2020BCS-北京网络安全大会：新一代灰盒安全测试技术实践分享.pdf

1、2020北京网络安全大会2020BEIJING CYBER SECURITY CONFERENCEPERCONNERISKENCESPHIMANAGEME新一代灰盒安全测试技术实践分享DE子梦建热GDPR LEARNINGUPPLY CHAINTRUINFORMATION WORLDENDPOINENDPOINT SECURITYDEFENSEBEHAVIORAL ANALNETWORAIHUMAN PROCLOUEINTERNETIONBEHAVIORALANALYRESPONSETECHNOLOGY#page#2020北京网络安全大会软件工程安全的两个共识020BE113系统一定有未被发现

2、现代应用都是组装的而非纯自研的安全漏洞程序员每写1000行代码，就会出现1个逻辑性缺78%-90%的现代应用融入了开源组件，平均每个应陷。每个逻辑性的缺陷，或者若干个逻辑性缺用包含147个开源组件，且67%的应用采用了带有陷，最终导致一个漏洞；“缺陷是天生的，漏洞已知漏洞的开源组件，软件供应链安全威助追在眉睫。是必然的”。#page#2020北京网络安全大会现代应用安全的风险面020BEIJIN针对现代应用全面风险审查应考虑从第三方开源组件、自研代码通用漏洞、自研代码业务逻辑漏洞等维度综合审计。Web通用漏洞SQL注入、命令执行、XXE、XSS等OWASPTOP10业务逻辑漏洞水平/垂直越权、

3、短信轰炸、批量现代应用注册、验证码绕过等组成成分开源组件缺陷CNNVD、CNVD、CVE等第三方开源组件#page#2020北京网络安全大会现代应用开发模式的技术演进020BE1JI传统SDL面临的安全挑战漯布模型敏捷模型DevSecOps金金会会会会会会业务先上线，安全问题后补救安全责任过于依赖有限安全团队资源安全较缓慢，常置于流程之外，当版本溪布式开发更新快时，传统安全手段影响业务交付敏捷开发DevSecOps新特性责任：安全是每个人的责任DevOps嵌入流程：开发运维柔和嵌入研发运维流程，自动化自动化流程，人更趋向于运营反馈处理设计测试部署开发适用于周期较短，送代较快的业务#page#2

4、020北京网络安全大会DevSecopsCI/CD黄金管道020BE1RSAC2018正式提出“GoldenPipeline”软件流水线实践体系，强调CVCD自动化工具链支撑CreateGet2PRCreatesDesignSASTMake BuldmegrationPRin GitlabthvePRCICD黄金管道：DevSecOps Golden Pipeline8ADDBRASPDASTIASTSCABug Bounty3RASP运行时应用自保护AST应用安全测试关键工具链技术红蓝对抗和SRC2SCA第三方组件成分分析#page#2020北京网络安全大会AST技术优劣对比0208E1DA

5、STSASTIAST误报率低高极低中检出率高馆检测速度随代码量随URL、payload数量依赖点击流量实时检测第三方组件漏洞依赖payload、指纹静态扫描支持运行时支持语言支持不区分语言区分不同语言区分不同的语言框架支持不区分框架一定程度区分一定程度区分漏洞验证利用可验证利用可验证利用很难验证利用使用风险无无脏数据、大流量使用成本较低高，人工排查误报低，基本没有误报漏洞详情参数、请求响应代码行数、执行流请求响应、代码行数、数据流低高CI/CD支持高可发现配置、运维、运行时层更偏向应用本身漏洞，难以回漏洞种类覆盖更偏向应用代码漏洞面漏洞显带外也可发现任何一项新兴技术出现，都有时代的背景和其适用

6、的场景#page#2020北京网络安全大会IAST灰盒安全测试技术020BE1JI数据源检测目标IAST插桩无需专业技术背景，普通测试人员低门槛透明众测完成业务安全测试旁路流量镜像渗透测试流旁路部署不影响正常业务流执行和Android/ios低侵入量嘎探通信效率。主机APPSERVER渗透测则试流透明部署，不影响正常测试工作和VPN低消耗算法引擎用户使用流程。Web网站收集启发七爬虫IAST主要关键技术#page#2020北京网络安全大会被动IAST插桩-动态污点追踪技术0208E1J污点传播污点汇聚污点输变量1交量3A年请交量2Web展示插址Agon交5交8typesource,getPar