中国IDC圈讯 12月11日-13日,由中国IDC产业年度大典组委会主办,中国IDC圈、CloudBest承办的以“赋能企业数字化转型”为主题的第十三届中国IDC产业年度大典(简称“IDCC2018”)在北京国家会议中心隆重召开。
13日上午,IDCC2018分论坛智能运维安全论坛正式召开!本次论坛由威客安全和中国IDC圈承办,汇聚了来自来自运营商、互联网、数据中心、云计算等多领域多行业的企业高管、嘉宾、媒体等。与会嘉宾们在大典现场,共话数字经济时代,聚焦数据安全问题,探讨智能化与可视化运维的新方向与新趋势。
会上,开源网安CSO,安徽区域Leader的夏天泽先生,为大家带来《DevSecOps场景下自动化安全测试二三事》的主题演讲。以下为演讲实录(未经本人核实):
感谢大家,前面几位专家说的是让我个人受益匪浅的东西,今天我讲的稍微有点跨界,稍微轻松一点,尽量用比较轻松的方式跟大家分享我的一些想法。
我是夏天泽,我们公司叫开源网安,我个人是安徽区域的负责人。我想跟大家达到一个共识,我这个话题重点在聊什么,主要是应用安全的问题。应用安全包括什么?自研软件的安全,如果我们厂商是软件厂商,交付的产品,代码是我自己写的。前面有几位银行的负责人,银行运维阶段,把不同厂商的产品运行在我们自己内部的环境上,这个应用本身,这个软件本身,这个平台本身,是不是安全的?对应到我们个人来说,我想保持健康的饮食、适当的运动,这是我们每个人可以自己控制的,这是个人生活,健康安全。对于应用安全来说,因为代码是你写的,你要保证这个东西是安全的,如果你采用别人的产品,在你的环境里运行,要保证产品本身是安全的。我可以在外面做一些保护的措施,保护的东西,但是被保护的对象本身的脆弱性,如果用了很多盔甲给包起来,但是本身就是一个鸡蛋壳,本身很脆弱,保护得再好意义也不是很大,我们要把鸡蛋壳本身做得安全,不再是鸡蛋壳,可能是铁做的东西。
我们说到场景,前一两年经常有这种情况,我们做软件产品开发的时候,测试人员经常抱怨,谁在动我的测试服务器?你们自己搭一个,这个功能你们开发好了吗?在我们的测试环境部署了麻烦?谁在用我们的账号?招呼都不打,我要用,赶紧退出来!
产生这种问题的主要原因,没有DevOps之前,大家可以看到有很多的团队,有很多流程,大概是这样的,对应的环境开发的测试环境,测试环境等等,对于我们成熟度很高的企业来说这不是问题,但是对于互联网公司,或者中小型企业来说,这本身就有很大的问题。不同的环境,是由不同团队负责维护的。经常出现什么问题?不是Bug,是环境问题,要解决这个问题。DevOps的概念就不详细讲了,大家都是专家,大家都了解,DevOps就是解决了环境不统一,不知道每个环境有什么版本的问题。有了DevOps之后就产生了新的问题,程序员开始抱怨,你知不知道产品明天就要发布了,你提的这个高危漏洞至少需要改2天。开发改了,我们又要回归测试了。DevOps把各个部门之间的壁垒给打通了,现在互联网企业把运营安全团队和运维安全团队放在一起,是这样的一个状况,DevOps是很美好的东西。
这是Gartner的统计报告,同样的问题问不同的人,你认不认为安全组把部署环境,或者开发的速度在拖慢呢?我们如果去问安全人员,他们说70%安全会拖慢的。我们同样的问题去问开发人员,他们是81%。说明无论是开发,部署,还是交付流程,都会拖慢。敏捷开发,专家也说了,我们对于特定应用来说,每两周就要进行上线,对于大的企业来说,三四百个应用是很重要的,每天有很多应用上线,你的速度不行怎么办?安全又会影响速度。DevSecOps,我跟美国同事聊了一下,他们说DevSecOps是由安全人员提出的,还有一种说法是SecDevOps安全要领先于DevOps。
对于不同的角色来说,侧重点是不一样的,对于开发者来说,缺乏安全意识。在中国,当然在美国也是这样,你想找到懂安全的开发,把应用做到安全,一定是在设计阶段,开发阶段,就把相应的安全想法和安全实施做进去,但是遇到一些不懂安全的开发,没有安全意识,怎么把产品做到安全?你报了3个高危的安全问题,10个中危的安全问题,我怎么办,基于市场的压力可能会妥协。但是传统来说,认为安全的事情就是安全团队的事情,缺乏应用安全的专才,现在中国的安全团队是做运维比较多一些,想往应用内部的时候缺乏相应的经验。
我在这里提出一个解决方案,我不想说产品,我想说技术,这个也是Gartner提出来的技术,SAST技术和DAST技术,SAST是扫代码的,对于静态的源码进行分析,这一页说的是哲学概念,对一个东西进行检测怎么检测得好,一定是看到的层面越多,检测得越好。就像我们去医院,我们做CT,看的信息非常多,还是传统中医,一定是CT更全面,从看到数据层面的角度来说,我们认为CT是比较全面的,可以准确定位到人有什么问题。我们做软件安全,做产品安全的时候,我们看到的维度越多越好。SAST只能看到源代码,DASA通过模拟攻击,对攻击的响应信息进行检测。IAST,Gartner预测到2019年市场的采用率会达到30%,当然他说的是北美市场,按照我个人的经验来看,中国的市场还会有一到两年的时间差,大概2020年的时候基于技术产生的产品在中国的市场占有率也能达到30%,这是蛮高的一个水平。这是什么样的想法呢?运行的各个层面插了很多桩,可以理解成传感器,通过传感器采集信息是应用程序在运行过程中的信息,是数据流信息,整套数据流通过这些传感器给抓取下来。传统的SAST是静态数据流,DAST是请求的,IAST因为是运营过程中,看所有的数据流,还有第三方的软件。我们现在做软件一般来说只有30%的代码是自己写的,剩下70%代码往往都是加解密,都有现成的,为什么要自己做?这些代码都是用第三方。运行过程中肯定要跟配制有关,配制信息是有关的,跟DB去交互和连接也是有的。从哲学角度来说,IAST技术的产品看到的数据流,看到的方面比完善于前两个。
安全这个东西不是你们一家在用,全世界都在用,被广泛使用的东西,对它的研究越来越多,一旦发现小问题,你还没有反映过来,攻击代码就已经出来了,一旦使用了大量的第三方软件就面临着这样的威胁。对于安全人员来说,完全不知道第三方代码是怎么来的,如果用比较规范的引用方式,还可能通过人工的方式或者自动化的方式建立软件成分资产,这个软件里面有多少第三方库,第三方是什么样的版本,现在是什么状况。
这是开源软件安全分析报告,应用程序中开源软件代码占的平均百分比是35%,公司使用的开源软件数量比原计划增加的倍数是2倍,平均每个应用含有的开源软件安全漏洞是22.5个。
解决方案,IASA对于第三方检测是可以支持的。对于SAST来说,可能没有给你源代码怎么扫?DAST更是这个问题了,Gartner认为IAST是下一代的检测技术,在理论上具有全面性的优势。IAST技术不是扫描技术,不需要专门去做安全检测,产品本身功能性措施肯定是要做的,看到你的数据流,同时把安全测试去做了,这是零时间成本,对新做的功能,功能测试越多,安全测试就越多。测试的覆盖度,只要部署在测试环境里面就不用管了,不用安排人员去测试了,一切都是自动完成的,希望能够达到理想的状态。
希望有兴趣的朋友可以找我聊,感谢大家!
热门专题
