诸子笔会2022 | 肖文棣:安全的过与不及
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
安全的过与不及
文 | 肖文棣
肖文棣
晨星资讯安全架构师
晨星资讯安全架构师,负责应用安全设计、管理和评审等工作,OWASP中国广东分会负责人,华中科技大学软件工程专业工程硕士学位。
没有绝对的安全,也没有绝对管用的安全措施,基于业务需要与风险视角,安全永远都是一种“平衡”的艺术。但是现实是,我们关注的重点、实际的投入、管控的措施,往往偏离了“初心”,导致有些太过,有些不及,这样就导致安全失衡。那么我们要如何才能找到安全的平衡点呢?这就要思考“安全是什么”。
最近一篇安全介绍,里面讲到安全三问:
1.目前生产环境中最关键的业务风险是什么?
2.目前生产环境中可以利用的服务和API都有哪些?
3.目前生产环境中都是用了什么敏感数据?
如果我们不能很好地回答这三个问题,那就很难把握住安全的平衡点。也就是说如果我们做不到知己,就难以把握自己的风险,就有可能因为害怕风险而盲目增加无谓的开销——这就是过。同时我们由于不知道真正的风险,因此对于真正的风险比较漠视——这就是不及。
《论语·雍也》有这么一段话:"质胜文则野,文胜质则史。文质彬彬,然后君子。"这段话可以说是儒家中庸思想的一个体现。
朴实多于文采,就未免粗野;文才多于朴实,又未免虚浮。不过于粗野也不太过虚浮,质朴无华的同时不失一定的文采。一个人能做到表里如一、彬彬有礼、不卑不亢、恰如其分,那就算得上是正人君子了。
在孔子看来,过和不及都不是理想的状态,只有达到两者中间的一种中和的状态,才是君子该有的表现。对于安全也是一样,过与不及都是因为对于自身的不了解而导致的失衡,中庸才是最合理的。
以前的文章我们谈过安全误区,实际上这就是失衡。根据帕累托定律,80%的安全能力只需要投入20%的精力就可以达成,如果想让安全在你心中无懈可击,那么可能就需要投入现在的几倍精力。所以我们要把握一个度,这个度就是基于你们对于公司风险的判断,以及对于风险容忍度的判断。
根据灵魂三问的答案,我们很容易就可以把精力集中在最关键的业务问题、暴露在外网的脆弱的服务与API以及包含敏感数据的系统上。我们也很容易将我们的工作分为几个层次,把我们的业务进行分类分级,而不是一视同仁地对待,应该将好钢用在刀刃上,有的放矢。
根据灵魂三问,我们可以简单将系统分成八个类别,它可以很容易使用二进制表示,最最核心的类别就是包含关键的业务问题、暴露在外网的服务和API以及包含敏感数据的系统。最最不重要的是不包含关键业务问题、没有暴露在外网的服务和API以及不包含敏感数据的系统。对于最最核心的类别系统,我们要重点防范;对于最最不重要的系统,我们稍加注意即可。
在实际工作中,虽然对于最最核心的系统怎么防范都不为过,但是在里面同样有过与不及的问题。这里我们要说说纵深防御。
“纵深防御”是一种网络安全策略,它使用多种安全产品和实践来保护组织的网络、Web资产和资源。它有时与“分层安全”一词互换使用,因为它依赖于多个控制层(物理、技术和管理)的安全解决方案,来防止攻击者访问受保护的网络或本地资源。
但是很多人对这个纵深防御理解有偏差。听过一些业界朋友说的笑话,某厂家为了防止WAF被绕过,会采购几家的WAF堆叠在一起,实现所谓的强化防御。但是实际上,这样效果是显而易见的,单纯靠堆设备是做不好真正的纵深防御的。
比如WAF,无论哪个厂家的,原理实际都是对恶意的内容进行过滤,就是黑名单过滤,同时又可能基于性能的要求对于某些内容会放过,这样就导致WAF的穿透。基于这样的假设,无论多少个厂家的WAF都是可能被一起穿透的,这就是典型的过。
另外大家还有一个误区就是认为不知攻焉知防,所以总是认为搞些白帽子,搞些众测,搞些SRC就可以解决所有的安全问题。如果白帽子,SRC找不出问题了,就是我们的系统已经安全的。这个想法是很不正确的,也是典型的过。
大家总是关注眼前容易看到的事物,而忽略内在的事物,比如我们的安全架构设计、安全开发的流程、供应链安全等,这就是典型的不及。这些内在的事物最容易出问题,而且一旦发生那就是大问题。因为城堡往往容易从内部被攻破,很多轰动一时的安全事件很多都与这些内在事物有关系,比如大家熟知的SolarWinds事件。
针对这些内在的事物,ASPM就是一种可能的解决方案。
ASPM是应用安全态势管理(Application Security Posture Management)的简称,是一种让应用系统更加安全且更具有弹性,并且能显著降低业务风险的实践。
ASPM的目标是对生产环境中运行的应用程序其安全风险态势进行全面系统且持续的管理,并且实施更新,这里的安全风险态势包括应用程序的所有服务、第三方依赖库、涉及的API、依赖项、攻击面和敏感数据流等。
ASPM允许安全团队在任何时间点快速识别应用程序中存在的最重要的业务关键风险,并确定风险的优先级。
ASPM 使用自动化确定业务风险,并且了解外界攻击者是否可以利用该安全风险进而对业务系统造成重大影响。
到目前为止,虽然Gartner等分析公司还没有将 ASPM 确立为一个类别,但是未来的一个趋势,特别是当企业采用持续交付、云和软件 API 来进行业务创新并为客户提供全新体验时,这种需求会更加的迫切。
对于现在公司的安全投入,更多的都是在WAF、设备、盒子等外围设备上,有些会投资SDLC的流程以及零散的AST工具,还有一些会投资SRC等安全运营上,这些很容易导致过度投资、重复建设。但是对于ASPM类似解决方案,投资却是远远不足的,这个是我们未来做安全预算时要去考虑的问题。
ASPM是一个新生的领域,但是值得我们持续跟踪和研究。我们要做到知己,才能知道自己真正的重点在哪里,才能把握过与不及两种状态,不偏不倚,方为中庸之道。
【10月主题:过与不及】
【9月主题:查漏补缺】
【8月主题:红与蓝】
刘志诚 张永宏 王忠惠 孙琦
肖文棣 孙瑜 杨文斌 陈圣 回顾
【7月主题:误区与陷阱】
刘志诚 张永宏 孙瑜 王忠惠 肖文棣
朱文义 杨文斌 孙琦 陈圣 回顾
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义
张增斌 肖文棣 杨文斌 张永宏 孙瑜 陈圣 回顾
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣 回顾
2021首届诸子笔会
齐心抗疫 与你同在