证券行业DevSecOps
安全工具链建设实践
庄飞
华泰证券
应用与业务安全团队负责人
前言
随着越来越多的金融机构进行数字化转型,信息化及网络化已成为现代金融行业的重要特征,随着而来的,则是金融行业的网络安全风险不断累积,金融安全防护面临前所未有的威胁挑战。为了从源头管控安全风险,华泰从年即设立了专职的应用安全职能,积极进行安全左移。借鉴业界成熟的安全生命周期管理方法论(如微软SDL、BSIMM、OWASPOpenSAMM及NISTSP-64),以及国内外成熟可靠的标准、方法和实践,同时结合企业信息系统的开发和运维现状,形成了一套信息系统生命周期安全管理参考框架。
随着研发模式向敏捷及DevOps模式转型,安全为了不阻碍产品的快速价值交付,也在积极地从SDL软件安全开发生命周期管理体系向DevSecOps转型。华泰参考Gartner及RSA等业界理念,结合自身实践,从文化、流程及技术等方面探索,建设了DevSecOps参考框架,定义了从计划、创建、验证、预发布、发布到防护、检测、响应、预测及优化的DevSecOps全生命周期安全活动。
工具在DevSecOps实践中具有缩短产品交付周期及提高效率的关键作用,华泰构建了端到端安全测试工具链模型,涵盖Dev阶段的静态应用安全测试、开源组件安全扫描、动态应用安全测试DAST、交互式应用安全测试IAST等,及Ops阶段的基础设施安全扫描、应用安全风险监控、威胁感知等,并通过与CI/CD流水线、SDL平台等集成,实现安全测试的自动化,提升安全工具运营效率。
下面章节,将详细介绍部分安全测试工具链建设实践。
01
轻量级威胁建模
威胁建模是软件开发设计阶段执行的主要安全活动之一。威胁建模通过识别威胁、理解信息系统的安全风险,发现信息系统设计中的安全问题,制定消减措施,并将消减措施落入信息系统设计中。通过威胁建模活动可以在早期阶段发现安全缺陷,理解安全需求,设计和交付更安全的产品。
传统的威胁建模方法流程太重,过于繁琐,且对于人工投入要求较高,很难适应业务的敏捷快速迭代开发模式,而且由于应用安全人员人力不足,在实际研发过程中往往很难落地。因此,华泰对威胁建模过程进行优化,通过自研三叉戟全流程赋能平台,实现场景化轻量级威胁建模,提升威胁建模效率,适应DevOps的快速交付节奏。
轻量级威胁建模方法主要步骤如下:
a)问卷调研。目的是要了解系统的关键信息,为后面的攻击面分析及威胁建模做准备。调研问卷包括系统架构、用户类型、使用场景、认证机制、业务类型、部署架构、安全相关功能或服务等。这些要素都是从项目安全评估中积累下来,跟攻击面分析及安全风险密切相关的。
b)攻击面分析及威胁识别。根据问卷调研,进行攻击面分析,识别对应的业务场景。基于业务场景与安全威胁库进行匹配,识别出系统面临的威胁点。此过程涉及到业务场景库以及安全威胁库。
业务场景库。根据行业不同,梳理自身业务系统,形成业务场景库。如对于证券行业,对客业务场景有用户开户、用户交易、清算、营销活动、客服系统、资讯、行情等;自有员工业务场景有CRM、业务系统运营后台、数字员工、研发PAAS平台、运维监控台等;自有员工办公场景,如会议、IM、邮件、人力资源等系统。
场景化安全威胁库。对各类业务场景的攻击面进行分析,识别典型的安全威胁,形成业务场景对应的安全威胁库。
c)安全需求及设计。根据威胁分析结果,匹配安全需求标准库,输出进行威胁缓释需要实施的安全需求基线,制定最终的安全设计方案。
安全需求标准库。汇总各种安全需求而形成的安全通用需求库,主要需求来源有:国家法律法规及标准,如《网络安全法》、《网络安全等级保护基本要求》等;行业监管法令、指引及技术标准,如《证券公司网上证券信息系统技术指引》等;公司自有信息安全策略、标准及指南,如《公司信息技术数据管理规范》;业界安全实践,如OWASPASVS、OWSAPTOP10等。
安全需求标准库,对于每条安全需求,提供需求内容、最佳实践及参考示例,研发人员根据安全需求,即可制定最终的安全设计方案。安全需求的闭环通过三叉戟全流程赋能平台进行跟踪。
02
源代码安全扫描SAST
源代码安全扫描,暨静态应用程序安全测试(SAST,StaticApplicationSecurityTesting),是指分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序代码存在的安全漏洞,有些工具也会依赖于编译过程,通过一些抽象语法树、控制流分析及污点追踪等技术手段来提升检测覆盖度和准确。SAST优点是广泛支持多种语言和架构,对漏洞类型的覆盖率较高;但是存在缺点有误报率高、扫描速度慢及依赖安全专家对结果进行过滤和确认。
最初采用了国外商业的SAST工具,但是在初始运营过程中存在较多问题。一方面,误报太多,需要耗费大量人力进行漏洞筛选和确认。中间也进行扫描过程优化,如定义漏洞规则,对扫描结果,按照