IAST交互式应用程序安全测试(Interactive Application Security Testing)是Gartner 2012年提出的一种新型运行时应用安全测试方案,规避了黑盒安全扫描DAST和白盒代码审计技术的主要技术缺陷,通过代理/VPN、旁路流量镜像、透明流量管家以及运行时插桩检测技术,实时监测应用漏洞触发执行情境,接近于零的误报率,漏洞触发点可定位到代码行,可回溯漏洞堆栈信息。
因此,IAST有着非常明显的优势,一是低门槛,无需专业技术背景,普通测试人员透明完成业务安全测试,二是低入侵,透明部署,不影响正常测试工作和用户使用流程,三是低误报及漏报。
在技术上我们常常问一个问题,黑盒、白盒到底有什么区别。我们简单进行了对比,具体结果如上图所示。
横向来看,误报率方面DAST比较低,SAST会高一些,IAST则是极低,因为它除了具备DAST的一些检测能力外,还可以通过代理/VPN、旁路流量镜像、透明流量管家以及运行时插桩检测技术,实时监测应用漏洞触发执行情境,所以误报率非常低,特定条件下甚至可以达到零误报。
检出率方面,DAST属于中等,SAST还是会高一些,因为SAST的优势在于能够做源码的覆盖,IAST是比较高,因为IAST比较依赖于测试人员的测试用例或者交互测试过程获取到的流量。如果测试人员的测试用例能够覆盖所有的功能,那么它能达到的覆盖面要比安全人员的人工深度测试的覆盖面多一些。毕竟安全人员更懂安全,但是测试人员更懂业务。
测试速度方面,DAST随URL/Payload的数据变化,SAST基于代码量,代码量越大检测速度就越低,IAST则依赖于点击实时检测,因为他可以通过被动污点追踪检测进行分析,如果在测试过程中发现了漏洞就可以实时报出来,具有一定的时效性。
此外,还有第三方组件漏洞、语言支持、框架支持、漏洞验证利用、使用风险、使用成本、漏洞详情、CI/CD支持、漏洞种类覆盖方面,DAST、SAST和IAST技术之间各有不同,具体分析的情况可以从上图中对比了解。
就单款工具而言我们很难判定哪款工具更好用,因为每款工具都有它出现的意义、时代背景和可适用的场景。
三、IAST技术原理
接下来分享的是IAST的技术原理。
前面咱们已经讲了,不管在哪个企业都有敏捷开发的需求,我们想要的就是将安全前置在开发层面。想要实现这一诉求,我们就需要适应各个类型的产品,使用比较完善的相互测试的技术方案等。
IAST交互式应用程序安全测试是一个测试方法,主要是流量技术和插桩技术。流量技术主要是通过代理、VPN、流量镜像、主机层流量、旁路流量镜像等技术获取相应的流量,模拟基于流量的中间人攻击,并进行漏洞利用演示。
插桩技术主要有主动型插桩检测和被动污点追踪检测两种模式,是基于函数运行时的检测,结合IAST的主动验证可以实现真正意义上的零误报。
接下来分享基于不同场景下的分析。
基于代理/VPN的测试场景,适合测试人员对单个网站进行深度渗透测试,不依赖测试系统语言环境,无须接入测试环境即可进行安全测试。比如我们要建设一个网站,测试人员最快上手的方式就是配个代理,代理配置完成后按照功能进行测试,不需要了解服务器的环境,因此接入成本最低。
基于流量镜像的测试场景,适合测试目标或部门之间存在隔离,无法清晰了解测试资产,通过在网络出口旁路部署流量镜像,透明无感知接入。简单来说,我们可以在交换机设备上部署安全设备,这样就可以获取相应的流量,并进行实时检测。
而在插桩的测试场景中,适合自动化或资产清晰便于部署微探针的情况下,提前在测试应用中间件上进行插桩,如基于Tomcat、SpringBoot等。其部署存在一定的成本,但是如果部署环境、用户环境比较统一,就可以实现自动化部署,弥补部署环节的成本问题。插桩测试的好处在于漏洞检测的效率比较高,可以做到实时检测,并且可以具体到某一行代码。
插桩技术的实现原理主要分为两种,一是主动型插桩,二是被动型插桩。
主动型插桩可配合扫描端的验证,对于已经验证的漏洞基本就是100%的漏洞,不存在误报。如果大家感兴趣的话可以看看我们悬镜CTO宁戈之前直播的视频(详情关注悬镜安全服务号,获取直播视频),里面非常详细地介绍了主动型和被动型插桩技术。
主动型插桩主要是扫描端发送Payload,然后插桩Agent在关键函数,获取上下文信息综合分析,再加上扫描端的配合,可进行漏洞利用、漏洞复现,检测出来的漏洞精度更高,更易于指导研发修复,覆盖一些流量检测特有的漏洞支持。缺点是需要进行重放流量,对于网络的要求比较高,无法处理签名加密接口。
被动型插桩,原理上是做污点分析,在目标应用程序运行的过程中实时跟踪监控,记录程序运行的变量和寄存器里的值,最终汇聚至污点汇聚点,如果中间没有经过无害处理,那么可以认为这是一个漏洞。
被动型插桩的优势是可处理签名、加密接口,无数据重放、无脏数据,缺点是污点丢失和 Sanitizer(污点清洁)未知,可能导致漏报和误报。
四、客户实施案例
第一个案例是某国有银行,其背景是为银行开发一个业务支撑平台的软件开发中心,以在线网站和移动应用为主,业务量非常多,安全的重要性毋庸置疑。
改造之前,开发中心一直使用的是传统的SDL研发模式,而且安全工作独立于研发体系,无法融合于研发过程,导致效果差、效率低下,质量反馈体系也不包含安全内容,安全质量无法持续改进,最终导致安全保障体系比较困难,因此想要对生产、研发模式进行改造。
改造之后,该国有银行上线DevSecOps研发模式,将安全工作与DevOps流程无缝结合,深度整合在研发过程的每一个环节当中,侵入感低、效果好、效率高。另外,安全漏洞与BUG一同成为质量反馈常规内容的一部分,安全质量持续改进。
第二个案例是某证券机构。他们原有的是一套比较完善的开发数据流程,这种流水线模式有一定的持续交付能力,但是仅依靠目前的流水线平台不能在上线前上或生产过程中进行自动化的安全测试,且无法保证后续的持续改进的能力。
在这个环境中,IAST主要是以工具方式接入,补充上线前的安全措施,并将安全前置,弥补公司前面没有做的安全测试覆盖。但是这样由于流水线控制的原因,自动化程度有限,仍然有部分是人工参与,整体流程还有提升的空间,所以进行了DevSecOps改造。
为了进一步提升业务能力,该公司通过实现自动化构建,结合容器化的部署,从而使业务能够快速迭代发布。当然这里不能缺少安全,因此客户主动进行了DevSecOps平台的建设,引入了相关的工具链。在这个业务中我们也要适应模式的变化,比如平台对接、或者把能力集成到平台上,将功能嵌入到现有的流程中,以及插桩、检测、安全测试等,最终在开发阶段形成自动化的流程。
最后一个案例是某银行卡联合中心,他们本身已经在开发设施阶段有完善的DevSecOps方案,也有一些工具链进行支撑,开发和安全团队的结合较为紧密,自动化引入后孤岛也被打破了,体系较为完善。
但是他们后续上线需要一个高频的部署和软件交付的系统,其中也有一些安全的威胁。他们系统里面每天都会有大量的应用上线,如何对这些应用做安全测试或安全验证就比较困难,单纯依靠人工肯定不行。
所以我们提供的是一个针对多条应用的流水线,以单个应用为目标进行持续的自动化渗透,对目标变更资产进行梳理,从攻击模拟的角度验证资产的完整性,也可以让安全测试人员做攻防模拟演练等,可以对一些特定的应用做深度的验证。
五.灵脉IAST
灵脉IAST灰盒安全测试平台是全球代码疫苗内核驱动的新一代交互式应用安全测试平台,也是国内语言支持数量和测试覆盖场景类型数量均领先、具备探针技术领先和实践成熟度的IAST产品,具备API接口安全检测及敏感数据链路追踪能力,透明集成于现有IT流程,自动化完成业务代码上线前安全测试,重点覆盖90%以上中高危漏洞,防止应用带病上线,保障数字供应链开发环节的安全运行。
全面的应用漏洞检测
1
灵脉IAST具备六大检测模式,动态污点追踪模式(被动插桩)、交互式缺陷定位模式(主动插桩)、流量代理/VPN模式、主机流量嗅探和旁路流量镜像模式、Web日志分析模式,能够全面覆盖漏洞场景,多角度深入挖掘其他测试工具难以发现的安全缺陷及漏洞。
2
灵脉IAST不仅可以检测出传统OWASP TOP10中的主流Web应用漏洞,还能检测出一些和业务设计缺陷息息相关的业务逻辑漏洞,如水平越权、垂直越权、批量注册、验证码绕过及短信轰炸等。
3
除了全面的检测范围,灵脉IAST在检测时提供具体的定位信息,帮助开发人员迅速定位并修复问题,减少修复的时间和成本;同时可轻松集成到 CI/CD 流程中,并将漏洞结果同步至 Jira、禅道等缺陷跟踪平台,实现完善的漏洞全生命周期闭环跟踪管理。
深入的供应链风险治理
1
基于悬镜原创代码疫苗专利技术,灵脉IAST可通过单探针精准检测应用实际运行过程中动态加载的第三方组件及依赖,识别引入的开源组件安全漏洞及开源许可证风险,并对漏洞的利用难度、许可证的兼容性给出可靠建议;
2
支持导入导出SBOM清单,快速建立供应链资产数据库;
3
全面接入XSBOM数字供应链安全情报,实现自动化获取情报-检测漏洞-验证漏洞-漏洞防护的过程。
兼具API安全和数据安全
1
传统基于流量、日志分析的API安全难以适用微服务、云原生等新型场景,灵脉IAST基于探针技术深入应用内部,可针对API风险进行代码级的分析。
2
灵脉IAST可检测敏感信息泄露威胁,如手机号、身份证、银行卡号等,追踪敏感数据在应用间产生-处理-流转-输出-存储-销毁的全生命周期,获取包含敏感信息接口的调用时间、调用来源、请求与响应等详细信息。
3
支持灵活定义敏感数据检测规则,并支持分类分级的数据安全治理,结合链路拓扑图,可视化展示敏感数据和漏洞风险的传递路径。
领先的强大性能与兼容性
1
基于悬镜百万级的插桩应用实践经验,灵脉IAST的探针CPU占用均值<5%、内存影响<5%、QPS影响率<5%,性能遥遥领先。
2
基于悬镜自研的XSensor主机级Agent安装助手,灵脉IAST可对普通进程、容器内进程批量安装、升级、卸载Agent,Java Agent还支持在不重启应用和容器的情况下安装或卸载 Agent,有效简化Agent插桩安装流程、提升管理效率。
3
此外,为应对应用系统自身配置较低或高并发的极端情况,灵脉IAST提供了探针自动恢复和熔断机制,包括CPU、内存、GC熔断和QPS高频限流熔断,用户可以结合自身业务情况自定义熔断阈值,确保业务优先;在低于熔断阈值并稳定保持一段时间后,探针会自动恢复正常运行。
作为悬镜第三代DevSecOps数字供应链安全管理体系中上线前测试环节的应用风险发现平台,灵脉IAST连续三年市场应用率领先,并在国内首批通过中国信通院开展的《交互式应用程序测试工具》评测和CWE兼容性认证。截至目前,灵脉IAST探针累计插桩应用达300万+,广泛实践于金融、泛互联网、政企、通信、能源等行业头部用户,帮助用户构建起安全、高效、智能的企业数字应用,夯实数字经济创新发展的技术底座,持续守护中国数字供应链安全。
)
