2021年,中国网络安全行业迎来了新的发展,以更加蓬勃的力量快速生长,呈现欣欣向荣的趋势。同时,WitAwards 2021中国网络安全行业年度评选也迎来了全新高度,诞生了一大批富有影响力的网络安全代表,引领着网安行业快速前行。
WitAwards 2021年度评选入围项目接近200个,竞争激烈是历届WitAwards年度评选之最,观众投票数量突破10万。如今,WitAwards 2021中国网络安全行业年度评活动已落下帷幕,八大奖项已有归属。
其中,默安科技“一站式开发安全解决方案”斩获了“WitAwards 2021中国网络安全行业年度优秀解决方案奖”。
众所周知,随着传统瀑布流式的开发模式成为过去时,以DevOps为代表的敏捷开发框架更加适应当下互联网的发展节奏,软件开发、交付、部署的速度更快,迭代更频繁,但由此也带来了诸多开发的风险。
开源生态的蓬勃发展和大规模应用进一步加剧了开发风险。Synopsys 发布《2020 年开源安全和风险分析报告》指出,不安全的开源软件已比比皆是。国内官方和厂商的报告也表明,近年来,安全漏洞在以一个恐怖的速度激增,严重威胁着软件安全。
在这样的情况下,开发安全成为企业关注的方向。但是,如何在保证软件交付速率不降低的前提下,将安全贯穿至开发到运维的全生命周期中;如何在不同的开发模式下融合安全能力,是企业构建安全、高效的开发体系绕不过的两个问题。
带着这些疑问,FreeBuf特邀默安科技联合创始人&CTO云舒进行专访。
云舒,16年以上安全从业经验、行业大V,欺骗防御理念的重要布道者之一,先后服务于绿盟、雅虎和阿里巴巴。 原阿里巴巴集团安全部资深安全专家、阿里巴巴云计算安全架构负责人&设计者、阿里云盾网络安全产品负责人,国内非常有影响力的安全专家。
从核弹级漏洞看开发安全
2021年12月9日,一个名为“ApacheLog4j2”的“核弹级”漏洞在国内彻底爆发,无数运维、安全技术人员彻夜无眠,半夜紧急赶回公司修复漏洞者比比皆是,圈内一片哀嚎之声,直到今天依旧未能彻底解决,其影响之大完全可以和永恒之蓝病毒相媲美。因此,当这个漏洞爆发的时候,它立即被评为CVSS等级中的最高严重程度——10级。
资料显示,ApacheLog4j2是一个基于Java的日志记录工具,来源于Apache开源项目,被大量用于业务系统开发,用来记录日志信息,几乎所有的互联网企业都受到影响。同时,该漏洞利用方式十分简单,攻击者可远程触发并以此远程控制计算机。
2020年12月初也爆发了一次重大安全事故——SolarWinds 供应链攻击事件,被称为“史上最严重的供应链攻击事件”,包括微软、思科在内的多个世界500强企业和美国国务院、五角大楼等政府机构遭到入侵,波及全球多个国家和地区的18000 多个用户。
对此,云舒表示,ApacheLog4j2漏洞和SolarWinds 供应链攻击事件绝对不会是最后一个,随着物联网、云计算、人工智能的进一步发展,未来还有可能发生此类超大影响的安全事件。
采访中,云舒分享了一个例子。
早年银行电子化远没有这么普遍,用户去柜台办理转账时工作人员会给一张纸质的汇款单,填好之后用户需要将汇款单从格子里塞回去,再由工作人员完成转账工作。在那个时候,银行的业务系统存在物理隔离,用户是无法直接触碰到业务系统。
如今,手机银行已经成为标配,每一个用户都可以直接触碰银行业务系统,可以自由转账、付款。这虽然大大方便了用户的使用,但也让很多不法分子(攻击者)可以直接触达银行的业务系统。
银行只是其中一个明显的例子。随着互联网+的快速发展、赋能各行各业,电子化、数字化开始迅速发展,但也让企业面临的风险,暴露在互联网的攻击面大大增加,也大大增加了被攻击或被发现漏洞的概率。
但是,漏洞发现得越晚,修复成本越高。当一个已经有了庞大用户群体的产品忽然爆发了一个关键漏洞,修复成本除了下线、修复、重新上线导致的业务损失成本、人员成本之外,甚至还包括了消除公关事件影响方面的成本,将对企业造成严重的损失。
越来越多的企业开始疑惑,何不让安全前移?在产品开发阶段发现漏洞,修复成本将要小得多,开发安全逐渐成为企业重点的方向。
当下,企业数字化转型的浪潮已经出现,传统企业加速数字化已经不可逆。在这个过程中,云舒发现他们把很多互联网企业早期犯过的错误又犯了一遍。
例如近几年关于智能设备漏洞的研究不少,但是被发现的很多漏洞还和以前一样,多是HTTP请求里面输入命令直接执行、CSRF、栈溢出、登录绕过等。这些其实也是以前互联网企业经常出现的漏洞和错误。
正因为看到越来越多这样的问题,云舒和其团队萌生了做“开发安全”的念头。他敏锐地发现这是一片巨大的市场,很多企业确实需要有人来帮助他们做好这部分工作,这样企业在数字化转型中可以少走点弯路,可以更好地专注于业务转型和发展。
用他的话来说,“企业负责数字化转型,我们负责开发安全。”于是,云舒和默安科技开始了他们的“开发安全”深耕之路。
将安全塞进开发全链路中
安全前移对于提高开发的安全性效果斐然,但是单一的安全技术或工具无法解决开发过程中的安全问题,世界软件巨头微软曾经在这方面进行了非常多的尝试,但是效果依旧不太理想。
因此,当云舒决心在开发安全上做点事情时,他一直在琢磨一个问题:如何真正将安全防护塞进软件开发的全链路中,系统化解决开发安全面临的难题。
但是,这也面临着一个巨大的难题:安全融入开发是否会增加工作量,与之相应的开发、测试人员会不会买安全的账?
云舒表示,在过去很长一段时间,安全和开发常处于对立状态,重安全则安全部门强势,迫使开发部门改代码、打补丁、回归测试等;重开发则开发部门强势,安全部门提出的很多安全建议被弃之不理。
造成这种局面责任不在开发,也不在安全,关键是没有解决好安全和开发之间的平衡问题。在吸取了这方面的教训之后,云舒提出了“一站式”开发安全解决方案,将安全要融入到开发的每一个流程之中,不仅不会增加开发的工作量,还可以对开发进行赋能,从根本上解决软件漏洞无法收敛和难以修复的问题。
在这个方案中,安全将会迁移至产品开发的最前端——产品需求分析阶段,因为在这个过程中就已经面临着风险。
云舒举了个简单的例子。
“用户注册登录”是互联网最常见的需求模块,那么在注册阶段需要采集哪些信息,是否符合的当下的《数据安全法》《隐私保护法》等法律的要求。当用户找回密码时是否存在逻辑漏洞,账号密码存入的数据库是否存在注入漏洞等。事实上,当一个产品需求分析文档确定之后,很多威胁、风险也就已经明确。
因此,默安科技一站式开发解决方案以威胁建模产品为开头,从开发的源头进行介入,开发人员就可以参考威胁建模产品提供的威胁分析文档调整产品的整体架构,提前降低安全风险。
在研发阶段,该解决方案更加侧重对研发项目的代码进行审计,全面分析安全现状,并提供该环节的全流程审批追溯能力。例如SAST静态代码安全测试平台,SCA三方软件成分分析平台等,对于开源代码引用也有相应的审计效果。
云舒表示,当前开源代码十分火热,但是彼此之间的引用关系十分庞杂。例如a代码库可能引用了b代码库,而b代码库可能引用了c代码库......倘若底层的某个代码库出现了问题,那么其影响将会是毁灭性的。
例如上文提及的ApacheLog4j2远程代码执行漏洞就是其中的典型代表,所以漏洞爆发时几乎影响了绝大多数企业。同时,引用开源代码还涉及其他风险,包括知识产权、合规等,这些问题都需要重视,也都需要在编码阶段解决。此时,安全的存在并不会增加开发的任务量,可在第一时间找出问题,免去了测试之后反馈问题的路径,反而会提升开发的效率。
而在测试阶段,主要依靠的是IAST动态交互式测试工具。云舒表示,默安科技在这方面有多种切入方式,可基于交换机的流量,也可以是代理流量,还可以直接安装在测试系统中,这也是近年来比较火热的安全测试方式。
最后是上线前的测试。在这个阶段,默安科技通过黑盒来寻找漏洞,在这个阶段不需要对业务做任何改动,使用起来最为简单。
总的来说,默安科技根据开发各阶段的不同需求,为企业提供完整的开发安全工具链,包括STAC、SAST、DAST、IAST,及SCA工具,可覆盖软件开发过程中的编码、测试和上线等关键阶段。
此外,该解决方案另一个优势是,每个阶段、每个产品之间的数据都已全部打通,那么整个方案的效果将会更加连贯,也将更有针对性。
产品+服务+平台
采访中,云舒曾多次提到一个词语:适应。
例如在上述的开发解决方案中,安全完全融入在整个开发生命周期中,安全的存在并不会增加开发的任务量,也不会让研发流程变的臃肿,其中的诀窍就是“适应”二字。
为了更好地适应企业开发的实际需求,云舒表示,默安科技的一站式开发安全解决方案实际上包含了两个方案:一是重审批、重制度的传统开发流程,默安科技提供的是SDL开发安全解决方案,另外一个解决方案则是面向开发模式更加敏捷的互联网企业、银行等金融机构。
当然,仅仅是这些还不够。企业开发安全情况一直都比较复杂,每个企业的实际问题不尽相同,很多时候都要具体分析,因此默安科技提出“产品+服务+平台”的模式,其目的就是为了让安全适应开发,更好地赋能开发。
云舒表示,默安科技的解决方案一直都是主动适配企业的开发体系和环境。例如用户在使用该解决方案时,只需要提供完整的API接口即可,甚至不需要进入产品界面,可以自己写脚本运行其产品,而安全产品的界面是让安全人员来看的,完全不影响开发人员的工作。再比如在测试环节,该方案不会引入任何额外的测试内容,对于敏捷开发、交付无任何影响,可以完全融入到开发体系之中。
默安科技还配备全方位专家组,包括咨询专家、安全开发建设专家、攻防专家及方案专家,可针对不同岗位提供工具使用、安全技能与意识培训,以“陪伴式服务”的方式为企业规划完善的长期开发安全建设路线。
为了进一步强化运营的效果,企业可依托默安科技的产品去做服务。云舒表示,其运营能力主要来源于产品,因此对于安全专家的服务依赖性更低,只要掌握了产品的使用方式,其运营效果将会更加稳固,也更加标准化。
为了进一步提高开发安全解决方案的融入程度,2021年12月27日,默安科技研发安全一体化管理平台正式发布,可打破开发安全工具/安全数据的“孤岛”局面,从安全风险生命周期管理和流程管理的维度落地SDL/DevSecOps,满足网安法与关基条例的“三同步”原则。
云舒表示,一体化管理平台将会把诸多安全产品吸纳进来,并将这些产品更有效地管理起来,企业可以直接调用指定的安全产品,而不用进入到每个安全产品之中进行操作。这样的话,企业只需要在一体化平台上创建项目,以项目的方式来管理产品,同一个项目的各个阶段的效果、数据全部沉淀下来,企业可以直观了解完整的流程。
此外,一体化平台还可以兼容其他厂商的安全产品,只要API是开放的,企业就可以将这些产品对接进来,进一步降低一站式解决方案的落地成本,降低企业总体的开发、运营成本。
这才是安全融入开发流程的真正目标。安全的存在不是为了降低开发的速率,相反随着互联网、物联网、人工智能等新兴技术的进一步发展,软件开发和交付将会向着更加敏捷的方向迈进。
在这个过程中,安全风险也在成倍增加。这也正如云舒在采访中所强调的:安全存在的真正意义是赋能开发,在开发的每个阶段检测出存在的安全风险,降低各个流程中发现漏洞、修复漏洞的时间和成本,提升软件整体交付速率,实现降本增效的最终目的。