2022年12月28日,由懸鏡安全主辦,3S-Lab軟件供應(yīng)鏈安全實(shí)驗(yàn)室、Linux基金會OpenChain社區(qū)、ISC、OpenSCA社區(qū)聯(lián)合協(xié)辦的第二屆全球DevSecOps敏捷安全大會(DSO 2022)已通過全球直播的形式圓滿舉行。本屆大會以“共生·敏捷·進(jìn)化”為主題,以“敏捷共生,守護(hù)中國軟件供應(yīng)鏈安全”為使命,聚焦DevSecOps敏捷安全、軟件供應(yīng)鏈安全和云原生安全三大典型應(yīng)用場景下的新技術(shù)、新態(tài)勢、新實(shí)踐。
會上,大會出品人、懸鏡安全創(chuàng)始人子芽以“DevSecOps敏捷安全技術(shù)演進(jìn)洞察(2022)”為主題,圍繞DevSecOps敏捷安全技術(shù)演進(jìn)趨勢以及關(guān)鍵技術(shù)應(yīng)用實(shí)踐作了精彩分享,并正式發(fā)布了行業(yè)期待已久的第三版DevSecOps敏捷安全技術(shù)金字塔。
下面讓我們一同揭秘“DevSecOps敏捷安全技術(shù)金字塔V3.0”。
什么是DevSecOps敏捷安全技術(shù)金字塔?
隨著企業(yè)數(shù)字化轉(zhuǎn)型加速,更多的數(shù)字資產(chǎn)和員工處于傳統(tǒng)企業(yè)基礎(chǔ)設(shè)施邊界之外,同時(shí),各式各樣數(shù)字化轉(zhuǎn)型而來的新業(yè)務(wù)和新技術(shù)也成為企業(yè)安全團(tuán)隊(duì)的保護(hù)對象。企業(yè)若想應(yīng)對未來高級威脅和復(fù)雜場景的挑戰(zhàn),支持內(nèi)生自免疫、敏捷自適應(yīng)、共生自進(jìn)化的積極防御安全架構(gòu)成了必要選擇,安全功能應(yīng)可拆分成諸多原子化的安全能力,具備離散式制造、集中式交付、統(tǒng)一化管理、智能化應(yīng)用等關(guān)鍵能力,進(jìn)而通過控制層編排組合成適應(yīng)不同業(yè)務(wù)場景安全要求的敏捷工具鏈和體系化方案。
在這樣的大背景下,DevSecOps敏捷安全技術(shù)金字塔應(yīng)運(yùn)而生,它是DSO敏捷安全大會出品人子芽基于長期DevSecOps敏捷安全技術(shù)前沿研究探索成果和懸鏡安全團(tuán)隊(duì)在軟件供應(yīng)鏈安全和云原生安全領(lǐng)域多年的應(yīng)用實(shí)踐沉淀匯聚而來,融合了國內(nèi)外行業(yè)頭部企業(yè) “安全左移,從源頭做風(fēng)險(xiǎn)治理”和“敏捷右移,安全運(yùn)營敏捷化”的實(shí)踐思想,并持續(xù)內(nèi)涵了“出廠自免疫、敏捷自適應(yīng)、共生自進(jìn)化”的關(guān)鍵特性(關(guān)注‘懸鏡安全’官方公眾號,即可參考子芽專業(yè)著作《DevSecOps敏捷安全》,了解更多”)。其中,不同敏捷安全技術(shù)棧落入金字塔不同實(shí)踐階層的重點(diǎn)考量主要圍繞“技術(shù)創(chuàng)新度、產(chǎn)品成熟度和市場需求度”三個(gè)維度展開。
圖1 DevSecOps敏捷安全技術(shù)金字塔V3.0
DevSecOps敏捷安全技術(shù)金字塔V3.0有什么新變化?
圖2 DevSecOps敏捷安全技術(shù)金字塔-演進(jìn)對比
作為DevSecOps敏捷安全技術(shù)的引領(lǐng)指南,本次發(fā)布的3.0版本不僅延續(xù)了敏捷安全技術(shù)分層與企業(yè)組織DevSecOps成熟度非正比關(guān)系的編排原則,還引入了跨領(lǐng)域新技術(shù)與敏捷安全技術(shù)進(jìn)行深入的實(shí)踐融合。本次DevSecOps敏捷安全技術(shù)金字塔V3.0根據(jù)不同階段相關(guān)技術(shù)的應(yīng)用成熟度和落地效果進(jìn)一步細(xì)化了敏捷安全應(yīng)用實(shí)踐的階層,包含傳統(tǒng)建設(shè)層、應(yīng)用實(shí)踐層(敏捷安全實(shí)踐第一層)、技術(shù)探索層、效果度量層和卓越層(最高層)共五個(gè)階段,下面將逐一進(jìn)行技術(shù)解碼:
傳統(tǒng)建設(shè)層:WAF、EDR、Deception、CKS、ASTs
從網(wǎng)絡(luò)安全技術(shù)演進(jìn)和傳統(tǒng)縱深防御體系構(gòu)筑的視角,典型實(shí)用的安全技術(shù)主要分為邊界流量分析技術(shù)、端點(diǎn)環(huán)境檢測響應(yīng)技術(shù)和應(yīng)用情境感知響應(yīng)技術(shù)。
在金字塔V3.0中,懸鏡安全首次將Deception(攻擊欺騙)和CKS(容器和K8s安全)納入并置于傳統(tǒng)建設(shè)層,主要是考慮到趨勢發(fā)展和相關(guān)應(yīng)用實(shí)踐的成熟性,子芽提出,它們已經(jīng)成為不同企業(yè)在不同場景下的基本應(yīng)用要求。以CKS為例,隨著容器和微服務(wù)等新型基礎(chǔ)設(shè)施的日益普及和CKS技術(shù)門檻的大幅度降低,該技術(shù)被視為傳統(tǒng)安全體系建設(shè)過程中基本具備的安全能力。
作為傳統(tǒng)縱深防御關(guān)鍵技術(shù)的WAF、EDR以及ASTs依然入選。其中ASTs包括了SAST(白盒)、DAST(黑盒)和MAST(移動(dòng)應(yīng)用安全)三種傳統(tǒng)應(yīng)用安全測試技術(shù),子芽也提到,AST技術(shù)存在進(jìn)一步的融合趨勢。
應(yīng)用實(shí)踐層:IAST、SCA、RASP、BAS
在應(yīng)用實(shí)踐層中,涵蓋了四種既能在日常應(yīng)用實(shí)踐過程中具備較好應(yīng)用效果,又能與DevOps CI/CD管道柔和融合的創(chuàng)新技術(shù)。
其中,RASP(Runtime Application Self-protection,運(yùn)行時(shí)應(yīng)用自我保護(hù))由于在0DAY未知漏洞攻擊防御、API威脅免疫、紅藍(lán)對抗、軟件供應(yīng)鏈攻擊防御及應(yīng)用東西向威脅流量檢測響應(yīng)過程中相對出色的表現(xiàn)預(yù)期以及技術(shù)性能的大幅度提升,日漸被市場青睞,從過往所處的技術(shù)探索層踴躍至DevSecOps敏捷安全技術(shù)實(shí)踐的第一層。子芽預(yù)測,在接下來的三年中,RASP在HW、紅藍(lán)對抗等場景下會有更加廣泛的市場應(yīng)用。
此外,子芽著重強(qiáng)調(diào),在這一層中,IAST和RASP的深度融合是大勢所趨。隨著運(yùn)行時(shí)智能插樁、應(yīng)用威脅情境感知和API智能檢測響應(yīng)等關(guān)鍵技術(shù)的創(chuàng)新與突破,以IAST和RASP為核心的代碼疫苗技術(shù)迎來了蓬勃發(fā)展期。通過單探針的形式,代碼疫苗技術(shù)不僅能在測試環(huán)境中實(shí)現(xiàn)應(yīng)用風(fēng)險(xiǎn)檢測以及API挖掘和覆蓋分析,還能賦能數(shù)字化應(yīng)用實(shí)現(xiàn)攻擊威脅的出廠免疫以并提供運(yùn)行時(shí)敏感數(shù)據(jù)追蹤等關(guān)鍵能力,實(shí)現(xiàn)檢測響應(yīng)一體化,支持軟件供應(yīng)鏈攻擊防御、0DAY未知漏洞攻擊防御、應(yīng)用東西向威脅流量檢測響應(yīng)、無文件攻擊檢測響應(yīng)、漏洞攻擊全鏈路回溯及API威脅免疫等復(fù)雜應(yīng)用場景。
圖3 All in one:“代碼疫苗”單探針深度融合
技術(shù)探索層:DRA、SDE、Fuzzing
作為DevSecOps敏捷安全技術(shù)實(shí)踐的第二層,引入的創(chuàng)新技術(shù)都是具備強(qiáng)技術(shù)突破性,可具體解決某類應(yīng)用場景下突出問題,但在通用應(yīng)用效果、市場需求和實(shí)踐方面還有巨大提升潛力的前瞻性技術(shù)。
DRA(Data Risk Assessment,數(shù)據(jù)風(fēng)險(xiǎn)評估)是首次引入金字塔的創(chuàng)新技術(shù)。在子芽看來,DRA作為開展數(shù)據(jù)安全治理工作的基礎(chǔ),主要關(guān)注數(shù)據(jù)安全風(fēng)險(xiǎn)包括數(shù)據(jù)傳輸、個(gè)人隱私、數(shù)據(jù)生命周期管理、技術(shù)漏洞等,不但受國家法律和監(jiān)管要求的強(qiáng)推動(dòng),而且是DevSecOps敏捷安全技術(shù)實(shí)戰(zhàn)需求。對此子芽指出,隨著DevSecOps敏捷安全技術(shù)應(yīng)用實(shí)踐的深入,敏捷安全體系的建設(shè)不再只關(guān)注應(yīng)用級別的漏洞和外部攻擊威脅,還將進(jìn)一步深入到敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)評估和治理工作。
同樣作為首次引入金字塔的創(chuàng)新技術(shù),SDE(Securing Development Environment,開發(fā)環(huán)境安全)涉及保護(hù)完整的軟件開發(fā)環(huán)境,包括但不限于源代碼存儲庫、CI/CD 管道、應(yīng)用程序工件和用戶身份信息。鑒于軟件供應(yīng)鏈攻擊、開源工具的廣泛使用以及遠(yuǎn)程工作方式導(dǎo)致的風(fēng)險(xiǎn)增加,保護(hù)開發(fā)環(huán)境變得至關(guān)重要。子芽認(rèn)為,透過近年來的RSAC創(chuàng)新沙盒大賽可以發(fā)現(xiàn),代碼安全和開發(fā)環(huán)境安全已然成為軟件供應(yīng)鏈安全的主要抓手,正呈現(xiàn)融合發(fā)展的趨勢。
這一層中第三個(gè)創(chuàng)新技術(shù)是連續(xù)三次引入金字塔的Fuzzing(API模糊測試),聚焦未知漏洞挖掘和異常風(fēng)險(xiǎn)發(fā)現(xiàn)。但子芽表示,受限于其獨(dú)特的技術(shù)原理和高應(yīng)用門檻,對常態(tài)化使用它的用戶有著較高的專業(yè)技能要求,且在檢測精度、技術(shù)性能上有較大提升空間,F(xiàn)uzzing未來仍需要一段時(shí)間才能成熟。
效果度量層:ASOC、CNAPP
作為DevSecOps敏捷安全技術(shù)實(shí)踐的第三層,引入的都是框架型平臺技術(shù),側(cè)重于提升整個(gè)敏捷安全體系的運(yùn)營效率,但在市場需求和實(shí)踐方面尚有巨大提升潛力。
ASOC(Application Security Orchestration and Correlation,應(yīng)用安全編排與關(guān)聯(lián))也是首次引入金字塔的創(chuàng)新技術(shù)。子芽介紹到,它是由過往版本金字塔中的ASTO(Application Security Testing Orchestration,應(yīng)用安全測試自動(dòng)化編排)和AVC(Application Vulnerability Correlation,應(yīng)用程序漏洞關(guān)聯(lián))兩項(xiàng)技術(shù)合并而成,核心優(yōu)勢在于可以較大程度提高DevSecOps的運(yùn)行效率,可將面向應(yīng)用安全(Appsec)的DevSecOps敏捷安全工具鏈真正運(yùn)營起來,是安全左移實(shí)踐思想的重要落地抓手。ASTO強(qiáng)調(diào)的是向下編排安全工具鏈,以智能自動(dòng)化的方式來完成安全活動(dòng);AVC則從漏洞入手,針對各種AST工具長久以來無法解決的誤報(bào)、重復(fù)等問題,引入漏洞關(guān)聯(lián)分析手段協(xié)助用戶進(jìn)行更好的修復(fù)優(yōu)先級判斷。
CNAPP(Cloud-Native Application Protection Platform,云原生應(yīng)用保護(hù)平臺)同樣是首次引入,它不是簡單拼湊工具,而是一個(gè)云原生安全框架型技術(shù),通過將現(xiàn)有的云安全技術(shù)融合到一個(gè)統(tǒng)一的面向應(yīng)用全生命周期的解決方案中,并將已經(jīng)存在的單點(diǎn)防護(hù)進(jìn)行整合,實(shí)現(xiàn)了從代碼開發(fā)到構(gòu)建再到部署運(yùn)行整個(gè)應(yīng)用生命周期的安全可視化以及安全防護(hù),子芽指出,從這個(gè)角度理解,CNAPP是安全左移的典型表現(xiàn)。它同樣也是敏捷右移實(shí)踐思想的重要落地抓手,重點(diǎn)從保護(hù)基礎(chǔ)設(shè)施轉(zhuǎn)向保護(hù)工作負(fù)載和在這些工作負(fù)載上運(yùn)行的應(yīng)用程序,可在統(tǒng)一平臺中執(zhí)行所有這些功能,幫助消除DevSecOps流程中的摩擦。
卓越層:CARTA
作為DevSecOps敏捷安全技術(shù)實(shí)踐的最高層,也是DevSecOps敏捷安全體系建設(shè)的終極愿景,連續(xù)三年被CARTA占據(jù)。CARTA(Continuous Adaptive Risk and Trust Assessment,自適應(yīng)風(fēng)險(xiǎn)與信任評估)從規(guī)劃、構(gòu)建、運(yùn)營三個(gè)維度動(dòng)態(tài)評估企業(yè)的數(shù)字化業(yè)務(wù)在整個(gè)軟件全生命周期中面臨的風(fēng)險(xiǎn)和信任,不追求零風(fēng)險(xiǎn),不要求100%信任,持續(xù)構(gòu)建一個(gè)信任和彈性的研運(yùn)一體化安全環(huán)境,使得企業(yè)組織能夠敏捷地、和業(yè)務(wù)共生地、持續(xù)進(jìn)化地參與到軟件供應(yīng)鏈安全建設(shè)和保障中去。
圖4 CARTA自適應(yīng)風(fēng)險(xiǎn)與信任評估框架
子芽重點(diǎn)提到,網(wǎng)絡(luò)安全的本質(zhì)是風(fēng)險(xiǎn)和信任的動(dòng)態(tài)平衡。DevSecOps不是安全開發(fā)和安全運(yùn)營的簡單結(jié)合,安全開發(fā)的終點(diǎn)也不能簡單歸結(jié)為漏洞處置,安全運(yùn)營的終點(diǎn)亦不能簡單歸結(jié)為威脅響應(yīng),而是應(yīng)以終(漏洞處置和威脅響應(yīng))為始,回歸應(yīng)用和體系,以人為本,結(jié)合智能自動(dòng)化技術(shù)實(shí)現(xiàn)共生、敏捷、進(jìn)化的安全新局面,形成真正意義上的應(yīng)用全生命周期持續(xù)安全大循環(huán),這才是DevSecOps敏捷安全體系建設(shè)的終極愿景,也正是DevSecOps莫比烏斯環(huán)所真正象征的意義。
DevSecOps敏捷安全技術(shù)如何落地?
最后,子芽分享了DevSecOps在落地過程中的輕量級應(yīng)用實(shí)踐指南。輕量級是指該指南不是簡單面向DevSecOps敏捷安全技術(shù)金字塔所囊括的所有技術(shù),力求能結(jié)合企業(yè)自身安全體系建設(shè)現(xiàn)狀在短中期內(nèi)達(dá)到一定的實(shí)踐效果,幫助企業(yè)用戶逐步構(gòu)筑一套適應(yīng)自身業(yè)務(wù)彈性發(fā)展、面向敏捷業(yè)務(wù)交付并引領(lǐng)未來架構(gòu)演進(jìn)的安全開發(fā)運(yùn)營共生體系,兼顧文化、流程、技術(shù)演進(jìn)和持續(xù)度量。
圖5 DevSecOps輕量級應(yīng)用實(shí)踐指南
DevSecOps敏捷安全技術(shù)金字塔V3.0的發(fā)布,又一次刷新了行業(yè)力量對軟件供應(yīng)鏈安全體系建設(shè)的新認(rèn)知,全方位、系統(tǒng)性、深層次地把脈了DevSecOps敏捷安全技術(shù)的未來演進(jìn)趨勢、軟件供應(yīng)鏈安全領(lǐng)域技術(shù)創(chuàng)新研究和落地實(shí)踐的進(jìn)化方向,更以實(shí)際行動(dòng)推動(dòng)安全產(chǎn)業(yè)生態(tài)共建、共治、共享,傳遞和初步踐行了DSO敏捷安全大會“敏捷共生,守護(hù)中國軟件供應(yīng)鏈安全”的使命。
