上述三類(lèi)安全漏洞,無(wú)一例外是在代碼功能正常的前提下進(jìn)行的,可見(jiàn)功能可用不代表安全可靠。而為解決這些問(wèn)題,更多的是需要在研發(fā)過(guò)程中各環(huán)節(jié)介入安全能力,實(shí)現(xiàn)對(duì)上述各類(lèi)漏洞的上線(xiàn)前檢出以及修復(fù),降低項(xiàng)目上線(xiàn)安全隱患。
軟件測(cè)試階段:交互式安全測(cè)試 (IAST),IAST 通過(guò)代理、*** 或者服務(wù)端 Agent 方式無(wú)感知獲取功能測(cè)試人員測(cè)試交互流量,基于模糊測(cè)試 (fuzz) 思想對(duì)流量進(jìn)行攻擊代碼隨機(jī)插入和攻擊流量構(gòu)建,并自動(dòng)化對(duì)被測(cè)程序進(jìn)行安全測(cè)試,同時(shí)可準(zhǔn)確確定漏洞所在的代碼文件、行數(shù)、函數(shù)及參數(shù)。
上線(xiàn)迭代階段:常態(tài)化安全運(yùn)營(yíng),對(duì)項(xiàng)目上線(xiàn)后所在的服務(wù)器資產(chǎn)、中間件以及項(xiàng)目本身進(jìn)行 7*24 小時(shí)周期性安全檢查,相當(dāng)于有一個(gè)安全團(tuán)隊(duì)或滲透測(cè)試工程師全天候管理線(xiàn)上資產(chǎn)、站點(diǎn)以及中間依賴(lài)的安全問(wèn)題,有效確保安全健壯性。
限制管理網(wǎng)絡(luò)的管理接口訪(fǎng)問(wèn);如果無(wú)法做到這一點(diǎn),則要在上游設(shè)備(交換機(jī)和路由器)使用ACL,限制發(fā)起管理會(huì)話(huà)的來(lái)源。
在研發(fā)人員眼中,編碼開(kāi)發(fā)的目的是實(shí)現(xiàn)相關(guān)功能邏輯可用,無(wú)明顯功能 bug。而實(shí)際上,在安全人員眼中,很多這樣看似沒(méi)有功能問(wèn)題的代碼,卻可以利用來(lái)進(jìn)行安全漏洞攻擊。雖然這在很多研發(fā)人員眼中是看似天方夜譚,但很不幸,通過(guò)以往的無(wú)數(shù)重大安全事件的驗(yàn)證,這個(gè)事實(shí)客觀(guān)存在。
企業(yè)應(yīng)該將賦能服務(wù)貫穿需求分析、架構(gòu)設(shè)計(jì)、研發(fā)、測(cè)試回歸以及發(fā)布迭代全流程,通過(guò)賦能將專(zhuān)業(yè)安全能力賦予研發(fā)各環(huán)節(jié)人員,并在各環(huán)節(jié)提供不同工具(STAC、SAST、IAST、常態(tài)化安全運(yùn)營(yíng))使賦能知識(shí)真實(shí)應(yīng)用落地,*終以統(tǒng)一平臺(tái)展示、分析、回歸、閉環(huán)安全問(wèn)題,并向***提供 SIEM,根據(jù)各流程頻現(xiàn)的漏洞類(lèi)型、研發(fā)人員知識(shí)盲區(qū)等再次提供針對(duì)性培訓(xùn),*終針對(duì)性制定規(guī)章制度,實(shí)現(xiàn)制度精準(zhǔn)逆推落地。
需求和架構(gòu)階段:基于業(yè)務(wù)場(chǎng)景的威脅建模 (STAC),以威脅建模賦能方式教會(huì)需求分析和架構(gòu)審計(jì)人員對(duì)項(xiàng)目?jī)?nèi)場(chǎng)景潛在場(chǎng)景風(fēng)險(xiǎn)進(jìn)行識(shí)別和剝離,通過(guò)威脅建模針對(duì)性提出安全方案,用于后續(xù)研發(fā)等環(huán)節(jié)的解決或規(guī)避。
由于攻擊也在進(jìn)化,所以要定期檢查滲透測(cè)試。要保持OpenVAS和Metasploit等工具的更新,而且它們可以使用的攻擊庫(kù)也在穩(wěn)步增長(zhǎng)。
軟件編碼階段:靜態(tài)應(yīng)用安全測(cè)試 (SAST),通過(guò)與 git、svn 等代碼倉(cāng)庫(kù)聯(lián)動(dòng),自動(dòng)化拉取全量或增量代碼進(jìn)行代碼安全檢查,以波谷時(shí)間檢測(cè)方式在上班時(shí)間前根據(jù)提交歷史以郵件形式同時(shí)相關(guān)責(zé)任人,降低對(duì)相關(guān)人員工作方式更改。
-/gbadeeb/-
http://www.664151.com
