El camino hacia la construcción de sistemas de seguridad de aplicaciones
Siempre que se menciona la seguridad de las aplicaciones, siempre hay un concepto inseparable: la construcción de SDL. Sin embargo, en la mayoría de las empresas de Internet, no hemos visto ningún SDL que enfatice los procesos de seguridad. Tan pronto como se proponen las necesidades comerciales, en todo el ciclo de investigación y desarrollo empresarial, cada pieza se guía por los métodos y sistemas de seguridad correspondientes. La seguridad se agrega como un atributo del negocio. Lo que SDL implementa en el proceso es verificar el negocio. Punto, valoración.
Esta sección trata principalmente sobre ordenar el proceso, combinando la seguridad con el proceso de investigación y desarrollo del proyecto para formar el proceso de gestión y control del desarrollo de seguridad del proyecto. La seguridad se ejecuta a lo largo de todo el proceso de investigación y desarrollo del proyecto, incluso en las etapas iniciales. Se puede considerar que el análisis de la demanda, el diseño de seguridad, la escritura de código, la implementación de código en línea, las pruebas del entorno de prueba, la operación en línea del entorno formal, etc. siguen el proceso SDL tradicional.
Aquí hay un problema. Si el volumen de negocios aumenta, el costo laboral será enorme. Muchas empresas aquí combinan el concepto DevSecOps para resolver parte del problema de la falta de mano de obra. y mantenimiento, y seguridad como El equipo es responsable de la seguridad de la empresa. La seguridad no es sólo una cuestión del equipo de seguridad, sino que se ha convertido en responsabilidad de todos en la empresa. Hablemos brevemente sobre el concepto y la implementación de DevSecOps.
Para la implementación de DevSecOps, esto es solo un marco y una metodología. En cuanto a la implementación técnica específica, todos sabemos que Sec está integrado en Dev y Ops. Cómo integrarlos y combinarlos. a determinar en función de las diferentes características de las distintas empresas.
Por seguridad, la tarea principal es proteger el negocio de la empresa de ser invadido y atacado por el mundo exterior. El ataque puede detectarse y detenerse a tiempo.
El marco DevSecOps requiere la construcción de diferentes sistemas de seguridad, y el sistema debe optimizarse y mejorarse continuamente para cubrir diferentes etapas del marco. En el proceso de implementación real, la mayoría de las empresas pueden involucrar las siguientes capacidades diferentes. En el proceso de implementación específico, el autor cree que se puede resumir simplemente en varias capacidades: capacidad de descubrimiento activo, capacidad de descubrimiento pasivo y capacidad de control empresarial. operar con seguridad.
La capacidad de descubrimiento activo es simplemente la capacidad de descubrir de forma proactiva problemas de seguridad, vulnerabilidades de seguridad y riesgos de seguridad en el negocio. Las tecnologías más utilizadas en la industria incluyen el escaneo de caja negra, el escaneo de caja blanca y la seguridad. evaluación y pruebas, y Confrontación roja y azul.
Esto es algo que todas las empresas tienen y también es una parte clave de la construcción inicial. Algunas utilizan herramientas de escaneo comerciales: awvs, appscan, etc., y otras utilizan métodos de autoinvestigación.
No hablaremos aquí de herramientas de escaneo comerciales. Para las empresas de Internet, la mayoría de ellas utilizarán herramientas de escaneo de desarrollo propio. Hablemos brevemente sobre algunos puntos clave involucrados en los escáneres de desarrollo propio:
.Con respecto a las cajas blancas, además de los motores de desarrollo propio de varias empresas importantes de Internet, se entiende que todas utilizan herramientas comerciales. Durante el proceso de implementación específico, también se investigaron muchas herramientas de escaneo de cajas blancas: checkmarx, cobertura, codeql. , sonarqube.
Tanto checkmarx como cobertura tienen complementos para sonarqube, y ambos pueden funcionar como un motor para sonar. Para sonar, muchas empresas de Internet escanean la calidad del código en función de esto, que en realidad es un cuadro blanco. tiene una gran comodidad.
Checkmarx es mejor para la web que la cobertura, y la experiencia del usuario y el funcionamiento son relativamente buenos. Integre el complemento checkmarx en sonar, de modo que la empresa no necesite integrar checkmarx por separado, sino solo usted. Es necesario integrar la sonda de acuerdo con el proceso anterior para agregar capacidades de escaneo de seguridad.
Pero hay una cosa a considerar. En cuanto a los resultados de seguridad, las empresas a menudo no saben si son falsos positivos o riesgos de seguridad reales, lo que requiere que el personal de seguridad intervenga en el proceso y revise los resultados del código. escaneo, se determina que la vulnerabilidad se envía al negocio y la vulnerabilidad no se ignora directamente. Esto requiere mucha participación manual en la etapa inicial y requiere una optimización continua de las reglas y un ajuste continuo de las estrategias para reducir los falsos positivos. .
En la etapa inicial, algunas reglas con altas tasas de falsos positivos se pueden eliminar mediante el análisis de los resultados, dejando solo las reglas con altos niveles de amenaza para garantizar que el trabajo manual pueda cubrir el proceso todos los días.
En la etapa posterior Debido a que Sonar tiene una interfaz API, puede crear su propia plataforma de escaneo de código seguro basada en el paquete de sonda. Puede proporcionar acceso API a CI, conectar plataformas de auditoría y gestión de vulnerabilidades, y ajustar reglas y agregar otras nuevas a través de la plataforma. Reglas, etc. De esta manera, en todo el CI, hay dos plataformas de escaneo de código y sonda. Las empresas solo necesitan preocuparse por los problemas de calidad del código en la sonda, y la seguridad solo necesita iniciar sesión en la plataforma de escaneo de código para revisar las vulnerabilidades escaneadas por el. caja blanca.
Esto implica un subproyecto en el cuadro blanco: el complemento de escaneo de cuadro blanco. Como detección de cuadro blanco, se mueve más hacia la izquierda y se escanea directamente cuando la empresa está escribiendo código. Se puede hacer envolviendo una capa basada en: /alibaba/p3c
También hay un subproyecto de caja blanca: descubrimiento de vulnerabilidades de componentes de terceros. Esto se puede lograr comprando software comercial, como. como Blackduck o xray es transparente para el negocio, siempre y cuando el personal de seguridad controle los procesos y políticas.
La confrontación rojo-azul es una forma de descubrir problemas y riesgos de seguridad a un nivel más profundo. Organiza una operación del equipo azul de vez en cuando para atacar un objetivo principal por cualquier medio o método, con el objetivo de obtener el objetivo principal. Puede descubrir mejor los problemas de seguridad y los puntos de riesgo de seguridad que existen en todo el sistema empresarial y ayudar al equipo rojo a optimizar y desarrollar la seguridad hasta cierto punto, y se puede considerar la construcción clave. lo que ayudará a descubrir y promover todo el riesgo es enorme.
La capacidad de descubrir pasivamente riesgos de seguridad, las tecnologías que se pueden utilizar incluyen: monitoreo de seguridad, honeypots
El monitoreo se puede dividir en dos categorías: monitoreo de riesgos no descubiertos y monitoreo de riesgos. , trazabilidad después de los riesgos
Para monitorear y descubrir riesgos, puede prevenir su aparición por adelantado. Por ejemplo, como se mencionó anteriormente, si no hay ningún problema con la clasificación de activos, puede escanear y ver. Los activos recién agregados de la empresa todos los días, por ejemplo: el nombre de dominio recién agregado es un sistema de gestión, no sigue el proceso de seguridad interno, hay problemas y debe rectificarse directamente. El escáner escanea directamente el nombre de dominio y el servidor recién agregados y puede descubrir inmediatamente si hay vulnerabilidades.
Monitoreo cuando ocurren riesgos:
- Monitoreo de tráfico de ataques: Esto es para monitorear el tráfico con muchos escáneres y muchas características de datos de prueba. Si se detecta el monitoreo, también puede emitirse una alarma directa. Combinado con SOC para el análisis y procesamiento de datos, WAF se utiliza para bloquear automáticamente direcciones IP y otras medidas defensivas, abriendo así varias capacidades de defensa interna y realizando registros de tráfico automatizados posteriores que utilizan modelos de big data para descubrir ataques no caracterizados.
- Monitoreo de DNS: la mayor parte de la detección de muchas ejecuciones de comandos, inyección de SQL, SSRF y otras vulnerabilidades se realiza a través de solicitudes de DNS iniciadas por sistemas internos que se pueden capturar en el servidor DNS interno, de modo que al monitorear. Los registros de DNS inicialmente crean algunas listas negras para observar si alguna máquina detecta estas solicitudes de DNS maliciosas. Al analizar estas máquinas, es posible descubrir riesgos de seguridad desconocidos.
- Monitoreo del registro de ejecución de SQL: es muy útil descubrir que la inyección de SQL generalmente tiene algunas características de inyección. Siempre que estas características coincidan, puede encontrar que una determinada empresa está sufriendo la inyección de SQL. Ataque
Además, el monitoreo de almacenes de códigos externos y almacenes de documentos también pertenece al sistema de monitoreo, incluido el monitoreo de GitHub, el monitoreo de discos de red de Baidu, etc. Este github es fácil de decir y muchos de código abierto. Existen sistemas de herramientas. Simplemente agregue la información clave de la empresa al monitoreo. No es fácil monitorear cosas como Baidu Netdisk.
Esta también es una buena manera de descubrir ataques. No solo puede descubrir información como POC y diccionarios de contraseñas utilizados externamente, sino que también puede descubrir algunos métodos de ataque desconocidos y comportamientos APT.
Capacidades de control empresarial, la más común es WAF. ¿Por qué poner las capacidades WAF en control de seguridad? ¿A qué IP se puede acceder, a qué IP se puede acceder, a qué rutas se puede acceder y a qué rutas no se puede acceder? de los cuales, también gestiona el acceso empresarial. WAF tiene muchos productos comerciales maduros en uso y también puede desarrollarse usted mismo si lo investiga usted mismo. La etapa inicial se basa en la coincidencia regular, haciendo coincidir si el valor del parámetro en la posición del parámetro correspondiente contiene palabras clave. En la etapa posterior, si desea una alta precisión y una baja tasa de falsas alarmas, aún necesitará aprendizaje automático y análisis semántico.
y luego estúdialo en profundidad.
Cuando se trata de operaciones de seguridad, muchas personas piensan en organizar actividades de seguridad y realizar trabajos ocasionales. En opinión del autor, las capacidades de operaciones de seguridad de una empresa pueden reflejar verdaderamente las capacidades de seguridad de la empresa y las operaciones de seguridad. la fuerza impulsora para la optimización y mejora continua del proceso SDL y señala el camino y la dirección para la planificación y construcción de DevSecOps.
Sin tecnología, es imposible realizar una optimización y mejora posterior. Sin tecnología, las operaciones están vacías y no se pueden implementar. Las operaciones de seguridad incluyen operaciones externas y operaciones internas, que se pueden dividir en diferentes. operaciones no técnicas y operaciones técnicas
Las operaciones no técnicas dentro de operaciones externas incluyen principalmente la construcción y promoción de marcas de seguridad, etc., principalmente para proporcionar a la empresa influencia en la industria, para que pueda mejorar atraer investigadores de seguridad externos para que nos sirvan y atraer mejor personal de seguridad externo para participar en la construcción de seguridad de la empresa desde una perspectiva externa
Operaciones técnicas externas: organizar personal técnico para participar en concursos, conferencias, etc. externos. publicar artículos técnicos, etc. para demostrar capacidades técnicas, demostrando así la fortaleza técnica de la empresa en la industria.
Operaciones internas no técnicas: resume los datos de cada capacidad para su análisis y muestra los resultados de cada capacidad de forma digital. Por un lado, el jefe puede ver el progreso del desarrollo de capacidades y. también que todos sepan los resultados de su propio trabajo
La implementación específica se puede mostrar en una pantalla de datos grande y completarse a través de la plataforma SOC.
Operaciones técnicas internas: Los resultados de las operaciones no técnicas se utilizan para retroalimentar la construcción de diversas capacidades. A través de los problemas de seguridad descubiertos interna y externamente, se optimiza la construcción de diversas capacidades y se solucionan deficiencias suplementarias. y se promueve la dirección de optimización de procesos y construcción de DevSecOps.
Implementación específica: requiere principalmente que el personal de operación tenga una mejor comprensión del desarrollo de capacidades de cada parte. Al observar los problemas, pueden descubrir cosas más profundas y luego promover las capacidades de seguridad de cada resultado.