安全玻璃盒 IAST | 从RSA 2020看应用安全和DevSecOps

本文作者： 安全玻璃盒 创始人 范丙华

网络安全行业风向标——RSAC2020峰会，于美国时间2月24日在洛杉矶如期举行。根据“创新沙盒”十家企业的公开资料信息分析，应用安全和数据安全成为本届RSA的关注热点。

从Gartner定义技术领域划分：应用安全（Application Security）占据半数企业，涉及代码安全、安全测试、应用安全检测与防护、漏洞管理、DevSecOps等内容。

• 应用安全（6家）：BluBracket（应用安全-代码安全）、ForAllSecure（应用安全-安全测试）；Obsidian Security（应用安全/云安全）、Sqreen（应用安全-自我保护）、Tala Security（应用安全-检测与防护）、Vulcan（应用安全-漏洞管理）；

  
  

• 数据安全（2家）：AppOmni（数据安全/云安全）、SECURITI.AI（数据安全）；

  
  

• 邮件安全（1家）：INKY Technology；

  
  

• 人员安全/安全培训（1家）：Elevate Security；

  
  

• 云安全（2家）：AppOmni（数据安全/云安全）、Obsidian Security （应用安全/云安全）；注：按照云安全服务模式，这两家企业也属于云安全领域。

“创新沙盒”十家企业的安全解决方案

   

另外，本届RSA大会的安全解决方案在实现上最为关注的关键词：DevSecOps、自动化、合规化、运营一体化。

• DevSecOps（含安全前置）：不能仅关注运行时的安全解决方案，需要让开发、测试等各个环节贯穿整个安全全生命周期，从而构建安全、高效、合规的全生命周期安全保障体系。

  
  

• 安全自动化：安全服务经营，要让安全更加自动化或更应无缝集成到各个环节，不能因安全的增强影响工作的效率。

  
  

• 安全合规化：随着全球数字化，数据隐私对于国家的治理带来严峻的挑战和考验，需要在数据生产、存储、使用各个环节满足各项政策合规。

  
  

• 安全运营一体化：让开发、安全、运维共同拥抱一体化（DevSecOps）理念与文化，需要改变过去只有安全人员对安全负责的态度和观念，不能让仅极少数的安全人员，被视为是对项目推进的阻碍、内部生产效率的破坏，必须能让开发、运维和安全都应该对安全负责，协同工作、共同担当。

为何应用安全成为本届RSA 2020关注的热点：

• 根据Gartner报告分析：近80%外部风险都由于应用漏洞所导致；应用安全已经成为了***双方的主战场，双方围绕应用安全漏洞的利用和防御成为主要焦点。
  

  
  

• 需要将安全工作前置在开发、测试阶段，可大大提升应用本身的安全性，同时需要在最早阶段、用最低成本解决最大比例的安全风险，实现“安全即代码、治标亦治本”的安全目标。

  
  

• 当前应用漏洞扫描系统存在较高误报率，对应用无法进行全面精确的安全测试和问题定位；无法适应当前应用新架构和应用环境，特别针对API、微服务等应用架构和应用加密、防重放、带验签等应用环境；人工***测试将受技术专业能力的局限，而且费时费力，低效且低准确率，同时无法满足用户产品快速迭代的需求。

  
  

• 目前难以解决WAF绕过问题，对***的判断相对比较粗暴且无法对未知威胁进行防护和有效溯源；另外，需要解决快速发展的API、微服务等应用的安全风险。

  
  

• 需要高效自动化的安全运营体系：在实现安全贯穿应用开发至运营的各个环节同时，需要构建既要保障安全又不能影响工作效率的安全、高效、合规的全生命周期应用安全运营体系。

未来应用安全的一点思考

 1 

安全前置工作

• 集成自动化：将安全透明、自动化地集成到开发的各个环节，比如功能操作即可实时输出安全测试结果，不需要过多投入专业安全人员和额外时间，从而来提升工作效率；

  
  

• 通过应用软件和安全高度耦合的检测方式（轻客户端和污点跟踪、逻辑判断相结合），来解决无法适应API、微服务等应用架构和应用加密、防重放、带验签等应用环境的问题；

  
  

• 三方开源组件漏洞检测能力，目前开源组件安全风险不断提升，能应用所引入的第三方组件进行安全检测，并且根据CNNVD标准、CVE标准给出问题组件存在的漏洞详情以及修复建议。

  
  

• 对业务上线前进行安全合规性评级：对上线前的业务应用进行自动化的安全测试，基于等级保护2.0、GDPR、PCI-DSS等安全要求和标准，根据漏洞的严重等级、数量以及应用中引用存在漏洞的第三方开源组件的情况进行综合评分，实现统一监管，从而提升整体应用安全的能力。

 2 

Web应用安全，应提升在线自动化检测与自适应防护

未知攻、焉知防，***结合，知己知彼、百战不殆！

我们需从***结合的智能检测与防护思路出发，当用户对业务应用的请求（正常请求、异常请求、未知请求），都可以对Web应用及所引用的三方组件进行无感知、无风险的进行漏洞测试与问题定位，当发现漏洞后或遇到异常***将立即激活自适防护机制，实现***结合；同时对所有漏洞测试的结果和受***应用过程实时高效、精确清晰进行展示，从而让应用具备”自我检测与保护”的安全防护能力。

• 攻：在线无风险、全面自动化、精确可视化的漏洞检测与定位能力，包括应用漏洞、三方组件漏洞。

  
  

• 防：***结合，让云上应用具备”自我检测与保护”的安全能力。

  
  

• 视：对应用所测试的漏洞结果(应用漏洞、三方组件漏洞)和受***应用过程进行实时高效、全面精确的可视化展示。