9月25日,由CNCF大使、开源意见领袖共同发起的,国内最大的独立第三方云原生终端用户和泛开发者社区——云原生社区,在腾讯大厦成功举办深圳站首届MeetUp。
本届MeetUp聚焦云原生,火线安全洞态产品负责人董志勇分享了“使用IAST构建高效的DevSecOps流程”,从IAST的时代需要到IAST含义,从洞态IAST的功能与实现原理到洞态IAST与DevOps的高效融合均做了详细介绍。
01 IAST的时代需要
安全测试是应用开发的必要环节
自2016年以来,随着《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等相关法律相继颁布并施行,企业安全运行能力要求不断提高。
此外,网络攻击频发也引起网络界的关注。被勒索软件勒索、数据泄露、服务器被入侵等在近年来出现的网络安全问题中占据极大比例,这些都是应用本身安全性不足所导致的。
安全测试成为应用开发的必要环节。
IAST是安全测试的最优选择
在瀑布开发与敏捷开发时代,应用迭代速度相对较慢,企业安全团队人员数量足够cover住应用开发上线的测试频率。
但随着开发流程理念的更新,DevOps逐渐出现并成为主流。DevOps在“提高企业生产效率、实现应用迭代大加速“的同时,也带来了“安全测试任务密度变大,待上线应用的数量与安全测试人员数量严重不对等”的问题。原有的安全测试手段已不合时宜,高效可靠的自动化检测成为安全团队的不二之选。
虽然SAST和DAST也可以承担自动化检测的角色,但二者都具有致命的缺点。相比之下,IAST则是不偏科,且各方面都突出的优等生。目前来说,IAST才是自动化安全检测的最优选择。
02 洞态IAST
IAST全称为 “交互式应用程序安全测试” ,通过利用Agent来监控应用程序运行时的函数执行情况,采集相关数据,与服务端进行实时交互,从而高效、准确地识别出应用程序中的漏洞。同时可准确定位到漏洞所在的文件、行数、方法及参数,方便开发团队及时修复漏洞。
洞态IAST由火线安全于9月1日正式开源发布,是全球第一款开源IAST产品。凭借高效的检测效率、极高的检出率、极低的误报率、极少的脏数据以及极详细的漏洞详细,洞态IAST在发布之际便受到了诸多厂商的关注。
检测原理
作为一款创新的漏洞检测产品,洞态IAST的技术优势十分显著。 洞态完全基于“值匹配算法“和”污点跟踪算法”对漏洞进行检测。这种算法检测准确率高,无需采集和重放流量,可以适配各种场景下的漏洞检测(如:API网关、分布式、微服务等架构下的后端服务漏洞检测),还不会产生脏数据,干扰正常的开发测试流程。
对于检测发现的漏洞,洞态根据外部可控数据的传播过程,完整的还原漏洞触发流程,帮助DevOps团队快速理解漏洞、定位漏洞,更好的解决漏洞。通过赋能研发人员,提高漏洞修复的效率。
和业内同类产品“重Agent端、轻服务端”的架构不同,洞态的Agent端仅用于实现数据监听,漏洞检测全部在服务端完成。这种方法的好处是Agent端代码和逻辑简单,单点故障率更低也极少需要升级,降低了维护成本。另外,传统IAST产品对于未检测的漏洞都在Agent端直接丢弃,产品出现新的检测策略后,需要重新发起应用的测试,而洞态IAST将检测数据保存在服务端,可以轻松在服务端进行回归测试。
洞态功能优势
● 支持多种漏洞检测
● 依赖组件的供应链风险检查
洞态IAST支持应用程序内部所依赖组件的供应链风险检查,一是支持对应用程序内部所使用的第三方组件进行梳理:当某个组件爆发漏洞时,可以利用这个组件,快速反查出企业内部运用此组件的应用和服务器。快速响应,避免企业内部程序受到外部攻击;
二是针对已经爆发的漏洞:依靠内部漏洞库,企业安全人员便可以知晓使用的组件是不是有风险,从而及时升级组件,避免漏洞风险的出现。
●支持各种业务场景
传统Web应用;
前后端分离场景下的漏洞检测;
验证码场景下的漏洞检测;
数据包加密场景;
防重放签名等场景;
分布式架构下的漏洞检测;
微服务架构下的漏洞检测;
●API Sitemap
类Swagger的API Sitemap,方便各部门人员查看;
提供测试覆盖率,精确的反馈出未测试到的接口;
准确的参数名称及数据类型,可用于直接发送HTTP请求,提高接口覆盖率;
●统一数据格式,实现离线检测
洞态IAST将探针上报的数据格式进行了统一,通过利用不同语言返回的数据,构建数据底座。基于数据底座,对数据进行分析,实现漏洞的离线检测。
●支持检测策略自定义
企业安全人员可通过自定义策略,快速检测对应漏洞,并可通过增加策略类型实现检测类型的补充(针对新发现的漏洞)。
03 洞态IAST DevOps
IAST Kubernetes
应用运行时,无状态地安装于应用程序的探针集群便会采集对应的数据,并发送到OPENAPI。当探针集群数量过大时,基于探针集群数量,横向扩展OPENAPI服务数量。此时,OPENAPI足够cover探针集群的流量,后续的存储集群与分析引擎也将支持弹性扩容,并做安全风险检测。
Agent Docker
通过构建DongTai的基础镜像,实现自动安装探针。
Agent Kubernetes
基于数据底座,通过sidecar方式配置DongTai的容器,自动化安装探针。
洞态IAST DevOps DevOps中有各种各样的工具,洞态IAST所有的数据都可通过OpenAPI接口进行操作,快速与CI/CD集成,实现探针的下载、部署、获取风险等。
洞态IAST是火线安全于2021年9月1日发布的全球第一款开源专业IAST产品,企业可根据需要调配以适应自身业务和使用场景,我们也期待大家参与开源洞态IAST开源项目,一起来完善它。