《2. 《交互式应用程序安全测试工具能力要求》标准解读 - 郭雪(25页).pdf》由会员分享,可在线阅读,更多相关《2. 《交互式应用程序安全测试工具能力要求》标准解读 - 郭雪(25页).pdf(25页珍藏版)》请在三个皮匠报告上搜索。
1、交互式应用程序安全测试工具能力要求交互式应用程序安全测试工具能力要求标准解读标准解读演讲人:郭雪演讲时间:2021.07.21业界研发阶段可信安全理念尚未建立可信安全理念现状可信安全理念现状目前的可信安全理念侧重于运营阶段,进行上线之后的确认,研发阶段的可信安全关注度相对较少覆盖软件研发运营全生命周期的可信安全理念尚未建立研发研发运营运营研发阶段可信安全关注度相对较少研发阶段可信安全关注度相对较少,安全保障安全保障能力参差不齐能力参差不齐,“可信安全理念尚未建立可信安全理念尚未建立”运营阶段可信安全关注度高,安全保障较为成熟,运营阶段可信安全关注度高,安全保障较为成熟,以传统安全防御手段,如W
2、AF、IDS、IPS为主构建覆盖研发运营全流程的安全体系标准势在必行要求阶段要求阶段安全需求分析阶段安全需求分析阶段设计阶段设计阶段研发阶段研发阶段验证阶段验证阶段发布阶段发布阶段运营阶段运营阶段管理制度流程管理制度流程传统安全左移下线阶段下线阶段 传统研发运营安全侧重于在验证及运营阶段传统研发运营安全侧重于在验证及运营阶段,进行安全威胁排除进行安全威胁排除、漏洞修复漏洞修复,更多是更多是被动式安全防御被动式安全防御。进行安全左移进行安全左移,需求需求、研发阶段便进行安全介入研发阶段便进行安全介入,从源头处降低安全风险从源头处降低安全风险,实现实现主动主动式安全防御式安全防御,构建覆盖软件应用
3、服务全生命周期的安全体系框架势在必行构建覆盖软件应用服务全生命周期的安全体系框架势在必行。众厂商专家参与,制定可信研发运营安全能力成熟度模型标准中国信息通信研究院牵头中国信息通信研究院牵头,悬镜安全悬镜安全、华为华为、腾腾讯讯、阿里阿里、京东云京东云、金山云金山云、深信服深信服、华大基因华大基因、普元信息普元信息、新华三新华三、烽火科技烽火科技、安恒安恒、中兴中兴、百百度云度云、曙光云等国内众多头部厂商参与制定曙光云等国内众多头部厂商参与制定。可信研发运营安全能力成熟度模型参考框架,分可信研发运营安全能力成熟度模型参考框架,分为管理制度以及涉及软件应用服务全生命周期的为管理制度以及涉及软件应用
4、服务全生命周期的要求阶段、安全需求分析阶段、设计阶段、开发要求阶段、安全需求分析阶段、设计阶段、开发阶段、验证阶段、发布阶段、运营阶段和下线阶阶段、验证阶段、发布阶段、运营阶段和下线阶段九大部分,每个部分提取了关键安全要素,规段九大部分,每个部分提取了关键安全要素,规范了企业研发运营安全能力的成熟度水平。范了企业研发运营安全能力的成熟度水平。适用于软件提供者在落地实践研发运营安全时进适用于软件提供者在落地实践研发运营安全时进行参考与评价,也可为第三方机构对于企业的研行参考与评价,也可为第三方机构对于企业的研发运营安全能力审查和评估提供标准依据。发运营安全能力审查和评估提供标准依据。可信研发运营
5、安全能力成熟度模型可信研发运营安全能力成熟度模型自动化安全工具是落地研发运营安全理念的必要途径研发运营安全工具系列标准静态应用程序安全测试工具能力要求静态应用程序安全测试工具能力要求(SAST)交互式应用程序安全测试工具能力交互式应用程序安全测试工具能力要求要求(IAST)开源软件审计平台能力要求开源软件审计平台能力要求(SCA)动态应用程序安全测试工具动态应用程序安全测试工具(DAST)应用运行时自我保护系统应用运行时自我保护系统(RASP)交互式应用程序安全测试工具凭借其独特优势成为业界焦点交互式应用程序安全测试工具指通过插桩技术,基于请求及运行时上下文综合分析,高效、准确地识别安全缺陷及
6、漏洞,确定安全缺陷及漏洞所在的代码位置。相较于发展较早的SAST及DAST工具,IAST工具优势分析相较于SAST工具,IAST工具基于请求及运行时上下文信息综合分析,安全漏洞误报率低IAST工具结果反馈及时,随着业务测试可及时反馈安全测试相关数据,提升研发效率相较于DAST工具,基于被动插桩技术进行的IAST测试对于业务场景侵入性低,不产生脏数据交互式应用程序安全测试工具标准应运而生交互式应用程序安全测试(IAST)工具能力要求2020年10月-2021年3月2020年9月启动标准预研及编写工作华为、腾讯云、开源网安、奇安信、悬镜安全、安恒、默安科技、西安邮电大学、中兴、新华三1235420
7、21年4月2021年5月2021年7月标准内容完善线下调研交流,线上研讨会,持续完善标准内容首批评估正式启动依据标准进行的首批评估正式启动标准正式立项(CCSA)TC1 WG5工作组会议上已成功立项首批评估结果发布2021年可信云大会发布首批评估结果交互式应用程序安全测试工具能力要求行业标准 面向云计算的研发运营安全工具能力要求 第3部分:交互式应用程序安全测试工具标准是国内首个针对交互式应用程序安全测试工具的标准,旨在帮助工具厂商规范和提升交互式应用程序安全测试工具质量,同时为企业用户对此类工具选型提供参考 目前该标准已经在中国信息通信标准化协会(CCSA)成功立项,由及悬镜安全共同牵头。2
8、021年上半年开展了首批评估工作。目的目的、意义及工作进展意义及工作进展 中国信息通信研究院、悬镜安全、华为技术有限公司、腾讯云计算(北京)有限责任公司、深圳开源互联网安全技术有限公司、奇安信科技集团股份有限公司、新思科技、杭州安恒信息技术股份有限公司、中国联合网络通信集团有限公司、杭州默安科技有限公司、中兴通讯股份有限公司、新华三技术有限公司、西安邮电大学等参与单位参与单位交互式应用程序安全测试工具能力要求标准九大部分检检测测分分析析能能力力要要求求灵灵活活性性能能力力要要求求分分析析辅辅助助能能力力要要求求开开发发流流程程嵌嵌入入能能力力要要求求兼兼容容性性能能力力要要求求扩扩展展性性能能
9、力力要要求求部部署署能能力力要要求求服服务务支支持持能能力力要要求求安安全全性性能能力力要要求求交互式应用程序安全测试(IAST)工具能力要求从用户视角出发,涵盖检测分析能力要求、灵活性能力要求、分析辅助能力要求、开发流程嵌入能力要求、扩展性能力要求、兼容性能力要求、部署能力要求、安全性能力要求、服务支持能力要求九大部分,指导厂商进行安全工具建设,帮助用户进行选型参考。工具功能指标工具性能指标漏报率、误报率检测分析能力是工具的基础要求支持的编程语言支持的编程语言主流编程语言:C#、Java、NodeJs、PHP、Python常用编程语言:Go中间件中间件、库及开发框架类型库及开发框架类型主流中
10、间件、库及开发框架C#:.Net CoreJAVA:Dubbo、Spring、Struts2、Struts、PHP:Apache Module、PHP-FPMPython:Django、Flask、Falcon、Pylons常用中间件及开发框架Go:Beego、Gin支持的检测方支持的检测方式式 被动式检测分析对被动模式(动态污点追踪)检测的漏洞,应支持通过主动验证进一步确定漏洞有效性 主动式检测分析安全漏洞风险类型支持安全漏洞风险类型支持 工具应覆盖常见类型的安全漏洞风险,包括:注入类;失效身份验证和会话管理;敏感信息泄露;XML外部实体注入攻击(XXE);失效的访问控制安全配置错误等。检测
11、分析类型要求检测分析类型要求支持HTTP/HTTPS协议支持Web 应用/APP Server应用场景支持微服务分布式应用场景误报率要求漏报率要求工具性能、漏报率、误报率决定工具竞争力针对不同厂商工具,具体漏报率对比指使用工具检测分析同一靶场项目,记录出现的安全风险漏报比例。针对不同厂商工具,具体误报率对比指使用工具检测分析同一靶场项目,记录出现的安全风险误报比例。检测分析性能要求针对不同厂商工具,具体检测分析性能对比指使用工具检测分析同一靶场项目,记录底层资源利用率及检测完成时间等相关指标。灵活性能力要求适配用户常见需求01.检测分析配置能力要求检测分析配置能力要求漏洞类型漏洞级别请求、参数
12、、函数的黑白名单针对主动式,支持设置请求、参数、函数的检测超时时间02.使用模式使用模式03.告警能力要求告警能力要求图形用户界面模式接口调用模式DevOps插件模式04.网络环境调试网络环境调试自定义HOST/DNS上下游代理配置及网络测试如ping/curl等05.性能熔断配置性能熔断配置交互式应用程序安全测试工具应支持设置插桩探针的性能阈值红线,当超过此阈值时,触发熔断机制。自动化进行高危漏洞告警通知,应使用多种告警方式支持根据告警级别设置不同告警方式支持用户自定义设置告警机制分析辅助能力帮助研发人员实际解决代码安全缺陷支持缺陷快速定位支持缺陷快速定位 支持缺陷所属的风险类型、支持查看所
13、属项目,负责人员 支持查看缺陷所属模块,精确到代码位置 支持查看缺陷数据所关联的代码上下文的详细.支持任务的集中管理与展示支持任务的集中管理与展示 任务风险总数 风险修复总数 项目安全等级 任务状态统计 所属人及所属项目支持结果的对比分析支持结果的对比分析 标识新/修复/消失等类型问题 借助图表或数据展示多次检测的结果对比分析 针对主动式工具,支持对全部请求回归测试漏洞的数据流跟踪、修复状态支持查看集中式问题分类和详细历史记录修复状态提供代码示例支持请求重发支持修改漏洞描述及修复建议报表展示要求报表展示要求支持基于角色提供相应报表的能力;支持多种报表格式;支持报表能力自定义;提供缺陷的修复指导
14、提供缺陷的修复指导权限控制及审计能力要求权限控制及审计能力要求支持日志审计功能,包含对操作信息及系统日志信息;支持基于角色的账户管理权限控制;支持自定义创建多等级权限团队支持缺陷数据的多维度统计及展示支持缺陷数据的多维度统计及展示 支持按照安全级别进行数据统计、展示 支持按照项目进行数据统计、展示 支持按照缺陷类型进行数据统计、展示开发流程嵌入适配当前开发环境集成集成CI/CDCI/CD系统系统 Jenkins Travis CI Gitlab CI应支持以下CI/CD流程:集成缺陷跟踪系统集成缺陷跟踪系统应支持以下主流的缺陷跟踪系统:Jira Bugzilla扩展性能力提升工具开放性 开放功
15、能接口的API,供第三方调用 提供完备的API文档核心分析引擎功能接口化核心分析引擎功能接口化 提供接口,将分析结果数据/插件集成到其它平台展示和管理 支持将其它分析引擎/平台的结果集成到当前工具的分析管理平台与分析平台的集成 漏洞规则自定义指为了满足适配用户自身业务场景需求,交互式应用程序安全测试工具应能够支持用户高度自定义漏洞检测规则。漏洞规则自定义 为适应用户特殊业务场景,交互式应用程序安全测试工具应支持进行二次开发,以方便用户提升工具消除误报/漏报的能力。支持二次开发兼容性是工具必备要求,满足业界主流系统应兼容以下业界主流的浏览器:Chrome;Firefox;IE/Microsoft
16、 Edge;Safari操作系统兼容性操作系统兼容性浏览器兼容性浏览器兼容性应兼容以下业界主流的操作系统:WindowsLinuxMacOS部署能力决定工具使用环境部署模式部署模式 公有云模式;私有云模式;本地单机模式。01工具架构工具架构 硬件资源的利用能力;多任务处理能力;多引擎集群部署能力02安装支持安装支持 支持自动化部署方式 软硬件环境最小需求说明文档;工具安装指引 具备相关技术人员提供本地部署协助。03安全性能力保障工具安全基线 网页使用https协议等 传输过程中使用加密协议等传输安全传输安全 确保用户使用工具不会引入工具本身带来的其他安全问题自身安全自身安全 支持多因子鉴别技术
17、实现用户身份鉴别身份鉴别身份鉴别 限制访问的IP地址 限制登录尝试次数访问控制访问控制服务支持提升用户使用体验0101售前服务支持指工具提供商针对工具提供售前技术支持和培训介绍服务。包括:产品功能演示讲解;售前服务支持售前服务支持0202售后服务支持指工具提供商针对已经交付的工具提供培训、维护等服务。包括:产品维护升级;故障反馈支持,实现方式包括但不限于电话、邮件、在线服务等;安全相关培训,如产品使用、漏洞修复等,通过线上平台和线下培训。售后服务支持售后服务支持性能要求服务器型号:曙光天阔620-G20CPU:E5-26304-2内存:16G*12条 共计192G操作系统:CentOS 7.5
18、硬盘:240GSSD一块1T机械盘2块对于性能,如扫描时间、硬件资源利用率进行记录依托标准,首批评估测试已经完成功能项(34类指标项)漏报、误报率要求Owasp Benchmark1.2Java厂商测试例 demo1Java厂商测试例 demo2技术测试管理审查+通过开源及厂商提供的JAVA测试例,共3个测试例进行误报及漏报率交叉测试评估支持的编程语言支持的中间件、库及开发框架类型支持的检测方式支持的安全风险漏洞类型检测分析类型要求检测分析配置能力要求使用模式告警能力要求网络环境调试性能熔断配置支持缺陷快速定位支持任务的集中管理与展示支持缺陷数据的多维度统计及展示支持结果的对比分析提供缺陷的修
19、复指导报表展示要求权限控制及审计能力要求集成CI/CD系统集成缺陷跟踪系统核心分析引擎功能接口化与分析平台的集成漏洞规则自定义支持二次开发操作系统兼容性浏览器兼容性部署模式工具架构安装支持传输安全自身安全访问控制身份鉴定售前服务支持售后服务支持评估过程持续优化,有据可依部署工具进行测试例扫描检测记录测试执行时间及资源利用率等信息导出测试例结果报告挑选特征测试漏洞类型人工进行漏洞数量及漏洞类型比对核验记录性能参数,计算误报率、漏报率统一机房环境部署相关工具,进行测试例扫描检测通过工具自带的性能监测工具及查看系统性能指标,记录相关信息导出包含漏洞类型、数量在内的测试报告,进行后续人工核验工作因测试
20、例包含大量漏洞类型及数量,无法人工全部核验,挑选通用的、高危安全漏洞,作为计算基准人工依据测试报告及工具记录,进行安全漏洞类型及数量核验,对比不同工具安全漏洞分类及数量统计依据核验结果计算相应漏报率及误报率Benchmark1.2测试例:工具实际测试结果:漏洞名称数量命令注入126LDAP注入27SQL注入177XPath注入15反射型XSS316路径遍历212XML外部实体注入36不安全的随机数218硬编码加密密钥1配置文件中的空密码1IAST工具性能及漏报率、误报率要求 漏报率基线要求:覆盖全部安全漏洞类型,漏报率低于10%误报率要求:整体误报率低于10%时间、硬件利用性能:进行记录参考,
21、不做通过线要求IAST工具评估情况分析优势分析 对于功能项测试,相关被测工具基本满足标准所列要求,适配用户常见功能需求 对于漏报、误报率测试,被测工具满足安全基线要求,针对挑选的通用、高危安全漏洞,结果覆盖全部安全漏洞类型,漏报率、误报率整体均低于10%。改进方向 针对不同安全漏洞类型及结果分类,各工具定义规范存在差异,横向对比存在难度 相较SAST工具,由于插桩等技术限制,IAST工具语言覆盖率有限,被测工具满足的语言以Java、NodeJs、PHP、Python为主 对于性能测试,被测工具跑相关OwaspBenchmark等测试例,CPU利用率低于5%,不影响业务系统正常运行 针对厂商提供
22、的测试例,被测工具对于Sql注入、XML实体注入等常见安全漏洞检测结果差异较小,对于配置缺陷、弱密码等类型安全漏洞检测结果存在较大差异IAST发展趋势展望软件供应链安全成为业界焦点软件供应链安全成为业界焦点,IASTIAST工具实现组件安全漏洞检测工具实现组件安全漏洞检测功能成主流趋势功能成主流趋势IASTIAST工具支持语言范围有限工具支持语言范围有限,配合流量代理等手段进行安全检测配合流量代理等手段进行安全检测成为主要使用场景成为主要使用场景IASTIAST工具集成软件组成分析能力工具集成软件组成分析能力,针对软件供应链进行统一安全针对软件供应链进行统一安全及开源治理成为发展方向之一及开源治理成为发展方向之一010203后续工作计划开展可信研发运营安全能力成熟度评估,对于企业研发运营安全能力进行验证;完善评估流程及工具,开展第二批研发运营安全工具评估,为用户选型及工具建设提供参考。加强评估加强评估,深挖风险深挖风险完善可信研发运营安全体系标准内容;扩充完善现有研发运营安全工具系列标准;a)IAST、SAST、SCA、RASP、DAST完善标准完善标准,加强指导加强指导 重点研究研发运营安全相关概念及新技术、调研市场情况;开展用户侧调研,深入剖析痛点,推动用户侧云安全指南和方案研究。深化安全研究深化安全研究联系方式:吴江伟 T H A N K S