背景概述
随着信息化的迅速发展,网络规模越来越庞大,越来越多的能源行业进入安全体系建设中,同时随着业务规模与生产环境变化,能源电力行业配套IT设施也在随时发生改变,这些无疑对能源电力行业体系化安全建设提出严峻挑战。
悬镜安全作为DevSecOps敏捷安全行业领导者,以规模化的产品交付能力以及全国性属地化售后服务保障优势,在金融、车联网、能源电力等行业具有绝对的行业解决方案的领先优势,拥有大量的行业标杆用户,积累了丰富的自适应安全体系建设的经验。今天,和大家分享的是近期悬镜在国网湖南信通公司的IAST落地实践经验,本文简述了国网湖南电力如何基于DevOps研运一体化平台,将交互式应用安全测试(IAST)工具无缝集成,进而实现安全左移,确保业务系统安全上线。
以下是国网用户的真实实践过程以及核心价值,让我们一起了解一下国网湖南电力的最佳安全实践。
数字化转型的安全需求
近年来,国网湖南电力(以下简称“湖南电力”)大力实施数字化转型,开展科技创新。随着“大云物移智链”新技术的应用,尤其是云平台和数据中台的投运、微服务与微应用架构模式的变化、物联终端的大规模应用等,湖南电力对网络安全风险防控提出了更高要求。
安全开发面临三大困境
湖南电力面临三大主要安全困境:
- 目前湖南电力正处于数字化转型关键期,对于系统的交付速度有较高的要求,系统研发的时间紧任务重,上线期发现安全隐患后修复时间长,难以满足敏捷迭代和快速交付的需求。
- 代码各模块之间不是孤岛,存在很强的依赖,在系统的开发周期中,越往后,这种联系越复杂。因此仅在临上线时才进行测试,一旦发现问题,往往牵一发而动全身,增大了业务系统返工的风险。有数据表示,系统在测试和发布阶段发现并纠正问题所需最低时间成本远高于(30倍—1000倍)在开发阶段发现并纠正问题所需最低时间成本。
- 需要进一步提升研发人员的安全素养。根据NIST等权威机构的报告,超过90%的黑客安全事故都发生在业务应用本身研发产生的安全漏洞中,且每1000行代码至少出现一个业务逻辑缺陷。系统安全的压力集中在了上线前的安全测评。
仅仅依靠技术方面的革新可以缓解上述问题,但要从根本上解决,还必须依靠全新的安全管理理念。因此,安全左移的理念应运而生。
悬镜灵脉IAST落地实践
基于DevOps研运一体化平台,通过在业务系统研发过程中融入交互式应用安全测试(IAST)工具可以将安全测试左移至开发测试阶段,较早地将安全无感知地接入到开发测试环节当中,是对安全左移管理理念的绝佳践行。
在湖南电力IAST工具选型阶段,悬镜灵脉IAST灰盒安全测试平台最终脱颖而出。灵脉IAST使用新一代的IAST交互式插桩与湖南电力现有DevOps平台融合,利用交互式应用安全测试技术,一是有效覆盖目前信息系统全场景的安全测试,将安全隐患进行发现、反馈、修改、复查、关闭等有效的漏洞闭环管理;二是柔和地将安全与研发运营一体化支撑平台融合,建立DevSecOps研发安全运营一体化流程体系;三是精准识别软件的第三方组件,动态进行软件成分安全分析。
基于湖南电力现有DevOps平台,悬镜灵脉IAST在具体落地实践过程中,一是通过污点追踪流水线的构建,将安全检测的节点前置到功能测试阶段,在研发阶段即可挖掘大多数的中高危漏洞,漏洞类型主要包括OWASP Top 10通用型漏洞,还可以深度发现新开发系统中存在的各种业务逻辑问题如水平越权、垂直越权、登录接口爆破、验证码绕过、批量注册等,并且快速定位应用漏洞,将安全漏洞的发现和修复时间前置到开发测试环节,大大提升修复效率,很好满足敏捷迭代和快速交付的需求,从而做到在系统开发周期的前期即发现系统安全问题,并以最小的代价解决。
二是交互式应用安全测试工具中的漏洞演示、安全编码实例、自定义规则等真实业务实践培训,将专业的安全能力赋予研发、测试和运维人员,提高他们的安全水平,从源头减少开发过程中的系统漏洞数量。
三是优化安全测试模式,在功能测试的同时即自动完成安全测试,在不增加研发、测试和安全部门工作量,不变更原有工作方式的前提下,以低安全技术门槛实现多身份、多成员完成安全检查,并将安全检测能力融入DevOps研运一体化支撑平台,完成自动化的安全审查。
灵脉IAST不仅解决了传统DAST(黑盒测试)无法精确定位漏洞位置的问题,还有着比传统SAST(白盒测试)低得多的误报率,此外,在脏数据处理上也有着不错的表现,并且可以针对应用测试结果进行全方位复现和验证测试。在非复杂数据包加密、内部测试流量管控等特殊场景下,它更加符合敏捷开发和DevOps模式下软件产品快速迭代、快速交付的要求。
中国信息通信研究院发布的《中国DevOps现状调查报告》显示,悬镜灵脉IAST 2021年、2022年连续两年市场应用率第一【权威报告|悬镜DevSecOps全线产品市场应用率第一】。
灵脉IAST灰盒安全测试平台作为悬镜第三代DevSecOps智适应威胁管理体系中上线前测试环节的应用风险发现平台,通过全场景数据流量学习技术,如运行时动态插桩(含主动及被动)、终端流量代理/VPN、流量管家(主机流量嗅探、旁路流量镜像)、Web日志学习、启发式爬虫等和原创AI渗透启发技术,持续赋能传统IT从业人员,在企业组织内部快速建立安全众测模式,使传统安全小白(研发、测试、QA等)完成数字化应用功能测试的同时即可透明实现深度业务安全测试,有效覆盖95%以上中高危漏洞,防止应用带病上线。
详情请点击: