以使更加合理的落地。
我個人認為,IAST技術比較適合敏捷開發的場景,其流量和代碼行也能協助安全人員快速定位漏洞,符合當前大家所倡導的在敏捷開發環境下安全左移或安全前置的需求。
POC測試之甲方體驗 某人力資源服務企業信息安全 負責人
我們企業此前在被測系統功能點的覆蓋率、漏洞檢測項目的覆蓋率、漏洞的檢出率、誤報率以及檢測效率等方面面臨一些困境和挑戰。
為了解決這些問題,我們采用過商用黑盒掃描器、自研掃描器以及人工測試等方式。但由于黑盒掃描難以自定義攻擊荷載,龐大的請求不符合甲方內部測試環境需求;自研掃描器所需要承擔的人力成本太過龐大;人工測試會受到檢測人員經驗和狀態的影響等,導致這些方式都存在各自的問題。
結合企業重點關注的幾個方面,我們對懸鏡靈脈IAST灰盒安全測試平臺行了測試。從測試結果來看,懸鏡IAST在漏洞檢測類型方面提供的功能還是非常全面的。它同時也給我們提供了一些自定義檢測類型的功能,基本可以解決基礎安全漏洞類型檢測覆蓋率的問題,以及一些特殊系統特殊漏洞類型的檢測問題。
在掃描配置方面,我覺得懸鏡IAST平臺的URL去重功能點非常好。因為通常情況下,甲方的被測服務器都不是特別好,這個功能其實可以有效降低掃描請求的數量。
在掃描模式方面,主被動插樁和代理模式的結合,也給了我們多種選擇。以此次測試為例,考慮到我們公司會有多語言類型、多語言框架類型這種非常復雜的被測環境,所以我們用了它的主被動插樁模式和代理模式進行測試。
插樁模式我們重點關注它的漏洞檢出率、誤報率,還有最終代碼定位的問題。從測試結果上看,漏洞的檢出率和誤報率還都是比較理想的,被測系統也沒有產生過多的臟數據,這對于測試系統的維護人員來說是比較受歡迎的。
同時懸鏡IAST還做了閉環管理,直接在系統里集成了漏洞修復和漏洞復檢功能,能夠讓安全工程師從基礎工作中解放出來,把更多的經歷投入到安全體系建設里。
對于代理掃描模式,我們重點關注了漏洞檢出率以及是否會影響工程師的正常測試工作,結果也是比較理想的,檢出率相較于我們自研的系統也有一定的提升。
從這次測試來看,我認為這種插樁和流量鏡像結合的模式效果應該會更好,也可能是未來風險掃描的一種主流模式。總的來說感覺還是不錯的,幫助我們在檢測效率和漏洞檢出率等方面都有比較顯著的提升,也可以基本上實現我們測試項目標準化的目標。
懸鏡目前是國內支持插樁語言最多的IAST廠商,但由于我們的環境系統非常復雜,語言種類非常多,后續如果在語言種類上支持更多的話,我覺得這款產品會更為出色。
POC測試之大咖點評 數世咨詢創始人 李少鵬
這兩年代碼安全、開發安全、應用安全、軟件安全等概念相關的產品其實是非常火爆的,2019和2020分別有兩家廠商入圍了RSA創新沙盒的十強,國內更是有一批提倡DSO()的初創企業。因此在討論懸鏡ISAT的POC之前,我想先談一談DSO和傳統開發安全的一些區別。
傳統的開發是瀑布流,之后迭代到敏捷開發,但是敏捷開發本質還是瀑布流,所以在我們眼中都屬于SDL。雖然SDL使用的大多工具都可以用于DSO,但實際傳統的開發安全和DSO兩者之間還是有兩點最大的區別的。
一是開發模式。傳統開發安全是固定模式,瀑布流那種階段性流程;DSO是強調CI/CD的,持續集成持續交付,是一種基于動態環境下的開發安全。所以從安全角度來講,傳統開發安全是安全補充的概念,DSO則是安全融合的概念。
根據當前業內的共識,DSO的理念是“安全是無處不在的”,不僅僅是左移,同時也在右移。因此數世的分析師提出了安全平鋪的概念,意思就是在規劃、設計、編碼、測試、上線運行等各個環節都要將安全融入其中,而不是作為補充。
這樣一來DSO最大的落地難點,就是如何把安全進行融合。因為,傳統的開發安全工具其實大多數是可以用到流程中的。
因此我們提出來一個觀點:既然傳統的開發安全工具都能夠在DSO中有自己的價值,那么怎么才能真正形成DSO呢?這一點也是考驗我們所有DSO工具提供商的一大挑戰。
我認為,DSO肯定是方向,但是不同的客戶和應用場景會有不同的需求,所以DSO和SDL兩者會長期并存。讓相關的DSO工具介入平臺是主流;而在未來,平臺會逐漸升級為DSO平臺。
說到這里我們回到今天的主題上,通過廠商和甲方的分享我們可以看出,其實IAST最適合在在動態持續的環境下使用,可以通過插樁和流量兩種方式如何做好軟件安全測試,綜合動態和靜態兩種技術的優勢,同時減少兩種技術的缺點。
但是實際上IAST也有自己的問題,主要是集中在測試環節的使用。因為前面我說了融合平鋪的概念,所以安全就應該貫徹到開發測試的任何一個環節里。基于以上的原因,我認為IAST技術最終還是要在多個環節取得效果的。
從此次懸鏡IAST的POC報告來看,交付部分6項全部滿足需求,評價也不錯;功能有5項滿足需求,有一項受到業務場景限制沒有檢測。除此以外,威脅發現在報告里沒有體現,但從一篇行業文章里可以得知,懸鏡IAST的威脅發現率達到了90%,高于人工的85%。
通過這次對懸鏡IAST的POC測試,我總結出它的幾個優點。其中我最認可的就是應用場景比較全,插樁和流量的結合確實彌補了很多缺點。同時流量鏡像在代碼安全當中是非常主流也是非常受到關注的事情,因此結合上述所講的技術核心點、應用場景,以及對的理解,我認為懸鏡IAST是能夠結合現有的流程的。
前面我一直強調傳統開發和DSO的區別,有了這個區別之后,如果想要并存,對于有DSO場景和需求的企業來說,誰能夠更好地結合現有的流程,誰就能有先發的技術壁壘和優勢,才能夠幫助甲方用戶構建新型的DSO開發流程。
最后我建議我們的POC可以更加關注檢測效果。同時對于懸鏡IAST在DSO領域目前的品牌、市場、技術積累等方面,我們數世咨詢也是非常認可的。