《刘国隆金融行业DevSecOps安全测试体系建设与实践.pdf》由会员分享,可在线阅读,更多相关《刘国隆金融行业DevSecOps安全测试体系建设与实践.pdf(33页珍藏版)》请在三个皮匠报告上搜索。
1、金融行业DevSecOps安全测试体系建设与实践刘国隆 华泰证券信息安全专家注册信息隐私技术专家(IAPP-CIPT)、PMP,曾就职于华为技术有限公司,拥有多年的安全和隐私保护从业经历。在SDL/DevSecOps、应用安全设计、安全代码审计、WEB/移动安全测试、GDPR数据安全与隐私保护等领域具有丰富的经验。目前主要专注于应用安全测试体系建设、项目安全风险评估、DevSecOps落地、漏洞全生命周期运营与管理等。DevSecOps/SDL与安全评估安全测试工具链渗透测试与漏洞运营总结DevSecOps/SDL与安全评估上医治未病修复漏洞成本运行阶段:设计阶段=30倍安全左移 DevSec
2、Ops/SDL让安全贯穿整个软件开发生命周期根据英国的权威机构Information Security Forum的报告Application Security:Bring Order to Chaos,通过对全球150名应用开发决策者进行调查后发现,对应用安全的风险管理越早越经济-在运行阶段修复一个漏洞成本是在设计阶段修复同样问题的成本的30倍。ISF:Application Security:Bring Order to ChaosDevSecOps/SDL软件安全开发生命周期在设计、编码、构建、测试、发布、部署等软件开发生命周期各个阶段加入相应的安全活动,并启动安全质量门禁。金融行业De
3、vSecOps特点:存在大量外购产品、非标准化开发产品未接入DevOps流水线安全评估流程1.0安全需求分析架构评审安全设计源代码安全扫描开源组件安全扫描黑盒安全扫描渗透测试生产环境部署验证剩余风险评级与接受p!#$#%!#$#%p&()*+&()*+p&,-.&,-.p&/0.&/0.p12,-3412,-34p&5678p&569:p&56;.?=.?pABABC3?C3?pDE.?DE.?p BFG&HIp ABJKL?p JMN?p OPQRSTpUVWCXYUVWCXYZWCZWCpLWCLWCp_a%b_a%bp_cdef_cdefpghighip jGklm&?nFopqrp s
4、tNlm&?nBopqrp uvwxRyp zvwxRyp&hQRp&|I通过安全评估流程,实现对软件安全开发生命周期管理三叉戟安全评估流程2.0安全评估1.0安全评估2.0三叉戟核心功能:1.轻量级威胁建模自动化2.安全测试工具聚合集成与自动化3.数据驱动应用安全风险管理轻量级威胁建模1.0安全评估调查问卷安全威胁库安全需求库安全需求基线威胁建模的核心工作:通过对待建系统的分析,识别相关安全威胁,构建研发项目组必须实现的安全需求来缓释和控制安全风险。1.大量的工作需要人工介入2.威胁分析易产生遗漏三叉戟轻量级威胁建模2.0通过三叉戟实现安全威胁建模自动化三叉戟轻量级威胁建模2.0通过使用用户
5、场景、关键技术架构、数据处理活动等关键因子构成的调查问卷,内嵌轻量级威胁建模算法,构建相关安全需求,并映射相关安全验证活动三叉戟轻量级威胁建模2.0调查问卷安全需求分配安全需求执行安全需求验证通过三叉戟可以减少大量的人工分析工作并减少误判安全测试工具链三叉戟安全测试流程安全测试渗透测试安全工具链扫描安全测试主要分为安全工具链扫描与人工渗透测试安全工具链扫描的主要原则:1.安全工具能够集成到DevOps流水线的尽量集成2.对于集成有难度的尽量聚合扫描,减少人工操作三叉戟安全测试流程三叉戟与DevOps流水线同步自动化扫描漏洞数据对于大量外购产品和非标准化开发的产品提供聚合扫描入口,减少人工操作安
6、全工具链漏洞数据聚合与分析多个安全工具扫描出的漏洞聚合会造成杂、多、乱的问题安全工具漏洞过滤分析:误报率与漏报率安全工具漏洞评级优化:根据企业自身情况与漏洞实际利用条件对评级进行自动化调整安全工具漏洞聚合关联:根据不同工具对各类漏洞扫描准确率、可信度进行规则调优,关闭高误报、低可信规则安全渗透测试渗透测试类型安全评估渗透测试融入安全评估流程,在应用系统发生变更时应用系统变更内容包括但不限于:版本升级,设备替换或部署架构调整,新功能引入等;对于面向互联网应用:接口新增,逻辑校验改动等根据XXX技术开发操作流程以及XXX应用系统变更管理规范01互联网众测外部白帽子参与纯黑盒视角可通过周期性轮换白帽
7、子实现多角度攻击和测试漏洞的角度通常更加刁钻通常可以利用多个相关联的系统的多个漏洞相结合的方式02专项行动渗透测试集中一个有漏洞或者缺陷的领域进行渗透测试配合外部监管问题或者反馈的点状漏洞进行线/面的检查周期性行动,以实现定期资产的全遍历覆盖到位03攻防演练渗透测试实现攻击链路突破,高强度,多角度(深入内网,其他渗透测试类型均在网络边界进行)防护措施与设备的有效性验证04渗透测试与资产管理互联网资产台账漏洞类型分类与归一化典型攻击场景与攻击手法分类总结典型场景解决方案标准化定制威胁场景库归类尽量缩短资产全遍历的时间周期经常出现漏洞的系统特别关注和加强,形成高风险资产列表加强从社工视角看待资产与
8、威胁的关联度全资产周期遍历验证渗透测试常规性任务互联网资产台账更新,资产信息收集威胁场景库归类分析,解决方案标准化定制全周期资产遍历验证,防止“遗漏”的新增功能域名、子域名IPWEB应用系统URLAPP、EXE等程序客户端微信小程序/公众号内部渗透测试+外部渗透测试双循环模式驱动应用安全渗透测试内部渗透测试外部渗透测试场景:项目系统上线前进行安全测试结合安全评估流程存量系统(已上线)重复安全测试优势:相对于外部渗透测试,内部渗透测试能够直接获取到项目组提供的账号口令及系统信息,更容易、更快的发现漏洞场景:全视野+多系统联合安全测试重要系统持续监控安全测试优势:相对于内部渗透测试,系统完全以黑盒
9、的模式呈现在白帽子面前,不提供系统信息和账号口令,测试环境和手法更加接近黑客的攻击环境。找寻漏洞的难度增加,但相对的,找漏洞的角度更加刁钻,经常会以多个相互关联的系统的多个漏洞相结合的方式来破解系统的防御。安全评估渗透测试、专项渗透测试互联网众测、攻防演练相互验证交叉反馈信息差导致了不同的攻击视角与攻击手法消除盲点与影子资产安全评估过程渗透测试流程三叉戟安全评估任务下发流转待测系统基础信息收集第一轮渗透测试-测试环境主测第二轮渗透测试-测试环境复核风险评估-系统上线第三轮渗透测试-生产环境复核验证互联网应用系统渗透测试流程:1.基础信息收集的完整性对渗透测试覆盖面影响极大2.生产环境复核验证校
10、验生产环境系统情况是否与评估阶段描述一致(特别是外购系统)安全威胁分析与漏洞分类漏洞类型分类与归一化通过漏洞出现频率与影响程度进行排名,对特定种类漏洞制定攻坚任务典型攻击场景与攻击手法分类总结不同公司存在着特定的架构与编码习惯,产生了“漏洞产出偏好”与“攻击手法偏好”典型场景解决方案标准化定制针对威胁场景库归类分析,制定标准化解决方案有利于批量根除特定漏洞,有利于提升漏洞修复质量和修复效率漏洞定级标准属地原则定级方案处置方法CVE(Common Vulnerabilities&Exposures)基于CVE(Common Vulnerabilities&Exposures)评分,通常可以将漏洞
11、分为严重、高危、中危、低危和信息五个等级。但是CVE评分通常关注于漏洞本身技术评分,对漏洞实际影响缺乏足够的描述。VPT(Vulnerability prioritization technology)VPT(Vulnerability prioritization technology)漏洞优先级技术是采用某些方法和流程,动态的将需要修复的漏洞进行优先级排序和流程优化,提高修复效率,以达到用最少的时间实现最好的效果。漏洞通报的标准评分只能做参考,漏洞定级与风险披露须适用于公司的实际情况漏洞定级标准属地原则基于风险的漏洞管理(Risk-Based Vulnerability Managemen
12、t)2资产重要程度:漏洞所影响的业务资产的重要性3漏洞利用难度:漏洞是否在外网有公开的POC/EXP、是否需要用户交互、用户权限等限制条件4漏洞危害程度:漏洞被利用之后造成的影响面及危害1漏洞利用方式:漏洞是否可被互联网远程利用、局域网利用、本地利用6资产网络区域:漏洞所影响的资产所在网络区域,互联网区域(如SASS应用)、DMZ区域、核心网区域、测试区域,需考虑不同网络区域网络防护措施、同区域其他资产的脆弱性、资产的敏感程度5合法合规外部监管风险:是否符合法律合规要求、是否会遭到监管处罚7内部合规及安全规范:是否违反公司制定的内部安全规范及合规要求,如安全编码规范8漏洞修复成本:修复措施实施
13、的成本除了人力、时间之外,还包括影响业务连续性、造成业务中断的变更损失漏洞定级标准严重高危中危低危互联网业务24小时7天14天30天非互联网业务7天14天30天60天漏洞修复时限主要根据区域和严重程度来要求,处于互联网的业务应尽快修复漏洞,特别是可直接利用的漏洞。漏洞修复时限要求漏洞资产与数据驱动改进渗透测试漏洞数据自动化同步至三叉戟平台所有渗透测试均由Jira安全漏洞问题单形式进行跟踪,并辅以标签化进行责任定位、分类分级、量化聚合分析三叉戟漏洞运营平台1.漏洞数据聚合、分类分级、应用安全风险画像分析2.自动化邮件提示责任人待修复漏洞3.漏洞修复时长记录与超时提醒4.构建应用安全漏洞资产,促进
14、安全设计、安全编码、安全测试等策略的联动优化5.提供典型安全漏洞案例,供产品项目组学习漏洞修复率漏洞闭环时间(修复时长)TOP漏洞类型排行TOP漏洞危害度排行TOP应用安全风险排行核心指标核心功能安全漏洞问题单关闭流程渗透测试发现安全漏洞问题单关闭渗透测试复测系统责任人沟通确认系统责任人修复典型问题:!#$%()*+,-.!/0#123456789:;$?ABCD()*+,-./0#ED!#FGHIJ)#K!12L!修复方案:MNOPQR#STOPQR#6UVWXYZQR#漏洞修复:邮件自动化跟催漏洞推送跟催:X _abc defghXij以史为鉴漏洞年度总结分析漏洞趋势对比解决方案分析安全设计、编码、意识培训总结总结“自研”与“外购”产品与项目的开发方式不同决定着不同的上线流程,DevSecOps与SDL要适应于不同的产品形态与流程,安全评估的“全覆盖”非常重要“安全左移”与“安全右移”通过“安全右移”设置关卡控制系统上线与变更来促进“安全左移”“资产”与“风险”良好的“资产管理”是成功的“安全风险管理”先决条件Thanks