文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

全面落地DevSecOps,工商银行安全管控建设实践

2024-12-01 19:41

关注

二、金融行业安全管控核心诉求与策略

三、安全管控调研与实践思路

四、未来展望

一、业界安全态势

首先从Log4j2的1个核弹级高危漏洞谈起,去年11月下旬,阿里云向Apache官方报告了Apache Log4j2 RCE漏洞。该漏洞属于0-day漏洞,用户可以借机获得无限的权利,如提取敏感数据、上传文件到服务器、删除数据、安装勒索软件,以及进一步散播到其它服务器。但是阿里云并未上报工信部,直至12月9日工信部才经由其他渠道得知该漏洞,发布紧急通告,为时已晚。当晚国外公布了攻击POC,在国内针对POC配置WAF进行防御的同时,进一步发布了可以绕过WAF的强化版POC。

因为大量网站存在该问题,业界同仁采用Fofa等网站进行检测,结果因检测流量太大导致Fofa等网站一度崩溃。与此同时,黑产和灰产们、黑灰产们在挖矿勒索武器库上增加了该漏洞的利用模块。此事给程序员带来极大痛苦,12月9日晚是一个不眠之夜,已经写入历史篇章,程序员被迫紧急升级log4j2 2.15.0并及时上线以规避风险。根据业界某一安全团队统计,72小时全球至少收到了84万次攻击,影响范围非常大。

从apache官方的历史提交版本变化情况来看,从12月6日到12月27日,Apache官方20天内升级了5个版本,同时2.15版本包含了RC1跟RC2两个候选版本,因当时验证发现RC1依然存在漏洞绕过情况,所以Apache官方最后以RC2作为标准版本进行发布。因为此事工信部与阿里云暂停了半年合作官方关系。从去年年底至今,美国商务部要求未经其授权许可不允许将安全漏洞分享给中国的消息持续发酵,影响严重。由此可见,掌握0-day漏洞相当于掌握了互联网的命脉。

1.网络威胁日益严重

这里列举3例网络安全事件。

17年勒索病毒“WannaCry”迅速席卷150多个国家,波及超20万台机器,其前身为NSA旗下的网络武器永恒之蓝,当时随之泄露的还有永恒浪漫等近10款可以攻破全球70%用户的漏洞利用工具,网络安全岌岌可危。今年3月黑客“RED-LILI”针对NPM存储库进行攻击,发布了近800个恶意NPM包。5月俄最大银行遭到最严重的DDos攻击,峰值流量高达450GB/秒。虽然可以通过CDN预防DDos攻击,但会产生极大成本,付出与收益极不匹配。

总之,网络威胁日益严重。从业界黑客的攻击手段来看,一般分为以下5个阶段:

在防护方面,业界主要采用以下方式:

2.数据安全事件危害程度日益加剧

数据安全事件危害程度也是日益加剧。风险基础安全(Risk Based Security)数据显示,2020年全球数据泄露达到360亿条。IBM《2021年数据泄露成本报告》显示,数据泄露事件平均带来424万美元损失。同时《2021年数据泄露调查报告》指出,2021年数据泄露85%涉及人为因素,由此可见,人是安全事件中的关键因素。

数据安全事件实质上存在两个方面的影响:

1)网络黑产蓬勃发展

19年拼多多过期优惠券Bug,一晚损失200亿;22年4月,北美洲国家哥斯达黎加财政 部大量敏感数据被盗,至少损失2亿美元。

2)数据泄露危害跃居前三

欧洲GDPR自16年发布起已进行多次罚款,仅在21年,卢森堡对亚马逊罚款7.46亿欧,迄今为止单笔罚款最高;荷兰对“抖音”国际版罚款75万欧元,中国企业(包括其控制的海外平台)第一次遭处罚,具有一定标志性意义。国内也存在信息泄露罚款案例,例如21年1月某大型银行湛江市分行因员工出售31,465条客户信息被罚款20万。

3.数据安全已上升到国家战略层面

1)国际层面

2016年欧盟颁布GDPR(《通用数据保护条例》),2018年5月份正式生效,构建“泛欧数据市场”。2018年美国通过CLOUD 法案(《澄清域外合法使用数据法案》),可合法访问境外数据,抢夺他国的“治外法权”。

由此可以看出,国家层面的数据安全战略包括以下三方面:

2)中国层面

我国自2016年起,开始发布相应的安全条例。2016年发布《网络安全法》,鼓励数据安全保护;2021年发布《数据安全法》,将数据安全纳入保障体系;2022年中国人民银行发布《金融科技发展规划(2022-2025)》,强调做好数据安全保护。

与国际咄咄逼人的策略不同,我们国家的策略包含以下三点:

二、金融行业安全管控核心诉求与策略

个人而言,金融行业安全管控的核心诉求及策略可以分为四个方面。

1.提升人员安全意识(网络安全的关键和核心)

1)提升人员安全意识,避免被钓鱼、社会工程学等因素无意识地泄露一些关键数据。

2)做好最小权限管控,可以通过文档加密或通过隐写术加水印,一方面可以避免人员有意识地泄露数据,另一方面可以事后精准定位和追责。

2.实现安全左移,柔和嵌入现有开发体系

1)将安全工具嵌入DevOps流水线,建成高效安全门禁,自动化管控安全出口质量,避免粗暴安全管控对研发过程造成巨大影响。

2)快速完成漏洞修补工作,降低安全漏洞。

3.强化运行时动态入侵检测

1)快速识别异常攻击行为:识别行为数据的的常见攻击路线,本质上要依赖于专家库进行处理,因为安全专家可以识别数据的常见攻击路线,可以探究哪些行为数据是异常数据。

2)持续风险评估能力,快速识别行为偏离。以前我带的团队试点过邬院士的拟态防御,通过部署多个动态异构体去提前发现安全风险并进行防御。

4.快速响应

1)舆情影响范围快速聚焦。

2)自动实现舆情分发和跟踪处置,提升应急响应时效,以便最小化损失。

三、安全管控调研与实践思路

1.DevOps研发模式下的软件安全转变

1)瀑布模式

2004年微软提出SDL理念,在当时具有划时代的意义,对华为和富国银行等众多企业起到积极作用。随着DevOps的兴起,它存在以下两大问题:

过度依赖于专家的能力,不适应现在的网络安全生态;

忽略项目组的安全意识培训,沦为“救火队”。

2)DevOps

近几年DevOps在国内处于持续上升和成熟期,在17年时Gartner提出了DevSecOps的全流程工具链,如上图所示,针对DevOps的每个阶段,均给出相关安全工具链(后面会具体展开,此处暂且不表),从而安全管控策略应符合以下两个原则:

中国信通院并未对DevOps做出明确定义,但在《研发运营一体化(DevOps)能力成熟度模型第6部分:安全及风险管理》提出了以下4种全新安全理念与实践模式。

其原则与DevSecOps理念相似,强调安全是每个人的责任,指将安全内嵌到应用的全生命周期,在安全风险可控的前提下,帮助企业提升IT效能,更好地实现研发运营一体化,做到全流程地安全内建,形成安全闭环。

2.工行安全管控探索历程

工行开发中心分列于7地,现有8000多名研发人员,维护400多个应用,需要满足不断变化和日益增长的市场需求,如果完全实施SDL,人员投入成本和产出会严重失衡。

我行开发中心的安全管控探索包含两个阶段,第一个阶段是2018年9月前,主要由业务研发中心安全实验室负责安全验收,类似于SDL的安全测试阶段。因为测试阶段临近上线投产,发现问题后完成漏洞修复成本极高,可能存在安全设计层面的调整,存在影响业务上线的风险。于是在2019年9月后,开发中心开始提前安排安全管控和测试,并构筑安全攻击链,效果很明显,降低了约90%的安全测试问题,有效减少了问题成本。

刚才提到我们业务研发中心安全测试一般在交付后进行,即在投产前两周内才会提问题,在这个时间点提复杂的安全问题,可能存在两周内无法完成安全设计,需求无法闭环的风险,所以说我们将安全测试提前,在初步的测试阶段即可发现安全设计的一些问题,将修改代价降到最低。

回顾当时的历程,2016年Gartner发布报告《DevSecOps》 对模型及配套方案进行分析,2017年RSAC首次引入DevSecOps,这一概念开始流行起来。2018年,工行开启DevOps建设,在稳定成熟以后,2019年工行开始进行安全工具链建设与安全团队测试,与此同时,业界轻量级安全工具链日益丰富,与DevOps持续成熟相得益彰。

3.工行DevSecOps能力建设目标:一个提升,两个降低

基于业界最新理念,我们制定了与业界同轨,形成DevSecOps能力建设的目标,即实现一个提升,两个降低。

1)提升应用安全开发技术水平及人员能力

2)降低应用风险漏洞数

3)降低应用监管合规风险

4.DevSecOps能力体系:工行建设路径

我们的建设路径实际上包含三个方面。

1)安全能力原生化

2)安全能力技术化与服务化

3)安全管理过程化、可视化

5.DevSecOps能力体系

我们能力体系分为4个建设目标,并依托目标形成层级和相关体系。

1)顶层架构

顶层架构有管理、有流程、有规范,有考核,即必须要有方法论基石,出问题后有法可依,我们针对这一目标建立了安全管理及标准体系,包括两个方面:一是建立安全开发规范(应用需求规范、安全设计规范、开发规范,还有测试规范以及安全合规性的技术规范)和安全管理规范;二是开展人员管理建设,涉及组织架构与岗位角色的调整以及安全人员培养等等。

2)平台支持

平台支持,即要求平台化技术规范的策略化可以做到全流程的覆盖,为此,我们搭建了一个安全管理及技术平台,实际上涵盖了研发的所有环节,简单来说就是要求:

3)安全知识库

我们需要把一些东西进行沉淀,因为专家的能力始终是专家自身的一部分,而我们要做到人人都要为安全负责,一方面我们可以学习专家的相关经验进行成长,也就是传承;另一方面我们要对团队安全意识进行提升,为此我们尝试逐步完善相关知识库:

4)工具及DevOps整合

我们通过将工具链进行整合,降低使用门槛,提升人工效率以及提供闭环安全能力。这包括引入业界安全工具链和研发DevSecOps相关安全工具两种情况。

6.DevSecOps能力体系:全流程闭环安全管控能力

1)研发过程安全

从需求、设计、开发、测试、发布到运营,我们每一环节都会有一个安全门禁或DOD进行控制处理,以保证每一阶段安全质量目标的达成,最终保证出口安全质量。

2)运维安全事件响应及溯源

当发现运维安全事件后,我们要对运维安全事件积极响应以及事后溯源,以便实现自治体系的持续演进和提升。如果出现安全需求缺失,则要在需求环节进一步强化,比如通过威胁建模的方式提升需求安全性;如果设计环节有问题,发现安全设计缺陷,则应强化安全设计闭环,或通过其他的一些手段进行强化处理;如果开发阶段存在安全组件漏洞或代码缺陷,比如开发人员故意构筑代码缺陷,以便于其离职后的违规操作,则进一步强化开发环节的代码复核能力;如果是测试环节,则需要进一步优化完善测试用例缺失和测试工具漏报等问题。如果发布环节发现发布标准存在缺陷,则在后续的发布过程中进行改进。

3)安全能力沉淀

我们最后将安全能力沉淀,逐步建立一个持续演进的安全体系,这部分包括三方面:

① 问题修复跟踪

② 应用横行排查

③ 安全能力沉淀



基于上述理念,我们通过同步、异步相结合的模式,规划双链路检查模式,形成并提升DevSecOps能力。

1)构建并行于DevOps流程的可自由插拔装配的“黄金管道”安全流水线,将扫描准确高的轻量级安全扫描工具纳入CI/CD流水线,适应快速构建及交付要求,实现代码安全质量严控。

2)对于扫描效率不高的安全扫描工具,通过异步模式在全量流水线进行定期调度,开展例行扫描。如上图所示,CI流水线我们额外多了三个组件,一个是敏感信息检测,第二个是SAST扫描,第三个是SCA扫描。

在使用工具方面,进行敏感信息检测时,我们使用detect-secrets、 git-secrets等工具。对于SAST扫描,我们使用了三类工具,首先是Sonar(内置并持续增加诸多安全规则),我们可以看到像腾讯、阿里、华为等多家头部公司都在使用,同业中招行以及中行也在使用,然后我们使用了findsecbugs,除此之外,我们还采购了代码卫士等。

在SCA(软件成分分析)扫描方面,我们目前采购了开源卫士,之前我们用了两个工具,一个是license- maven-plugin ,sofa的良心组件,可以避免GPL许可证的使用。另一个是dependency check,它可以检查组件是否存在漏洞,方便我们进行提前修复。

在CD流水线,除了SAST扫描外,我们又多了IAST、DAST扫描以及容器安全扫描。在DAST扫描的使用工具方面,我们使用OWASP ZAP和Appscan,除此之外,我们还采购了绿盟的检查工具。在渗透测试方面,我们主要是通过工具辅助人工的方式展开。



通过整个流程,我们建立了安全质量门禁,以确保我们的出口可以达到安全质量的原则。在强化全流程管控能力的时候,我们为排查方便,构建了一个漏洞知识图谱,以便提升自动化的排查能力。我们有400个应用,如果让我们每次发邮件对全部应用进行排查,这会给大家带来很大负担。通过构筑知识图谱体系,我们可以较为容易地实现向下排查。

四、未来展望

我们可以看到,安全演进的速度在逐步加快,技术变革将驱动新一代软件安全革命。关键技术的演化,对于软件安全攻防双方来说,都是一个新的空白窗口期,谁能优先利用新技术,谁将在安全对抗中获得领先优势。

1.网络安全网格

通过分布式架构方法,实现在分布式策略执行架构中实行集中策略编排和决策,用于实现可扩展、灵活和可靠的网络安全控制。个人认为网络安全网格是一个必然的趋势。

2.隐私增强计算

随着全球数据保护法规的成熟,各地区的CTO必然面临数据隐私,不同于常见的静态数据安全控制,隐私增强计算可在确保保密性或隐私的同时,保护正在使用的数据。数据价值其实在黑灰产中发挥了极致的作用,我们正处于大数据时代,通过隐私增强计算,既规避了数据隐私,又对我们建立千人前面的客户画像起到积极作用。落实反欺诈、评估个人数据转型等高度敏感数据的处理活动,一般可通过联邦学习,或通过同态加密的方式实现,在不侵犯数据隐私的情况下达成数据加工的目的。

3.决策智能

决策智能可被视作用于挖洞的一种手段,业界看来利用大数据分析技术挖掘程序潜在缺陷在技术原理上已经被证明是可行的,也在领先机构的研发中取得了实际效果。但是,我们应清醒的看到新漏洞挖掘技术是一把双刃剑,在提升企业安全测试水平的同时,也可被攻击者利用优先发掘0-day,即达到攻防的博弈平衡很难。大家如果关注腾讯的玄武实验室或阿里云实验室的话,可以发现一个高级漏洞的奖励极其丰厚。

目前,开源组件漏洞呈现出愈演愈烈的趋势,大家可以去NVD或CNNVD官网查看漏洞趋势变化情况,从16年开始每年的漏洞均呈指数级增长。虽然开源软件是一个好东西,它可以提升你的构建效率,避免重复造轮子,但它同时也是一把双刃剑,它会把一些安全漏洞隐藏在其中。如何在用好开源软件的同时保护好自己,个人以为该点在软件开发过程中十分关键。

讲师介绍

魏亚东,工商银行软件开发中心三级经理,资深架构师,杭州研发部数据库专家团队牵头人和开发中心安全团队成员,负责技术管理、数据库、安全相关工作。2009年加入中国工商银行软件开发中心,致力于推动管理创新、效能提升,提供全面技术管控,推动自动化实施,实现业务价值的高质量快速交付;同时作为技术专家,为生产安全提供技术支持。

来源:dbaplus社群内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯