安全需要考慮成本,原因之一就是因爲安全建設是一個無限期的投入過程,甚至可能很長時間內都無法明顯看到回報,這一點在企業堆疊大量設備、投入大量人力物力後,卻得到一堆更耗費精力的噪聲數據的情況中尤爲,明顯。
交互式應用安全測試(IAST)和軟件組件分析(SCA)是近一年來測試效果好,且比較新的技術,也是踐行DevSecOps最佳實施方案。IAST解決方案的出現是幫助企業識別和管理應用系統潛在的漏洞,從而規避安全風險,降低企業運營成本。
Verizon 公司剛剛發佈一年一度的《2019年 數據泄露調查報告 (DBIR)》(2019 data breach investigations report),分析了包含2013起已經證實的數據泄露事件在內的41,686起安全事件。
52%的漏洞以黑客攻擊爲特徵,可見web應用程序攻擊仍然是數據泄露最常見的載體方式之一。目前還是有很多企業以業務優先,安全滯後的觀點,上線後補救,但帶來的後果也是顯而易見的,比如修復成本高,修復週期長等困擾。
根據某研究機構發佈的2018年開源安全和風險分析報告顯示,被掃描的應用程序中存在96%的開源組件,每個應用程序中平均有200多個組件。很多企業開發人員並不知道他們使用多少甚至使用什麼類型的開源組件,顯而更不知道使用過的開源組件是否存在安全漏洞。
有些企業,特別是對安全要求非常高的,金融、證券、保險、能源等行業,所在的開發團隊和安全團隊會用一些靜態應用安全測試工具(SAST)和軟件成份分析解決方案(SCA)來識別web應用程序中的安全缺陷和漏洞,從實際使用效果來看,靜態應用安全測試工具存在漏報率高,漏洞檢測不全的問題,當然資金充裕的企業,也會採用動態應用安全測試工具(DAST),俗稱白盒測試,即源代碼審計工具,懸鏡安全在和衆多政企客戶交流的過程中發現白盒測試誤報率高,很多開發人員拿到報告時還需要確認到底是不是真的漏洞,長此以往,開發人員對白盒測試工具出具的報告也不是很信服,導致最終漏洞修復成本高。
根據我們多年攻防實踐和客戶服務經驗,IAST是目前web應用安全領域最佳實踐,也是最好能推動企業建立DevSecOps,推動企業軟件生命週期流程規範化建設。
很多人會問:我們之前買了這麼多的安全設備,類似的安全檢測工具,爲什麼還要再購買灰盒安全測試工具呢?談到這裏,我們有一個觀點分享給大家。在軟件開發生命週期環節中,每一個都是必不可缺的。IAST在軟件開發生命週期早期階段是發現漏洞的能力要強於白盒測試和黑盒測試,且在修復漏洞時更容易、更快速且成本也是最低的。IAST也是更容易集成到CI/CD和devops工作流程中。單元測試環節,採用人工+自動化的形式進行源代碼安全掃描,進一步發現代碼層面是否存在漏洞。上線運營環節,採用常規的黑盒測試進行日常的監控與檢測,避免新爆出漏洞不知道或者晚知道而影響業務的正常運行。灰盒安全測試工具的出現不是要取代某個工具,我們希望不同的階段採用最適合的工具做到效果最大化,而所實施的一系列的行爲動作都是爲了保證我們的應用系統更加安全,讓用戶用的放心、安全。
懸鏡安全參加了WIT2019網絡安全創新年度評選,歷時近3個月,86天,累計百餘個項目申報及提名,經由大衆投票、甲方投票、專家投票及現場投票的公平、完善的評審,懸鏡安全旗下懸鏡靈脈AI-IAST滲透測試平臺榮獲年度創新產品獎。
下面是組委會針對懸鏡靈脈AI-IAST滲透測試平臺的點評:
和以往的安全測試方案不同的是,靈脈創新地採用了AI技術+IAST架構。通過AI訓練,將人工漏洞檢測經驗轉化爲機器學習樣本,深度挖掘客戶業務場景,使系統具備全面自適應能力。而交互式應用安全測試(Interactive Application Security Testing),也稱灰盒測試,在《2019企業安全威脅統一應對指南》有所提及,其融合了DAST和SAST技術的優點,大大提高了安全測試的效率和準確率。人工滲透正在從以往的測試成本高、專業要求高、檢測效率低走向自適應的低成本自動化的模式,並藉助第三方平臺高效地應用到從開發到生產的應用生命週期全流程。
同時評委會專家在頒獎典禮上給予了懸鏡靈脈高度的評價:
- 人工智能靠譜落地,助力真正實現DevSecOps
- 將安全檢查點前置,在開發過程中強化安全性,減少業務上線後漏洞,降低安全風險。DevSecOps理念的踐行落地。產品思路創新,準確瞄準用戶實際問題。
