2022 年 12 月 28 日,由懸鏡安全主辦,3S-Lab 軟件供應鍊安全實驗室、Linux 基金會 OpenChain 社區、ISC、OpenSCA 社區聯合協辦的第二屆全球 DevSecOps 敏捷安全大會(DSO 2022)已通過全球直播的形式圓滿舉行。本屆大會以 "共生 · 敏捷 · 進化" 為主題,以 " 敏捷共生,守護中國軟件供應鍊安全 " 為使命,聚焦 DevSecOps 敏捷安全、軟件供應鍊安全和雲原生安全三大典型應用場景下的新技術、新态勢、新實踐。
會上,大會出品人、懸鏡安全創始人子芽以 "DevSecOps 敏捷安全技術演進洞察(2022)" 為主題,圍繞 DevSecOps 敏捷安全技術演進趨勢以及關鍵技術應用實踐作了精彩分享,并正式發布了行業期待已久的第三版 DevSecOps 敏捷安全技術金字塔。
下面讓我們一同揭秘 "DevSecOps 敏捷安全技術金字塔 V3.0"。
什麼是 DevSecOps 敏捷安全技術金字塔?
随着企業數字化轉型加速,更多的數字資産和員工處于傳統企業基礎設施邊界之外,同時,各式各樣數字化轉型而來的新業務和新技術也成為企業安全團隊的保護對象。企業若想應對未來高級威脅和複雜場景的挑戰,支持内生自免疫、敏捷自适應、共生自進化的積極防禦安全架構成了必要選擇,安全功能應可拆分成諸多原子化的安全能力,具備離散式制造、集中式交付、統一化管理、智能化應用等關鍵能力,進而通過控制層編排組合成适應不同業務場景安全要求的敏捷工具鍊和體系化方案。
在這樣的大背景下,DevSecOps 敏捷安全技術金字塔應運而生,它是 DSO 敏捷安全大會出品人子芽基于長期 DevSecOps 敏捷安全技術前沿研究探索成果和懸鏡安全團隊在軟件供應鍊安全和雲原生安全領域多年的應用實踐沉澱彙聚而來,融合了國内外行業頭部企業 " 安全左移,從源頭做風險治理 " 和 " 敏捷右移,安全運營敏捷化 " 的實踐思想,并持續内涵了 " 出廠自免疫、敏捷自适應、共生自進化 " 的關鍵特性。其中,不同敏捷安全技術棧落入金字塔不同實踐階層的重點考量主要圍繞 " 技術創新度、産品成熟度和市場需求度 " 三個維度展開。
圖 1 DevSecOps 敏捷安全技術金字塔 V3.0
DevSecOps 敏捷安全技術金字塔 V3.0 有什麼新變化?
圖 2 DevSecOps 敏捷安全技術金字塔 - 演進對比
作為 DevSecOps 敏捷安全技術的引領指南,本次發布的 3.0 版本不僅延續了敏捷安全技術分層與企業組織 DevSecOps 成熟度非正比關系的編排原則,還引入了跨領域新技術與敏捷安全技術進行深入的實踐融合。本次 DevSecOps 敏捷安全技術金字塔 V3.0 根據不同階段相關技術的應用成熟度和落地效果進一步細化了敏捷安全應用實踐的階層,包含傳統建設層、應用實踐層(敏捷安全實踐第一層)、技術探索層、效果度量層和卓越層(最高層)共五個階段,下面将逐一進行技術解碼:
傳統建設層:WAF、EDR、Deception、CKS、ASTs
從網絡安全技術演進和傳統縱深防禦體系構築的視角,典型實用的安全技術主要分為邊界流量分析技術、端點環境檢測響應技術和應用情境感知響應技術。
在金字塔 V3.0 中,懸鏡安全首次将 Deception(攻擊欺騙)和 CKS(容器和 K8s 安全)納入并置于傳統建設層,主要是考慮到趨勢發展和相關應用實踐的成熟性,子芽提出,它們已經成為不同企業在不同場景下的基本應用要求。以 CKS 為例,随着容器和微服務等新型基礎設施的日益普及和 CKS 技術門檻的大幅度降低,該技術被視為傳統安全體系建設過程中基本具備的安全能力。
作為傳統縱深防禦關鍵技術的 WAF、EDR 以及 ASTs 依然入選。其中 ASTs 包括了 SAST(白盒)、DAST(黑盒)和 MAST(移動應用安全)三種傳統應用安全測試技術,子芽也提到,AST 技術存在進一步的融合趨勢。
應用實踐層:IAST、SCA、RASP、BAS
在應用實踐層中,涵蓋了四種既能在日常應用實踐過程中具備較好應用效果,又能與 DevOps CI/CD 管道柔和融合的創新技術。
其中,RASP(Runtime Application Self-protection,運行時應用自我保護)由于在 0DAY 未知漏洞攻擊防禦、API 威脅免疫、紅藍對抗、軟件供應鍊攻擊防禦及應用東西向威脅流量檢測響應過程中相對出色的表現預期以及技術性能的大幅度提升,日漸被市場青睐,從過往所處的技術探索層踴躍至 DevSecOps 敏捷安全技術實踐的第一層。子芽預測,在接下來的三年中,RASP 在 HW、紅藍對抗等場景下會有更加廣泛的市場應用。
此外,子芽着重強調,在這一層中,IAST 和 RASP 的深度融合是大勢所趨。随着運行時智能插樁、應用威脅情境感知和 API 智能檢測響應等關鍵技術的創新與突破,以 IAST 和 RASP 為核心的代碼疫苗技術迎來了蓬勃發展期。通過單探針的形式,代碼疫苗技術不僅能在測試環境中實現應用風險檢測以及 API 挖掘和覆蓋分析,還能賦能數字化應用實現攻擊威脅的出廠免疫以并提供運行時敏感數據追蹤等關鍵能力,實現檢測響應一體化,支持軟件供應鍊攻擊防禦、0DAY 未知漏洞攻擊防禦、應用東西向威脅流量檢測響應、無文件攻擊檢測響應、漏洞攻擊全鍊路回溯及 API 威脅免疫等複雜應用場景。
圖 3 All in one:" 代碼疫苗 " 單探針深度融合
技術探索層:DRA、SDE、Fuzzing
作為 DevSecOps 敏捷安全技術實踐的第二層,引入的創新技術都是具備強技術突破性,可具體解決某類應用場景下突出問題,但在通用應用效果、市場需求和實踐方面還有巨大提升潛力的前瞻性技術。
DRA(Data Risk Assessment,數據風險評估)是首次引入金字塔的創新技術。在子芽看來,DRA 作為開展數據安全治理工作的基礎,主要關注數據安全風險包括數據傳輸、個人隐私、數據生命周期管理、技術漏洞等,不但受國家法律和監管要求的強推動,而且是 DevSecOps 敏捷安全技術實戰需求。對此子芽指出,随着 DevSecOps 敏捷安全技術應用實踐的深入,敏捷安全體系的建設不再隻關注應用級别的漏洞和外部攻擊威脅,還将進一步深入到敏感數據洩露風險評估和治理工作。
同樣作為首次引入金字塔的創新技術,SDE(Securing Development Environment,開發環境安全)涉及保護完整的軟件開發環境,包括但不限于源代碼存儲庫、CI/CD 管道、應用程序工件和用戶身份信息。鑒于軟件供應鍊攻擊、開源工具的廣泛使用以及遠程工作方式導緻的風險增加,保護開發環境變得至關重要。子芽認為,透過近年來的 RSAC 創新沙盒大賽可以發現,代碼安全和開發環境安全已然成為軟件供應鍊安全的主要抓手,正呈現融合發展的趨勢。
這一層中第三個創新技術是連續三次引入金字塔的 Fuzzing(API 模糊測試),聚焦未知漏洞挖掘和異常風險發現。但子芽表示,受限于其獨特的技術原理和高應用門檻,對常态化使用它的用戶有着較高的專業技能要求,且在檢測精度、技術性能上有較大提升空間,Fuzzing 未來仍需要一段時間才能成熟。
效果度量層:ASOC、CNAPP
作為 DevSecOps 敏捷安全技術實踐的第三層,引入的都是框架型平台技術,側重于提升整個敏捷安全體系的運營效率,但在市場需求和實踐方面尚有巨大提升潛力。
ASOC(Application Security Orchestration and Correlation,應用安全編排與關聯)也是首次引入金字塔的創新技術。子芽介紹到,它是由過往版本金字塔中的 ASTO(Application Security Testing Orchestration,應用安全測試自動化編排)和 AVC(Application Vulnerability Correlation,應用程序漏洞關聯)兩項技術合并而成,核心優勢在于可以較大程度提高 DevSecOps 的運行效率,可将面向應用安全(Appsec)的 DevSecOps 敏捷安全工具鍊真正運營起來,是安全左移實踐思想的重要落地抓手。ASTO 強調的是向下編排安全工具鍊,以智能自動化的方式來完成安全活動;AVC 則從漏洞入手,針對各種 AST 工具長久以來無法解決的誤報、重複等問題,引入漏洞關聯分析手段協助用戶進行更好的修複優先級判斷。
CNAPP(Cloud-Native Application Protection Platform,雲原生應用保護平台)同樣是首次引入,它不是簡單拼湊工具,而是一個雲原生安全框架型技術,通過将現有的雲安全技術融合到一個統一的面向應用全生命周期的解決方案中,并将已經存在的單點防護進行整合,實現了從代碼開發到構建再到部署運行整個應用生命周期的安全可視化以及安全防護,子芽指出,從這個角度理解,CNAPP 是安全左移的典型表現。它同樣也是敏捷右移實踐思想的重要落地抓手,重點從保護基礎設施轉向保護工作負載和在這些工作負載上運行的應用程序,可在統一平台中執行所有這些功能,幫助消除 DevSecOps 流程中的摩擦。
卓越層:CARTA
作為 DevSecOps 敏捷安全技術實踐的最高層,也是 DevSecOps 敏捷安全體系建設的終極願景,連續三年被 CARTA 占據。CARTA(Continuous Adaptive Risk and Trust Assessment,自适應風險與信任評估)從規劃、構建、運營三個維度動态評估企業的數字化業務在整個軟件全生命周期中面臨的風險和信任,不追求零風險,不要求 100% 信任,持續構建一個信任和彈性的研運一體化安全環境,使得企業組織能夠敏捷地、和業務共生地、持續進化地參與到軟件供應鍊安全建設和保障中去。
圖 4 CARTA 自适應風險與信任評估框架
子芽重點提到,網絡安全的本質是風險和信任的動态平衡。DevSecOps 不是安全開發和安全運營的簡單結合,安全開發的終點也不能簡單歸結為漏洞處置,安全運營的終點亦不能簡單歸結為威脅響應,而是應以終(漏洞處置和威脅響應)為始,回歸應用和體系,以人為本,結合智能自動化技術實現共生、敏捷、進化的安全新局面,形成真正意義上的應用全生命周期持續安全大循環,這才是 DevSecOps 敏捷安全體系建設的終極願景,也正是 DevSecOps 莫比烏斯環所真正象征的意義。
DevSecOps 敏捷安全技術如何落地?
最後,子芽分享了 DevSecOps 在落地過程中的輕量級應用實踐指南。輕量級是指該指南不是簡單面向 DevSecOps 敏捷安全技術金字塔所囊括的所有技術,力求能結合企業自身安全體系建設現狀在短中期内達到一定的實踐效果,幫助企業用戶逐步構築一套适應自身業務彈性發展、面向敏捷業務交付并引領未來架構演進的安全開發運營共生體系,兼顧文化、流程、技術演進和持續度量。
圖 5 DevSecOps 輕量級應用實踐指南
DevSecOps 敏捷安全技術金字塔 V3.0 的發布,又一次刷新了行業力量對軟件供應鍊安全體系建設的新認知,全方位、系統性、深層次地把脈了 DevSecOps 敏捷安全技術的未來演進趨勢、軟件供應鍊安全領域技術創新研究和落地實踐的進化方向,更以實際行動推動安全産業生态共建、共治、共享,傳遞和初步踐行了 DSO 敏捷安全大會 " 敏捷共生,守護中國軟件供應鍊安全 " 的使命。
