近年来,由于网络边界日益模糊,新型攻击手段层出不穷,应用安全的重要性日益凸显,不容忽视。在今年的RSAC上,应用安全无疑是最热门的方向之一:在《RSAC 2020趋势报告》指出的十大趋势中,有两个与应用安全直接相关:“实现产品设计、开发和运营安全”、“关注软件工程”安全”;而今年创新沙盒大赛的前十名名单中,居然有五家公司在应用安全方向发力。然而,当我们打开这些报告和公司简介时,“产品安全”、“DevSecOps”、“代码安全”、“WAF”、“Fuzzing”等老生常谈的词汇映入眼帘。那么,应用安全的真正趋势和热点是什么?在仔细阅读了趋势报告、创新沙盒产品介绍和部分会议报告后,结合自身在应用安全领域的知识,笔者为大家总结了以下应用安全技术的几大新趋势:1.开源《RSAC 2020趋势报告》的第二个趋势“实现产品设计、开发和运营安全”中提到了安全:因为在今年收到的申请中,关于安全产品开发的话题远远超出了以往,所以RSAC特别关注产品安全和开源安全。有许多问题描述了组织面临的挑战,并提出了开源代码使用、维护、测试、认证等方面的最佳安全实践。要知道,“实现产品设计、开发和运行安全”是除了会议主题“人本”之外最重要的趋势,才是真正的“民心”。开源安全作为一个特别重要的板块,在这份趋势报告中被多次提及。早在2017年,ForresterResearch的一项研究表明,为了加速应用程序开发,开发人员经常使用开源组件作为应用程序的基础,导致80%-90%的代码来自开源组件。奇安信代码安全实验室研究发现,88%的软件开发项目由于使用开源软件而引入了安全漏洞,平均每个软件开发项目中已知的开源软件安全漏洞有44个。可以看出,随着现代软件中开源组件使用比例的不断提高,以及组件安全问题的日益严峻,开源(或第三方)组件的发现和管理成为了一项关键甚至是强制性的功能在AST解决方案中。一。对于如何应对,Garter在其关于应用程序安全测试的报告中反复指出,虽然SCA技术不同于传统的应用程序安全测试技术,但它应该是应对开源安全的应用程序安全计划中不可或缺的一部分。.什么是SCA技术?软件组件分析(SoftwareComponentAnalysis,SCA)技术是指通过分析软件的组成,识别软件中使用的开源和第三方组件(如底层库、框架等),从而进一步发现开源安全风险和第三方组件中的漏洞。通常,SCA的检测目标可以是源代码、字节码、二进制文件、可执行文件等中的一种或多种。除了在安全测试阶段使用SCA技术分析软件外,SCA技术还可以集成到IDE中例如MSVC、Eclipse或SVN、Git等版本控制系统,从而控制开发者对开源组件的使用。2.应用安全编排与关联在《RSAC 2020趋势报告》“关注软件工程安全”的第五个趋势中指出,以DevSecOps为核心的话题不断成长成熟,话题围绕着风险管理、治理、合规和流程、框架等方面进行了讨论。一方面,由于敏捷开发和DevOps开发技术的趋势,对应用安全产品的自动化、工具化、时间控制等要求越来越高;另一方面,在DevSecOps的过程中,如何有效的使用各种应用安全产品,并关联它们的结果。今年十大创新沙箱的BluBracket和ForAllSecure,以及去年十大创新沙箱的ShiftLeft,都声称能够更好地帮助企业实施DevSecOps。我们来看看这些产品的共性:1.与研发工具链的集成与研发工具链的集成是DevSecOps趋势下应用安全产品必须具备的基本属性之一。例如ForAllSecure的主打产品Mayhem,作为fuzzing工具,可以与Travis、Jenkins、Gitlab、Github等集成。2.追求低误报率误报意味着需要人工干预审核,这将不可避免地打破了整个自动化构建过程。因此,为了顺应DevSecOps的需求,应用安全产品必须不断降低误报率。以BluBracket为例,它声称不会检测到误报。3.专注于检测更快的检测意味着更快的产品发布节奏。在ShiftLeft的宣传中,检测50万行代码只需要10分钟。为此,Gartner从各种产品中提取了这项技术,并将其称为应用程序安全编排和关联(ASOC):ASOC工具通过自动化工作流程简化了软件漏洞的测试和修复。第一个是安全测试自动化,第二个是从多个来源(SAST、DAST、IAST、SCA、漏洞评估等)提取数据。随着DevSecOps越来越被广大企业所接受,ASOC提供的便利将在两个关键方面越来越明显:一是应用安全测试计划的简化,从而带来管理工作流效率的提升;二是优先解决最关键的安全风险,解决资源稀缺问题。3、应用内保护在今年的Top10InnovationSandbox中,有两家从事WAF产品研发的公司入选,一家是美国的TalaSecurity,另一家是法国的初创公司Sqreen.如果只是传统的WAF,肯定进不了十大创新沙盒。那我们就来看看,这两款产品有哪些新颖的技术特点?TalaSecurity的主打产品是“客户端Web应用防火墙”,自动部署和动态调整浏览器本地控制(如CSP、SRI、HSTS等安全策略),防御跨站脚本、点击劫持等攻击。使用TalaWAF,无需更改应用程序代码,从而最大限度地减少对性能的影响。Sqreen产品平台主要包括两大核心模块:RASP和In-AppWAF。Sqreen声称可以防御OWASPTop10攻击(如注入攻击、XSS攻击等)、0-day攻击、数据泄露等攻击。可以为高级业务逻辑威胁创建安全的自动处置策略。不难看出,这两款产品其实都使用了In-APPProtection这一不同于传统WAF的技术。那么什么是应用内保护?In-APPProtection是指在应用程序内部(不同于网络侧或操作系统侧)实施的解决方案,使应用程序更能抵抗恶意数据泄露、入侵、篡改等攻击。借助应用程序内保护,企业可以保护其基于软件的资产,并保护自己和客户免受欺诈性攻击。In-APPProtection目前主要用于保护面向消费者的移动应用程序,尤其是那些在不受信任的环境中运行的应用程序。当然,由于具体的技术路线不同,In-APPProtection技术可能还是需要开发者的介入。因此,In-APPProtection技术的真正推广还需要开发者不断提高对此类保护技术的认知。4.泛代码安全作为构建各种应用程序和系统的基本组成部分,代码的安全是软件安全的根本原因。因此,AST领域有多种技术可以应用于代码安全保障,如静态应用安全测试技术(SAST)技术、动态应用安全测试技术(DAST)技术、软件组件分析(SCA)技术等等。在今年的RSAC中,代码安全的概念得到了进一步的延伸。正如RSAC创新沙盒公司BluBracket网站所言:一方面,代码是企业最重要的资产和核心竞争力,必须加以保护;攻击面,尤其是考虑到当今软件开发方式的开放性和协作性。源代码的安全管理往往被企业所忽视。例如,近两年因GitHub代码泄露引发的一系列安全事件。与传统先科相比,BluBracket的创新之处在于将代码泄露和控制不当融入到产品解决方案中。其产品CodeInsight主要针对代码的开源库进行发现、分类、持续跟踪和检测。在传统的SAST领域,BluBracket的CodeSecure采用了相对轻量级的解决方案,只专注于发现token、密码、用户隐私信息等敏感信息的泄露。因此其检测速度快,误报率低,也符合DevSecOps的要求。与近两年SAST领域流行的基于人工智能的误报和噪声筛选相比,我们可以看到,代码安全并没有沿着技术深度继续发展,而是朝着广义的“泛码”方向发展安全”。【本文为专栏作家“安牛”原创文章,转载请通过安牛(微信公众号id:gooann-sectv)获得授权】点此阅读作者更多好文
