很多企业在部署安全测试时都面临以下心路历程:安全测试有何价值需多大投入?如何提高安全测试效率?如何保证安全测试结果的有效运营?安全测试有哪些自动化手段?
安全开发、安全测试、安全运营是我们谈及DevSecOps时的落脚点,作为进阶版的DevOps,它将安全无缝融入开发之中,提前规避安全风险。
5月26日,互金企业安全从业者柳伟杰在FreeBuf甲方社群第四场内部直播中担任主讲嘉宾,向大家分享互联网金融企业DevSecOps落地实践。第四场内部直播恰逢业内大型攻防演练,在彩蛋环节,本场直播邀请了斗象科技安全专家王晓喆,分享今年的攻防新趋势。
| DevSecOps落地,合适的才是最好的 |
随着开发、测试和运维工作的开展,安全需求日益凸显,于是企业开始部署DevSecOps。DevSecOps遵循DevOps的思想,将安全无缝集成到其中。而传统的SDL是一种基于瀑布模式或者敏捷模式的安全开发管理方法。柳伟杰介绍,企业想要落地DevSecOps首先需要基于内部环境、开发框架进行技术选型;然后进入工具建设阶段,根据需求选择黑盒或白盒工具,再对流程进行优化磨合,形成平台运营。扫描、检测等工具则适当做加减法调优,减少误报率,提升漏洞检测率、修复率。很多企业在部署安全测试时都面临以下心路历程:安全测试有何价值需多大投入?如何提高安全测试效率?如何保证安全测试结果的有效运营?安全测试有哪些自动化手段?柳伟杰提示,安全漏洞不是为了检查漏洞而检查漏洞,需要考虑漏洞检查是否能做全量自动化。谈到安全测试框架设计思路,柳伟杰表示比较重要的三点是:安全团队的组织架构、管理体系和工具选型。组织架构即安全团队的规模和定位;管理体系需结合企业实际SDL或其他应用安全流程规范;工具选型则包括SAST/DAST/SCA/IAST等多种手段。他举例,他所就职的企业落地了SDL流程,部署CI/CD流水线并利用IAST手段做灰盒检测。柳伟杰还提到,IAST的潜在价值之一是漏洞闭环,它也是安全运营的本质。能尽早发现安全漏洞,节省漏洞修复成本还兼顾SCA功能例如log4j漏洞的排查。其他潜在功能还包括API梳理、资产梳理、数据分级、敏感数据检测。
| 一个人的安全团队如何落地DevSecOps |
在互动环节,有观众提问一个人的安全团队如何推行DevSecOps建设?柳伟杰给出的建议是要找准切入点,从需求、测试、上线三个角度落地。安全人员要主动接触业务方了解安全需求,让业务方主动做安全评测,在安全团队人力有限的情况下,把握好上线验收的关键环节,注意公网暴露面等问题可以实现DevSecOps的落地。针对规模稍大的安全团队,验收也是一个有力的抓手,验收指标视企业内部组织量及能够业务解决多少问题而定。在上线验收环节可以反推有无做过安全测试、有无安全功能需求。如何争取业务和开发支持DevSecOps落地工作?柳伟杰表示要尽量减少产研、业务操作习惯的变化,这样业务和开发的配合意愿才高,企业可以利用IAST做被动检测,保证接口覆盖度,和开发共赢。最后,柳伟杰还和主持人一起抽取了数位互动观众送出端午大礼包等精美礼品。
| 彩蛋:攻防新趋势 |
斗象科技安全专家王晓喆分享了今年攻防演练的新趋势。邮件钓鱼、微信钓鱼和0day攻击在攻防演练中使用频率越来越高。面对钓鱼,企业无法通过技术做直接防御,它考验的是员工的安全意识和企业的漏洞管理能力。并且攻击队使用的钓鱼文案紧跟当下时事热点、花边新闻,还会根据目标企业定制相关文案,甚至还有钓中钓等防不胜防的手段。王晓喆观察到的另一个趋势是0day在攻击中的使用频率越来越高。2020年通过平台提交的0day有160个,2021年上涨到800多个,使用量非常高。企业的OA系统和公网中的IOT设备尤其危险,由于公网的IOT设备没有直接管理人员,红队很容易利用代理、隧道进行攻击;也很容易链接公网WiFi进行近源攻击。
| 加入FreeBuf甲方社群 |
本期直播精彩回顾到此结束啦~此外,FreeBuf会定期开展不同的甲方社群直播,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧!加入即可获得FreeBuf月刊专辑,还有更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动?申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部