4月7日,由北京网络安全大会(BCS)主办、中国信通院云大所作为合作单位的RSAC主题分享万人峰会DevSecOps论坛在线上召开。
悬镜安全CEO子芽作为受邀嘉宾,在本场分论坛中分享了以《从RSAC看DevSecOps的进化与落地思考》为题的演讲。
以下为演讲内容概要。
传统的SDL流程主要有需求分析,架构设计,编码实现,测试,上线,运营等关键环节。
但在该流程中存在一些安全问题,主要包括:
1.业务先上线,安全问题后补救。
即大部分安全精力主要放在项目上线后,也就是运营环节。
2.安全资源有限,传统上线安全手段限制业务敏捷交付。
版本迭代速度快,业务数量多,传统的安全手段会制约业务的交付。
针对这些问题,子芽就近几年DevSecOps战略框架的发展进行系统梳理,并分享悬镜安全这些年探索的落地实践方案。
DevSecOps是一套基于DevOps敏捷开发和持续运营的全新IT安全实践战略框架,更加强调自动化和持续的反馈。
核心理念为:安全是整个IT团队所有成员的责任,需要贯穿整个业务生命周期的每一个环节。
2012年,最早由Gartner研究员David Cearley首次提出,2016年9月,Gartner发布研究报告《DevSecOps:How to Seamlessly Integrate Security into DevOps》,业内首次对该模型及配套解决方案进行了详细的分析。
2017年,RSAC大会上提出了左移安全的思想,核心主要包括两点:在源头做安全治理,由运营向开发的持续反馈调整。
2018年,RSAC为了推动DevSecOps更好地落地,提出了:Golden Pipeline“黄金管道”,其核心是包括SCA,IAST,RASP等关键技术工具链的实践落地。
2019年,RSAC在2018年的基础上建立了更加准确的度量机制,主要从6个阶段,9个实践点来进行有效的度量,同时辅助企业进行DevSecOps的转型。
2020年,RSAC主要聚焦在文化和人为因素。在DevSecOps文化的转型中,人是关键因素。因此应让人成为安全的一环,而非问题的一环。
在DevSecOps的演进过程中,“黄金管道”起着举足轻重的支撑作用。“黄金管道”可以安全地被CI/CD工具集成,也可以敏捷地辅助企业落地DevSecOps。其核心包括四大关键工具链技术。
1. AST应用安全测试:主要包括白盒,黑盒,和新一代的灰盒安全测试技术。
2. SCA第三方组件成分分析,或称OSS成分分析。
3. RASP运行时应用自我保护,与IAST有技术相通点。
4. 红蓝对抗和SRC。
在DevSecOps实践过程中的一些关键角色,核心包括三大方面,技术,流程和文化。技术方面,更多提倡的是API的服务化与自动化。流程方面,提倡针对当前的政企体系以及现有平台接入时,尽量以融合、低侵入的方式进行。在文化方面,提倡安全前置。避免传统观念中的“业务发展优先,安全后做补救”。安全是大家的事情,不仅仅是安全团队的工作,我们需要拥抱变化。
应用基础设施安全
相比运营安全,开发安全中特别要考虑的是应用基础设施的安全,例如镜像安全和API安全等,API安全包括:API自动化识别,API的管理,API的权限控制,API异常行为的监测等很多方面。应用基础设施安全将会成为新发展方向。
AST技术融合
重点是对白盒、灰盒及黑盒安全测试技术的深度融合。例如利用白盒的一些技术优势来指导灰盒进行漏洞的检出,最后通过黑盒来进行验证,发挥各种测试技术的优势,在检测精度和覆盖度上达到质的提升。运用各种手段进行编排,对不同的检测方式进行整合。
基于CARTA的漏洞管理
着重基于Gartner的CARTA模型的漏洞管理。悬镜提倡对各个阶段检测出的漏洞,进行整合关联分析并与现有的业务价值进行关联,从而综合评价并识别出漏洞的优先级,提出更为合理高效的治理措施。
在威胁建模阶段,悬镜安全推出了一款融合悬镜DevSecOps持续威胁管理思想的S-SDLC全流程安全开发赋能平台产品——“悬镜夫子”。产品核心定位是从SDLC源头开始将专家团队的安全能力,持续赋能给传统IT项目人员,使安全思想注入SDLC全生命周期,帮助企业组织流程化、自动化、持续化地保障业务安全。“悬镜夫子”不仅聚焦于项目研发早期的威胁建模,还重点解决当下软件应用漏洞管理中普遍存在的核心痛点问题,即漏洞发现能力孤立、漏洞管理难闭环、开发流程难管控等。
在威胁建模阶段,我们推出了“悬镜夫子”。这款产品可以帮助用户做轻量级的威胁建模,将安全专家经验和甲方场景相结合,在实际中也需要调查问卷的辅助。除此之外,夫子还可以完成全流程的漏洞管理。
在威胁发现阶段,我们有应用了灰盒安全测试技术的“悬镜灵脉IAST”。灰盒安全检测技术的优点:一是检测精度高,接近零误报;二是提供详细的修复线索,对开发人员的修复漏洞工作更加友好且易实践。
在威胁模拟阶段,主要检验现有的防御措施是否有效。并辅助安全专家进行更深入的安全测试和攻防演练。核心的支撑产品为“悬镜灵脉PTE”。
在检测响应阶段,对现有的业务资产被拿下,被渗透的情形,我们需要有一些行之有效的监测手段,悬镜云卫士是一款EDR产品,主要检测一些主机级的异常行为。
在悬镜DevSecOps智适应威胁管理体系之中,为了满足客户的使用场景,我们也较好地和甲方及第三方平台像JIRA, Confluence做了支持和嵌入。
围绕DevSecOps工具链模型,在每个环节里面,我们嵌入了配套的工具和服务。以适应阶段为例说明,首先是安全方案的持续改进:例如在运营阶段发现基于DOCKER的业务漏洞被利用,意味着前期上线前我们需要做容器镜像的漏洞扫描和治理。金融行业业务经常爆出业务逻辑漏洞,那么在威胁建模、编码、检测阶段,可以应用悬镜灵脉完成对业务逻辑漏洞的检测。纵深防御持续调整在开发和运营阶段的闭环中较为多见。
安全是一门平衡的艺术
安全的本质是风险和信任的平衡。相对于修复所有漏洞,不如关注更有价值的漏洞。安全工作需要排定优先级,例如在产品上线前修复系统中90%的中高危漏洞,允许部分低危漏洞流转到上线之后。另外,拥抱变化是安全建设的基石。组织的发展是一个从小到大的过程,安全需求也是动态变化的。
攻防对抗是安全的脉搏
红蓝对抗、攻防演练是检验现有安全手段最直接有效的手段。在护网行动和攻防演练上,悬镜安全有相当多的积累。
人是安全的基本尺度
本届RSAC以Human Element为主题,早先的大会上也提到人是安全的尺度。核心是从源头做安全治理,从SDL向DevSecOps转型的过程中,文化是最难解决的部分,它的核心是人。需要让人成为安全建设的一环,而不是安全问题的一环。
由于时间的限制,分享的内容无法全面展开,如果您在阅读本文时,对某一块有疑问或者感兴趣,也可以联系我们。