近两年来,在Log4j2.x漏洞和SolarWinds Orion供应链攻击事件的进一步推动下,软件供应链安全治理与运营以及DevSecOps敏捷安全体系落地的理念得以深入人心,提高对数字化应用安全性的重视已成为行业共识。
但在用户侧,应该采用何种方法来应对云原生时代下复杂多元的软件供应链威胁?需要从哪一步开始建设DevSecOps?到底如何选择适合自己的安全产品和服务?信息化建设程度不同的企业在DevSecOps建设上该如何侧重?这一系列用户关心的问题也亟待解答。
悬镜安全作为国内最早投身软件供应链领域的安全企业,近期应安全419特邀,参与其软件供应链安全解决方案系列专访,分享自身前沿观点、创新技术和最佳实践,旨在为企业组织更好应对软件供应链面临的风险与挑战提供参考借鉴。
在专访中,悬镜安全CTO宁戈围绕当前用户在软件供应链安全方面的痛点和悬镜第三代DevSecOps智适应威胁管理体系分享了敏锐的洞察和前瞻性思考。
云原生时代数字化应用面临的风险与挑战加剧
在数字经济时代,“随着容器、微服务等新技术的快速迭代,开源软件已成为业界主流形态,开源和云原生时代的到来导致软件供应链越来越趋于复杂化和多样化,网络攻击者开始采用软件供应链攻击作为击破关键基础设施的的重要突破口,从而导致软件供应链的安全风险日益增加。”(摘自悬镜安全创始人子芽的专业著作《DevSecOps敏捷安全》)
悬镜安全从云原生时代软件供应链技术的跃迁式演进中总结出了四个新的变化:
●新制品:软件成分从早期的闭源转变为混源再到开源主导;
●新发布:开发过程从传统的瀑布式演进到敏捷再到DevOps研运一体化;
●新技术:数字化应用架构从早期的单体应用发展为SOA(面向服务的架构)再到微服务;
●新环境:数字化基础设施从传统的IDC物理机跨越到虚拟化再到容器化。
图1 云原生时代软件供应链技术的跃迁式演进
正是这四个新变化,不断驱动着云原生安全的发展,也使得软件供应链安全风险面有一定的延展,增加了镜像风险、微服务风险、运行风险、基础设施风险和网络安全风险这五类安全威胁,进而促使DevSecOps成为云安全发展中的变革型技术。
宁戈在采访中谈到,经过在DevSecOps领域多年的创新研究和实践,悬镜安全已经通过IAST和动态插桩技术较好地解决了过去白盒测试和漏洞扫描在微服务RPC协议方面测试盲区的问题,帮助用户持续地追踪应用内数据的调用关系,对每一个漏洞触发点的上下游调用过程加以监测,大大提升了应用安全测试的效率。
同时悬镜安全也注意到,软件供应链安全正在成为用户普遍面临的痛点。近年来,里程碑式的软件供应链攻击事件频发,从2014年的心脏滴血漏洞即开源软件漏洞,到2015年Xcode开发工具被污染,再到去年年末的Log4j2.x开源框架漏洞,在此之间还有厂商预留后门、升级劫持、恶意程序等不同类型的软件供应链攻击事件接连发生。
尤其在云原生场景下,开源组件的引入在加快软件研发效率的同时,也将开源安全问题引入了整个软件供应链。开源治理已经成为了企业用户重点关切的难题。
宁戈表示,当前在SCA软件成分分析方面,用户的视角下会比较关注两个问题:首先,SCA产品检测到了大量的开源组件漏洞,并告知目前潜在的安全风险,但在资源有限的情况下,怎样判断哪些漏洞是真实有效的?哪些风险组件虽然存在,但在实际业务中并没有被调用,不会对业务带来实际的影响?其次,在确认漏洞风险后,升级软件版本很大程度上会影响业务,是否有替代性方案暂时规避风险?
围绕当前用户面临的数字化应用安全威胁,悬镜安全凭借多年技术攻关首创专利级代码疫苗技术和下一代积极防御框架,并通过“全流程软件供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系及配套的敏捷安全闭环产品体系、软件供应链安全组件化服务,已帮助金融、车联网、泛互联网、能源等行业上千家用户构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。
图2 悬镜第三代DevSecOps智适应威胁管理体系
以“单探针”打造漏洞检测与防御闭环
早前,悬镜安全创始人子芽在安全419的一次专访中,谈及未来规划时,袒露了自己的一个憧憬:未来希望能够将悬镜的产品完全放置到用户应用环境中,一方面通过IAST帮助用户高精度地检测出漏洞,另一方面也希望能够同时利用自动化手段帮助用户将漏洞直接修复,从而全面解决漏洞给用户带来的安全问题。
宁戈向采访者透露,子芽的这一个目标已经实现。“单探针”是悬镜安全的一大创新举措,悬镜将运行时应用风险检测技术IAST和运行时应用风险防御技术RASP通过单探针进行了深度整合。基于运行时的单探针,既能够在开发测试环节里通过IAST对应用安全风险进行检测,又能够在部署和运营环节通过RASP实现应用风险自免疫。简而言之,“悬镜通过IAST检测到当前的漏洞是由哪一个函数触发的,然后通过RASP下发一个热补丁直接进行修复。”
同时,利用单探针的深度融合,代码疫苗技术不仅能在开发测试环节进行交互式的应用安全风险审查,还能够发现数字化应用自身API的安全风险和缺陷,更有效地解决运行时API中敏感数据流动的追踪问题,基于动态插桩技术在应用内部梳理API相关的函数调用,最终实现API层面的安全防护。
针对上述开源治理的用户痛点,这一套“单探针”策略和积极防御框架已在各行业用户的场景中得到了实战检验和高效落地。
具体而言,悬镜安全将第三代DevSecOps智适应威胁管理体系中的源鉴OSS、灵脉IAST和云鲨RASP三大产品进行了深度的联动。首先,悬镜会帮助用户通过SCA软件成分分析和SBOM软件物料清单检测并梳理出数字化应用所涉及的第三方组件,进而基于运行时探针插桩技术识别相关组件是否在使用,判断是否存在漏洞,最终再通过RASP来完成自动化的热补丁修复,实现数字化应用的运行时风险免疫,并为用户提供一整套软件供应链安全组件化的闭环服务。
由点及面,贯穿数字化应用全生命周期
“单探针”策略和积极防御框架的成功应用,实际上离不开悬镜安全在探针技术方面的研发投入和技术优越性。作为国内最早扎根在软件供应链安全领域的专精型厂商,悬镜安全在DevSecOps理念诞生早期就已经在探针技术的研发方面投入了大量的精力,至今已经将探针技术发展成为了自身一大技术优势和壁垒。
宁戈谈到:“IAST、SCA和RASP这些技术底层实际上相对透明,国内外厂商都是在其上打磨更多不同的解决方案。但探针技术是比较依赖长期的投入和积累,如果没有经过足够多的锤炼和场景验证,必然会在兼容性和性能影响等层面栽跟头。想要在数字化应用全生命周期解决安全问题,包括漏洞的检测响应、SCA开源组件治理乃至生成SBOM软件物料清单,一切都需要依赖探针技术来实现。”
对采访者谈及这套“单探针”策略和积极防御框架的优势时,宁戈认为最突出的一点是“用户友好”。
他表示,第一个用户友好表现在轻量化层面。最大限度减少在应用侧反复安装安全探针的动作,降低了对开发团队的影响。对开发安全乃至整个大安全而言,探针往往是决定能否采集到高质量数据的关键影响因子,但无论在主机、云还是应用侧,如果埋下过多的安全探针肯定会让用户有所抵触,甚至还可能会影响到业务的稳定运行。因此悬镜安全选择了“单探针”的技术路径。
“开发阶段提前在数字化应用的容器环境中埋下IAST探针,辅助开发团队将安全左移,在开发过程中提前发现潜在漏洞风险,随后应用在发布时,会携带探针一同打包上线,而应用上线后,伴生在应用中的探针就可以顺势转为RASP探针,扮演好积极防御的角色,相当于只需一次安装动作,就能够使探针伴随应用全生命周期,解决从开发、测试到运营每一个环节的安全问题。”
第二个用户友好表现在漏洞响应层面。依赖于单探针带来的进阶版IAST和RASP的双重联动能力,假设通过IAST在应用上线前发现漏洞,而应用因着急上线导致漏洞不方便修复的场景下,也能够通过RASP以热补丁的方式一键自动修复漏洞,在应用快速上线的同时提供可靠的安全保障。
第三个用户友好表现在性能层面。一方面悬镜安全通过自研的独特技术路径规避了业内惯用的反射技术路线,将整套安全产品体系的整体性能优化到了APM级别,最大程度减少了工具对于性能的侵蚀。另一方面悬镜安全在业内率先将熔断机制引入到IAST和RASP产品中,实时监测CPU、内存、QPS等指标,本着业务优先原则,当业务流量大时,悬镜的安全产品会根据熔断机制进行综合判断,做出降级处理;当业务流量超过阈值时,产品甚至会自动卸载,尽可能地为业务做出让渡。
第四个用户友好表现在DevOps生态层面。悬镜安全已经同DevOps厂商、中间件等信创厂商形成了战略级的上下游合作关系,将自身产品柔和地集成到DevOps平台以及中间件等设备中,保证用户能够以安全无缝接入的形式得到更全面更友好的产品体验。
持续为各行业不同用户场景输出安全能力
正如上文提到,作为DevSecOps软件供应链领域的头部厂商,悬镜安全通过第三代DevSecOps智适应管理体系,正持续帮助金融、车联网、泛互联网、能源等行业用户构筑起与自身相适配的内生积极防御体系。
针对当前信息化建设较为完善、云原生和微服务普及度较高的金融、泛互联网、能源等行业,悬镜安全已经逐步将IAST、SCA、RASP等产品体系化地集成到用户的数字化应用开发流水线中,并基于悬镜在DevSecOps软件供应链安全领域的全栈能力,与用户联合打造下一代DevSecOps敏捷安全体系。
针对部分信息化建设程度稍弱的行业用户和组织,悬镜安全目前也已经摸索出一套SaaS化安全订阅的服务模式,以IAST、SCA等单个工具为抓手,从安全诊断开始逐步帮助用户将安全左移,引导用户去做早期的安全防护,通过安全开发赋能平台以及咨询服务,将整个DevSecOps体系逐步建立起来。
针对安全团队建制完善或是开发能力较强的大型企业用户,悬镜安全提出了“用开源的方式做开源风险治理”,将自身商业版SCA产品源鉴OSS开源威胁管控平台进行了开源并持续迭代,在做商业化运营的同时也为开源生态建设贡献出了自己力量,长期大量投入人力、物力、资源等,与社区伙伴们一同维护OpenSCA社区,共筑开源安全生态。
值得一提的是,日前,在由中国信通院发布的《中国DevOps现状调查报告(2022)》中,统计数据显示,悬镜安全全线产品市场应用率均位列第一,领跑软件供应链安全市场。
宁戈也向采访者透露,包括中国人民银行、中国银联、中国银行、中国工商银行、浦发银行、平安集团、上海证券交易所、北京大学、中兴通讯、中国工程物理研究院、小鹏汽车、东风日产、长安汽车、中国汽车研究院、南方航空、顺丰速运、唯品会等大型组织和知名企业都已成为了悬镜安全的标杆用户。
做软件供应链安全领域的长期主义者
在采访的最后,宁戈向安全419的采访者分享了悬镜安全的未来愿景。他认为,从成立至今,悬镜安全在技术层面、在公司战略层面始终专注于DevSecOps软件供应链安全领域,足够的聚焦也让悬镜安全对自身所处领域拥有行业领先的深入理解。
图3 悬镜DevSecOps敏捷安全技术金字塔2.0版本
宁戈表示,作为DevSecOps软件供应链安全领域的长期主义者,悬镜安全将持续深耕该赛道,坚持技术创新应用,保持自身产品在同类工具中的巨大技术领先优势和市场领先优势,继续探索各行业最佳实践,为更多用户提供更专业的产品和服务支撑。同时悬镜安全也会继续举办DevSecOps敏捷安全大会,不断迭代DevSecOps敏捷安全技术金字塔等前沿研究成果,持续将洞察到的环境变化态势、技术演进趋势和产业变革方向向业界分享,做中国软件供应链安全的坚定守护者。