查看原文
其他

《2022 DevSecOps行业洞察报告》:SCA与RASP技术大热 开源软件供应链安全备受重视

十六 安全419 2023-06-22

安全419关注到,悬镜安全联合FreeBuf咨询发布《2022 DevSecOps行业洞察报告》,从多视角洞察并分析DevSecOps在国内的发展现状,并前瞻性预测其发展趋势,旨在推动更多用户着手采纳业内领先的DevSecOps敏捷安全体系及落地实践经验。安全419梳理其中精华内容,为企业组织提供安全建设的有效参考。


DevSecOps 敏捷安全工具金字塔 2.0


DevSecOps 敏捷安全工具金字塔 2.0


DevSecOps 敏捷安全技术金字塔描述了安全工具所属的不同层次,该2.0版本延续安全工具分层与组织的 DevSecOps 成熟度非正比关系的编排原则,主要依据该工具的普适性、侵入性、易用性等参考因素。


1

卓越层


 CARTA(持续自适应风险与信任评估)平台



CARTA架构促进了一种持续适应不断变化安全形势的方案,而不是试图阻止任何一方或允许特定的交互。作为自适应安全方法,CARTA 可以帮助组织克服应用团队和安全团队之间的障碍,为企业提供风险管理能力。


2

实践深化层


 ASRA(自动化安全风险评估)



ASRA 对于帮助组织理解威胁情报数据、动态更新策略和在系统内实现持续合规性至关重要。通过使用自动化风险评估,可以根据组织的安全性和合规性策略识别安全缺陷并确定其优先级。


 ASTO(应用安全测试自动化编排)



ASTO 的目标是在生态系统中的所有安全测试工具建立一个集中、协调的管理和报告系统。实施自动化和持续的ASTO 可以帮助组织轻松协调和管理各种安全测试工具,结合收集的相关数据和警报信息,以提高准确和全面的信息和洞察力,并利用它们以最有效和最高效的方式解决安全威胁。


 API Fuzz(模糊测试)



API Fuzz 是一种自动化软件测试技术,它试图通过将无效和意外的输入和数据随机输入计算机程序来寻找可破解的软件错误,以发现编码错误和安全漏洞。正确执行的模糊测试技术可以提供一种低成本、高效的发现漏洞的方法,比手动分析在短时间内可以执行的覆盖更多的代码路径和值迭代。


 RASP(运行时应用自我保护)



RASP 技术内置于应用程序或应用程序运行环境中,能够控制应用程序执行、检测漏洞并防止实时攻击。RASP 将安全性整合到运行的应用程序中,能够立即检测、阻止和缓解攻击,通过分析应用程序行为和 上下文来保护实时运行的应用程序。通过使用该应用程序持续监控其自身行为,RASP 能够保护应用程序免遭数据窃取。


 AVC/VPT(应用程序漏洞关联)



AVC 代表应用程序安全工作流和流程管理工具,旨在通过将来自各种安全测试数据源的结构整合到一个集中工具中来简化软件开发生命周期应用程序漏洞的修复。VPT主要为了增强在整个漏洞管理上的风险定义和处置优先级。


 OSS/SCA(开源软件 / 软件成分分析)



SCA 工具在查找通用和流行的库和组件(尤其是开放源代码)方面最为有效,不仅可以识别第三方组件的开源安全风险和漏洞,还可以提供每个组件的许可和漏洞信息,更先进的工具能够自动化开源选择、批准和跟踪的整个过程,为开发人员节省宝贵的时间并显著提高他们的准确性。


 IAST(交互式应用安全测试)



IAST 工具结合了 SAST 和 DAST 技术的优点,可以模拟验证代码中的已知漏洞是否可以真的在运行的环境中被利用,其利用对应用程序流和数据流的了解来创建高级攻击方案,并递归地使用动态分析结果:在执行动态扫描时,该工具将基于应用程序对测试用例的响应方式来了解有关应用程序的知识。


 Container Security(容器安全)



Container Security是一个专注于保护容器化应用程序的各个方面免受潜在风险的领域。容器安全管理整个环境中的风险,包括软件供应链或 CI/CD 管道、基础设施和运行时免受网络安全风险。


 BAS(入侵与攻击模拟)



BAS 通过模拟对端点的恶意软件攻击、数据泄露和复杂的 APT 攻击,测试组织的网络安全基础设施是否安全可靠,在执行结束时,系统将生成关于组织安全风险的详细报告,并提供相关解决方案。同时结合红队和蓝队的技术使其实现自动化和持续化,实时洞察组织的安全态势。


3

传统建设层


 IDS/IPS(入侵检测系统 / 入侵防御系统)



IDS、IPS是两类传统的安全保障产品,主要用于应对网络安全系统中的黑客攻击事件。该工具已经非常成熟, 但由于其拥有实时检测和响应的特点,在生产系统中有着高度的实用性,因此现如今依旧是在线应用的网络保护中十分必要的一环。


 IAM(身份识别与访问管理)



IAM是一个业务流程、政策和技术框架,可促进电子或数字身份的管理,具有不断增加的功能列表,包括生物识别、行为分析和人工智能,非常适合新安全环节的严格要求,可以通过工具来实施全面的安全、审计和访问策略来加强监管合规性。


 WAF(Web 应用防火墙)



WAF是通过执行一系列针对 HTTP 和 HTTPS 的安全策略,可以对来自 Web 应用程序客户端的各类请求进行内容检测和验证,确保其安全性和合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效的安全防护。


 EDR(端点检测与响应)



EDR是一种集成的端点安全解决方案,将实时连续监控和端点数据的收集与基于规则的自动响应和分析功能相结合。通过使用分析工具促进了持续的检测和检测。这些工具通过识别、响应和转移内部威胁和外部攻击来确定可以改善公司整个安全状态的任务。


 SAST(静态应用程序安全测试)



SAST 用于扫描应用程序的源代码、二进制代码或直接代码。可以识别漏洞的根本原因并帮助修复潜在的安全漏洞,可以“由内而外”分析应用程序,并且不依赖正在运行的系统来执行扫描。


 DAST(动态应用安全测试)



DAST 用于查找生产中的应用程序漏洞。测试人员无需具备编程能力,无需了解应用程序的内部逻辑结构,也无须了解代码细节。DAST 不区分测试对象的实现语言,采用攻击特征库来做漏洞发现与验证。


2022 上半年度热点技术


1

软件成分分析技术(SCA)


随着开源软件的日益普及,SCA正在成为应用程序安全的必备工具。其主要有两种模式:静态模式是使用工具对目标工程文件进行解压,识别和分析各个组件的关系;动态模式则是依赖于执行过程,在程序执行的同时收集必要的活动元数据信息,通过数据流跟 踪的方式对目标组件的各个部分之间的关系进行标定。从使用成本来看,可分为开源(免费)的开源威胁治理工具和商业化的开源威胁治理工具。开源的主要包括 Snyk Open Source、OpenSCA、Veracode SCA、DependencyCheck等,各大企业可以根据自己的实际情况进行选择。


2

运行时应用自我保护(RASP)


为了更好地预防针对应用程序的攻击威胁以及应对“HW”等超大流量超大规模的实战验证,RASP 作为降低应用风险的一项关键创新技术,弥补了传统边界安全防护产品的先天性防护不足,可应对无处不在的应用漏洞与网络威胁,为应用程序提供全生命周期的动态防护和内生主动安全免疫能力,其必将加快企业数字化转型,推动软件供应链的创新发展。市面上绝大多数 Java 版 RASP 技术,如 OpenRASP、云鲨 RASP、Imperva RASP 等都是在运行时阶段字节码加载前进行插桩,其优点是无需对源代码进行修改真正做到对应用程序的无侵入。


2022 年下半年 DevSecOps 实践趋势预测


1

开源软件供应链安全热度只增不减


作为业务应用程序的重要组成部分,开源软件已成为网络空间的重要基础设施。开源软件的大量使用导致软件 供应链越来越复杂化和多样化,开源软件已成为影响软件供应链安全的关键因素之一。据 Synopsys 称,99% 的商业数据库至少包含一个开源组件,其中近 75% 的代码库包含开源安全漏洞。随着开源组件使用的增加,风险面也在不断膨胀,使用包含已知安全漏洞的开源组件很有可能将安全缺陷引入到软件产品中,并随着软件的使用而进行扩散,进而对软件供应链造成巨大的安全威胁。


2

软件供应链精准监管的有力抓手SBOM


近年来一些重大的软件供应链攻击,如 2021 年的 Apache Log4j2 漏洞攻击和 2022 年的 spring 框架漏洞攻击,越来越多的组织和政府意识到软件供应链安全的重要性。SBOM 已经成为了安全业界公认的遏制软件供应链风 险的最佳方案之一,SBOM 的推广应用可以增强软件供应链的可见性,极大地便利软件组件溯源、软件产品依赖关系梳理、已知漏洞的影响范围判断、及时发现恶意软件渗透等,从而有力支撑软件供应链相关监管政策规则的落地实施。


3

RASP 与 IAST 技术实现一体化


实现 RASP 技术与 IAST 技术一体化的新思路逐渐展露头角,各大安全厂商也纷纷跟进研究,由于 RASP 与 IAST 同样都使用了插桩技术,由此可以实现将 IAST 技术与 RASP 技术使用同一插桩探针,通过插桩来记录应用程序运行时的堆栈数据,分析应用程序健康度。即在测试阶段采用 IAST 插桩探针的检测功能,在应用上线后自动开启 RASP 功能,启动探针的安全防护功能,主要针对测试阶段检测到的没来得及修复的且 不影响应用程序正常运行的安全漏洞进行精准防护,实现运行时自我保护机制。


粉丝福利群开放啦

加安全419好友进群

红包/书籍/礼品等不定期派送


END

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存