诸子云 | 活动:5.28南京开发与软件供应链安全主题沙龙
网络产品和服务供应链安全风险在当前日趋严峻的网络安全形势下日显突出,一旦出现问题会给关键信息基础设施带来严重危害。党中央和国务院高度重视关键信息基础设施的供应链安全,习近平总书记曾经指出:“供应链的‘命门’掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。”
而对于绝大多数企业、组织来说,供应链可能庞大而复杂,涉及许多供应商做着许多不同的事情。因此,有效地保护供应链可能会很困难,因为漏洞或许是固有的,会在供应链的任意一点上被人引入、利用,所以在这样的环境下,脆弱的供应链便会造成系统业务的损害和中断。
基于此,5月28日诸子云南京分会举办了“开发与软件供应链安全”的主题沙龙。现场专家从供应链风险识别与控制到供应链安全治理都做了详细的解读,只为助力供应链安全高效发展。
本次主题沙龙由诸子云南京分会主办,会长宋士明担任主持。活动有幸邀请南京苏宁金融、正大天晴、苏宁易购、南瑞、中通服、紫金保险、南京欣网互联网科技有限公司、天合光能、Zte、南京证券、港口集团科技公司、江苏省联合征信有限公司、江苏银承网络科技股份有限公司、江苏新视云、浩鲸云技术科技股份有限公司、鼎捷软件等企业的安全专家参与。
庄飞 某金融企业应用安全团队负责人"
实战攻防中遇到的很多安全问题根源都在软件的应用层,比如高危框架或中间件、第三方开源组件漏洞、业务逻辑问题、未安全编码、安全配置错误、敏感数据保护不足、设计不当等,而解决这些问题,则需要从软件开发早期阶段进行介入,即“安全左移”,从源头管控安全风险。
为了实现软件安全开发全生命周期管理,需要建立体系化的开发安全能力框架,开发安全能力框架由管理、技术及运营体系组成:安全管理体系,包含组织人员、制度标准、安全培训等;安全技术体系,包含技术规范、安全流程、安全工具链建设、安全产品研发等;安全运营体系,包含漏洞运营、SDL运营、安全度量等。
系统上线前,都需经过安全评估。安全评估流程主要活动有轻量级威胁建模、架构评审、安全设计、源代码安全扫描、开源组件安全扫描、黑盒安全扫描、交互式安全测试、渗透测试、安全基线检测、剩余风险评级与接收等。
对于开发安全而言,需要关注产品相关的所有技术领域,识别风险并提供安全解决方案,如web安全、移动安全、云原生安全、供应链安全、AI安全、大数据安全等。比如容器安全,需要对容器进行全生命周期安全管理,对基础镜像进行入库扫描,构建时在DevOps平台中集成容器镜像安全扫描,对容器以及K8S定制安全配置基线,生产环境中通过容器安全平台实现微隔离、可信容器管控、运行时安全防护、威胁检测等。
为了提升安全评估效能,自研了三叉戟SDL全流程赋能平台,赋能项目组自助进行评估,平台主要功能有轻量级威胁建模、自动化安全测试、漏洞管理等。
对于企业来说,需要时刻关注自身的攻击面,实时感知应用系统的安全风险状况,因此需要构建应用系统安全风险洞察系统,基于资产、情报、漏洞、运行环境等风险要素,对应用系统进行安全风险画像,通过风险分析、权重分配等算法,计算出整个应用系统的风险评分,定量的呈现应用系统的风险状态。
对于开发安全,为了进行安全运营。开发安全运营包括应用系统漏洞闭环运营、项目安全评估运营、安全测试工具能力提升运营、软件安全成熟度评估等。通过运营,发现开发安全存在的问题,如安全评估覆盖率低、安全测试工具误报率高等,制定计划进行优化,持续提升开发安全能力成熟度。
韩继 默安科技云安全业务架构师&技术总监"
网络运营者应加强网络运维管理,因业务需要确需通过互联网远程运维的,应进行评估论证,并采取相应的管控措施。网络运营者应采购、使用符合国家法律法规和有关标准规范要求的网络产品及服务,第三级以上网络运营者应积极应用安全可信的网络产品及服务。
软件供应链风险面的不断增加,如IDE插件投毒、代码仓库风险、CI/CD平台缺陷、代码漏洞、三方组件与基础环境等风险。
根据软件供应链的特点,软件供应链的业务流程可以抽象成开发、交付以及应用三个环节,分为供应链引入环节、软件生产环节、软件应用环节。
对于软件供应链安全治理方案,得从源头解决软件供应链的输入,比如需要STAC威胁建模平台提前将开发、测试等报告生成好。再比如需要SCA对组件安全管理,快速定位组件位置,对业界突发的组件漏洞进行快速定位和管理,其中包含了私库拉取公库组件时通过SCA安全策略对组件进行检测,保障私库的持续可信;开发人员向私库添加组件,首先通过SCA扫描报备安全人员,维护安全策略然后进行组件添加等。
其中,联动STAC通过SCA在开发阶段对威胁建模安全要求进行验证,通过虚拟库、质量门实现三方组件的准入策略,通过IDE插件、模拟构建实现开发侧的安全检测与私有组件的依赖分析。
而在开发测试阶段还可以通过代码审计、安全测试等方式保障应用的安全,这一侧属于代码安全。同时结合相关工具实现与STAC威胁建模的联动,在测试阶段完成安全需求的验证。
而软件应用阶段如何确保风险的有效控制?分为上线/发布环境控制和运行阶段控制。
上线/发布环境控制关键点在于保证存在已知风险的软件无法引入,引入之后要记录备案形成资产信息库。而痛点在于采购的商业软件安全质量不达标,开源、免费(公益)软件存在安全风险,基础服务版本、操作系统版本存在风险。因此所面临的风险为基础服务风险、软件代码风险、开源组件风险、三方服务未知风险等。
所以要建立一般环境下安全监测能力、处置能力。围绕发布环境实际情况,针对一般环境中操作系统漏洞和基线情况提前检测确保安全性,之后再部署。同时对于已经上线的生产环境应用对于突发漏洞情况有快速处置的能力。
其次要建立云环境下安全监测能力、处置能力。在云、云原生环境下的容器镜像安全及配置问题,提前检测确保安全性,之后再部署。同时对于已经上线的生产环境应用对于突发漏洞情况有快速处置能力。
运行阶段控制需要建立开源软件漏洞运营能力,即在软件运营期间,持续检测开源软件的漏洞情况,一旦发现严重漏洞应尽快定位影响范围,并采取应急措施。采用的工具包括SCA、DAST等,并配合开源漏洞安全运营服务,应急响应服务。
并建立敏感信息泄漏监测与攻击面管理机制,防止敏感信息、代码泄漏导致安全风险,建立持续的代码泄漏监测机制,重点监控GitHub等平台是否包含敏感代码。采用的工具包括DAST、CSPM等,同时做好攻击面管理。
最后建立建立软件供应链安全运营规范,即从运营业务角度出发,帮助建立《软件发布平台安全运营规范》、《开源软件漏洞运营规范》、《软件敏感信息监控规范》等管理文档。
不同场景下的治理方法包括采购商业软件、软件外包开发、软件自主开发、软件对外发布、多级架构下的统一监管、软件生命周期漏洞跟踪闭环等。
结合软件供应链安全管理流程,建立自助式的项目流转提测服务。以漏管理为维度,响应第三方监管政策,对安全事件进行效能督导,实现安全工作的效能跟踪。内嵌组件安全/代码审计/IAST插桩/资产安全引擎能力,结合企业组织架构权限,进行漏洞下发,指派,修复跟踪,全生命周期时间轴。基于业务统一业务标准,实现统一对外对接技术接口和业务接口,横向扩展安全引擎能力,实现软件供应链风险统一纳管分析。
冯文秀 天空卫士华东区技术总监"
调研结果显示,数据泄露平均成本从2020年的386万美元上升到424万美元,平均每条数据泄露的成本从去年的146美元上升为161美元,由于新冠疫情,远程工作和数字转换增加了数据泄露的平均总成本,数据泄露的平均总成本增加了10%。
从数据安全角度看供应链安全分为三个阶段,第一个是研发阶段,分为自研和外包,包含软件源代码、软件设计文档、软件设计文档、软件接口文档、数据存储设计文档、第三方知识产权保护等。第二个是交付阶段,包含系统配置信息,账号密码信息,系统采集、传输、使用、存储应用相关敏感信息等。第三个是运营阶段,包含生产取数数据安全、运维数据安全、代维团队数据安全、第三方数据共享等。
数据安全能力成熟度模型(Data Security Capability Maturity Mode,简称DSMM)是国内首部数据安全领域的国家标准,基于数据生命周期及通用安全过程定义数据安全过程域和基本实践,指导组织机构如何满足目标能力成熟度等级所对应的安全要求。以数据为中心,围绕数据生命周期,包含组织建设、制度流程、技术工具、人员能力4个能力维度。
研发阶段数据安全防护方案,可以设置DLP内容安全网关,同时实现邮件MTA内容审查、审批,代理更新流量下载安全病毒木马查杀。范围:应用组件更新及外发邮件检查;设置DLP内容网关,反向代理+DLP模式,实现项目管理应用JIRA 等源码下载安全审查;设置DLP内容网关,一台UCWI,采用RefulAPI方式对接相应区域文件摆渡系统,实现文件摆渡交换的内容审查;设置DLP内容网关,采用旁路或串行方式,实现代码发布场景审查;设置本地终端上数据交互,采用DLP Agent 组件安装方式,实现终端机边界数据交互审查。
交付阶段数据安全保护方案,可以设置数据中心和云端防护,包括在终端DLP、发现DLP、网络DLP、应用DLP、邮件DLP、WEB安全网关、移动APP DLP、ITM上设置防护。
运营阶段数据安全防护方案,主要关注API接口内容安全、生产取数数据安全、运维/代维数据安全。
详细方案介绍,可参考。终端数据安全要从web、蓝牙、应用、打印等方面入手,设置终端DLP、终端Web安全访问管控、终端行为管控等。所应用的场景包括终端敏感数据发现、终端敏感数据操作管控、数据标签等。
而在网络数据安全方面要设置网关,并支持多种协议(HTTP/S、SMTP/S、FTP/S、SMB、自定义协议等),支持多种部署模式—旁路、串联、MTA,在不同的部署模式下发挥不同的作用内嵌高性能OCR图片识别引擎,包括一体化设备或虚拟化部署,支持IPv6环境使用,UCSS 统一管理、统一监控等。
WEB安全网关要有威胁情报,可应用的场景要包括SSL流量可视化、Web访问安全保护、Web访问数据外发保护。
邮件数据安全要反垃圾,即防止非法身份的邮件攻击;会病毒分析,比如智能启发式扫描、有效针对钓鱼、欺诈软件等;会链接检测,比如邮件恶链接检查;会内容分析,即完整DLP能力、全邮件日志跟踪(邮件MD5、邮件标识)、图像识别、归档反查、多级邮件审批。
应用数据安全,要求可以对应用交付过程的数据进行深度内容检查,或者也可以将UCWI视作企业应用内容的安检平台。第三方应用通过调用 RESTful API, 可以获得文件内容安全状态与违规信息,并对该数据应该采取的动作。其他还包括移动数据安全、数据安全治理自动化、数据资产分级分类自动化。
现场花絮:
活动相关资料欢迎大家在知识星球下载~
推荐阅读
诸子云 | 活动:“走进平安-企业安全建设落地”实践研讨会
齐心抗疫 与你同在