原标题:因应DevOps开发周期大幅缩短,渗透测试也要纳入程式码中
在企业实现DevOps的过程中,对于服务的开发与维护流程,所面临的大幅变化,因此,服务的安全性,也同样需要改变,无法再像以往,等待完全开发完成之后,再进行完整的渗透测试,确认没有问题才正式上线。针对上述的情境,帐联网络科技(Amis)网站可靠性工程师蔡宗城(Smalltown),他特别在DevOpsDays△Taipei△2018大会上,以DevOps所需留意的资安因应之道为题,进行演讲,蔡宗城指出,从开发服务的程式码开始,企业就要将安全防护纳入其中。
以往论及服务的开发与维护的流程精进,DevOps强调的是同时确保服务的品质(Quality△Assurance,QA),而如今,企业更极需重视安全性,做到DevSecOps(Development△Security△Operations)。蔡宗城表示,组成DevSecOps的重要元素,包含了开发者、IT维运人员,以及资讯安全部门等。开发者必须将安全性因子纳入交付的程式码之中,维运的部分,则是需要增加操作过程的能见度,而对于较具规模的企业,可能还会在独立于上述2种部门之外,设立资讯安全部门,进行监督与资安事件的管理。
安全因子需要从开发的程式码就内建其中对于程式开发过程中的控管,如何在快速交付的需求下,同时兼顾渗透测试,确保程式拥有一定程度的安全性,不致出现低阶错误,便成为企业首先要面临的难题之一。蔡宗城说,大约是4到5年前的产品开发周期,可能长达1年之久,企业的开发人员依照计划,按步就班编写程式码,然后经由详细的渗透测试之后,确认没有重大缺失,产品或是服务才会正式上线。但是,随着因应业务需求的快速开发,现在可能是一个星期内,就要完成交付,上述的渗透测试流程,就难以完整执行。
当然,在传统的应用程序开发上,企业也有可能为了交期,允许在臭虫修不完的情况上线,例如是臭虫虽然尚未处理完成,但仍在能容许的范围内,而且专案经理背书等前提之下,准许上线。不过,蔡宗城也提醒,有些臭虫可能是小问题,但要是与个资或金钱有关,很可能造成的影响非常严重。
然而,从产品的生命周期管理的角度来看,程式码的安全性,可能不若促进程式码的生产来得重要。蔡宗城也产品生命周期管理软件Agile为例,其开发团队聚焦在如何让企业更有效率的产出程式码,相较之下,程式码的安全性,便不是该研发团队在产品生命周期管理强化的重点。因此,他认为从程式码的开发下手,其实企业要有相关的意识。
对于企业的开发流程而言,渗透测试最基本的是静态扫描(Static△Application△Security△Testing,SAST),也就是确认所采用的函式库本身,是否含有弱点的情形。而较为进阶的做法,则是主动的自我防御机制(Runtime△Application△Self-Protection,RASP),RASP与应用程序并行,若是侦测到异常行为,就会执行阻断,蔡宗城说,这就好像人体白血球提供的免役系统。
对于应用系统的弱点测试,除了各种的扫描与检测手法之外,蔡宗城特别提到主动防御机制Runtime△Application△Self-Protection(RASP),其运作模式便是随着应用程序一同运作,若是侦测到攻击行为,RASP便会进行拦截,达到保护App本身与其后端(如图中的资料库)的目的。
不过,光有RASP还不够。事实上,正常的渗透测试流程中,还有动态扫描和互动扫描。而蔡宗城认为,在程式码中结合了RASP,然后经由模拟可能发生攻击的特定情境,执行动态弱点扫描,若是将这两种方法加以结合程式码管线(Pipeline),开发人员提交程式码前,能够排除6成至7成的弱点,减少低级错误发生的机会。至于完整的渗透测试,则可定期半年或是一年,交由专业资安团队处理。
不光是程式码,开发者也需要渗透测试蔡宗城认为,渗透测试也要包含开发者等IT人员。在程式开发的流程,开发者可能会面临了急于赶进度等情况,便可能忽略平时所了解的资安意识。他说,虽然普遍许多企业都有相关的训练或是课程,但他认为对人最有效的方法,其实是经由不断的演练、演习,然后才会内化成为自己的一部分。
基本上,这种演綀的方式,主要利用的是2种人性,分别是贪心和恐惧。蔡宗城举例,前者可能是贪小便宜,像开发者爱喝的咖啡品牌,出现买一送一之类的讯息,就很容易让人上当。而后者,很可能是伪冒开发者常用的网站,在几可乱真的情形下,开发者便在恶意网站暴露了自己的帐号和密码。他也列出了2款能提供假造网站的测试工具,CredSniper与Social-Engineer△Toolkit(SET),并以CredSniper呈现的Google登入页面与原始版本对比,可谓是没有什么差异。
蔡宗城以CredShiper制作假冒钓鱼网站,借此测试开发者的资安意识为例,若非留意网址的差异,左边伪造的Gmail登入画面,与右边Google提供的几乎是一模一样,难以分辨。
相关:
Google推出开源TensorBoard网页应用程序的新功能What-If△Tool,让使用者在不需要撰写任何程式码的情况下,检测机器学习模型,使用视觉化互动介面,探索模型结果。建构有效的机器学习系统有很多面向需要注意,除了演
英国航空遭骇案,骇客可能只用22行程式码就偷走38万名乘客个资
示意图,与新闻事件无关。 图片来源: British△Airways 英国最大的航空公司—英国航空(British△Airways,BA)在日前宣布官网与行动程式遭到骇客入侵,美国的威胁鉴识业者RiskIQ则发现,骇客是修改了BA网站所采用
今年社保费征收方式有大变化,社保费改为由税务部门统一征收。社保费统征将使社保费征管工作更加严格。据网络媒体消息,多省不同程度征收社保费,传言企业税负会在增加,企业税负大幅增加是真的吗?一起来看看。社保
近期,市场对于社保征收划归税务可能带来的一系列影响日渐关注。关于社保转税最新进展目前情况如何呢?政府计划将社保缴费由之前的社保部门和税务部门“双重征缴”改为税务部门征缴,主要是考虑到税务部门征缴效率的
HP Metal Jet 金属 3D 打印机 售价大幅下降提升普及率 | 香港 UNWIRE.HK 玩生活.乐科技
一般 3D 打印机都是灌入塑胶原料,制作塑胶模具制品,金属 3D 打印技术还只能在世界级大型企业可以应用。而 HP 就推出一部打印金属模具的工业级 3D 打印机“Metal Jet”,大幅降低打印机单价至 40 万美元,为金属 3D