石油化工行业安全检测技术的实践

时间:2022-02-21 09:23:45

石油化工行业安全检测技术的实践

摘要:随着数字经济在能源化工行业的重要性不断增强,网络安全成为企业数字转型的基本保障,在软件定义一切的技术大趋势下,其安全性严重影响着企业的数据和业务的安全,从实战化和体系化的角度,安全左移既是攻防两端战术发展的需要,也是企业降低因软件安全缺陷造成安全事件影响以及后期修复成本的需要,本文根据实际工作经验结合国际领先的Gartner魔力象限报告,分析应用程序检测领域的各种技术优势和发展趋势,为企业在建立DevSecOps体系时提供参考。

关键词:应用安全;数字化能力;代码审计;交互式应用安全检测

近年来,中国石化严格落实国家“三化六防”的总体要求,并以科技力量全面推动全集团网络安全体系建设,完善集团网络安全顶层设计,开展实战化内部攻防演练,落实网络安全等级保护2.0新标准,持续建设提升网络安全综合防范体系,全集团网络安全整体防护水平取得长足进步。在集团公司数字化转型的大背景下,信息系统的稳定性和安全性将对转型战略的产生有深度的影响,在国家工业互联网白皮书中,将安全和平台、网络共同定义为工业互联网的基础。云计算、大数据、软件定义更加凸显信息系统的“软实力”的比重越来越高,因此软件的安全性在整体安全体系中的重要性愈发突出。提升应用程序的安全水平,在开发测试阶段尽可能多地发现软件安全漏洞,将代码错误,逻辑缺陷消灭在系统上线之前,实现安全防线“左移”,是落实“三化六防”要求的重要举措。网络安全市场碎片化情况严重,赛迪、IDG和Gartner等研究机构的调研报告就成为用户了解技术和选择产品的参考渠道之一,在应用安全检测领域,Gartner的魔力象限是历时较长,也较权威的技术、产品和市场竞争力分析的综合性报告,通过历年报告持续分析,对应用检测技术发展和石化应用需求适配形成了较为良性的互动。

1中国石化应用系统安全的控制机制

中国石化信息化起步早,发展周期长,产业涉及勘探、炼化、销售等完整的上中下游链条,数据中心遍布全国和海外,应用系统包括经营、生产、销售、金融、客户、工程、科技的方方面面,内部人员能力参差不齐,外部供应链多样且复杂,攻击暴露面多,作为能源行业,网络安全事件影响大,经过多年网络安全体系建设,在基础设施防护方面建立了较为齐备的纵深防御体系,但应用和数据安全依然面临着较大的风险。中国石化为加强信息系统全生命周期的安全管理,规范信息系统上线/验收安全检查流程,及时发现和消除信息系统存在的安全隐患,消除或降低信息系统的安全风险,保障信息系统安全稳定运行,根据《中国石化信息安全管理办法》、《中国石化信息安全监督检查实施细则》,特制定《信息系统上线/验收安全检查工作规范》,此工作规范为应用系统安全的红线或者底线,结合信息安全“三同步”要求,实现应用的生命周期安全管控。信息系统上线/验收安全检查工作由各单位信息化管理部门负责组织实施。信息化管理部门组织成立信息系统上线/验收信息安全检查组,检查组严格执行有关管理规范和技术标准对信息系统进行全面、细致的检查工作。信息系统上线/验收安全检查工作共分为五个阶段,分别是准备阶段、调研阶段、现场检查阶段、整改阶段以及检查收尾阶段。在这5个阶段中,一些是管理控制相关内容,比如申请表,自查表,系统定级情况等,一些是技术检查相关内容,比如安全基线,系统漏洞检查,应用漏洞检查,对于重要应用,多类型的应用安全检测成为必查项目。现场检查是应用系统安全重点阶段,其工作包括人员访谈、配置核查、资料查阅、漏洞扫描、渗透测试等方式。检查内容包括但不限于以下内容:安全配置检查、渗透性安全测试和漏洞扫描。(1)安全配置检查是指检查系统各项配置是否符合等级保护或基线的要求,即各安全策略是否得到实现。其检查范围包括网络层面、主机层面、应用层面及数据层面。(2)渗透性安全测试是从信息系统的外部或内部进行模拟渗透性攻击测试,主要测试信息系统对内外部风险暴露的脆弱性。(3)漏洞扫描是指利用扫描工具对信息系统的安全脆弱性进行自动化检查。漏洞扫描包含主机扫描和应用扫描。各项技术性检测就需要依靠系统平台支撑完成相应的检测和闭环管理工作。

2应用程序安全检测技术分类

随着基础网络安全防护体系的日益完善,直接通过网络层或者系统层漏洞完成攻击操作愈发困难,而应用面向交易和面向用户的属性,无法采用网络的方式屏蔽暴露面,因此攻击者可以通过合法和开放界面实现攻击目的,尤其云计算、大数据和基于软件定义技术的发展,基于API接口方式的应用广泛,应用层攻击更加普遍,据Gartner预测,到2023年,90%的Web应用程序将以API而非用户界面(UI)的形式受到更多的攻击,而这一数据在2020年是50%。到2022年,API滥用将从不常见的攻击转变为最常见的攻击,从而导致企业Web应用程序的数据泄露。可以看出在Web攻击中针对API的攻击将占据主流。面对占据主流地位的应用攻击,相应的应用安全检测技术也在不断发展,根据检测技术特点和应用场景,主要的应用安全检测技术有如下三种:

2.1静态应用安全检测(SAST)技术

即通常所说的代码审计,是一种分析应用程序源代码、字节码或者二进制代码的技术,目的是发现存在的安全漏洞,适用于软件生命周期(SDL)开发、测试阶段。石化盈科目前在部分项目中会采用此种方式用以加强开发和测试阶段的代码级安全漏洞的发现和加固。例如总部集中部署的部分智能工厂应用。其优点在于发现更多的代码级漏洞,比如硬编码缺陷或者溢出级漏洞,不足之处在于漏洞报告数量众多,是否具有利用价值需要专业人员评判和检验。

2.2动态应用安全检测(DAST)技术

即通常所说的应用安全检测或者扫描,DAST模拟黑客手法,对应用程序(常见的对象是基于Web技术的应用程序和服务)进行仿真攻击,通过分析应用程序的对于攻击负载的反应,结合攻击特征库,确定是否存在应用漏洞。适用于测试或运维阶段分析处于运行状态的应用程序。这是最常见的应用程序检测方式,在总部部署系统需要在上线阶段和验收阶段完成此类检测,高中风险漏洞须整改才能获得相应部门的签字,这也是外部测评机构的必测内容。其优点是操作简单,而且是业界通用的检测方式,在满足合规方面是必选项,而且以攻击的角度检验应用的安全性,经过良好配置的检测报告具有较高的参考价值。

2.3交互式应用安全检测(IAST)

该技术同时结合了SAST和DAST的技术特点,不像DAST只是通过网络流量中应用的响应进行攻击判定,也不像SAST需要获得源代码,它通常在测试运行环境中部署来观察操作或攻击并识别漏洞。石化盈科系统集成事业部开发研制的云安全检测平台可以看作是采用类似技术的安全检测产品。其优点在于可以检测到一些纯黑盒方式无法识别的安全漏洞,例如业务逻辑缺陷,同时也在检测深度和速度上具有比较大的灵活性,同时与白盒技术相比,其漏洞可被利用的可信度更高,误报率相对较低。随着供应链攻击事件的快速增长,开源软件的漏洞也列入了应用安全检测范畴,软件组合分析(SCA)技术用于识别应用程序中使用的开源和第三方组件及其已知的安全漏洞,SCA在经历过几年的不温不火之外,目前也呈现快速上升的趋势,以前作为代码审计类产品的功能组件,目前有些厂家推出了独立的产品,也许在不远的将来,会作为单独的技术产品进行评测。应用安全检测传统上是按照产品模式交付的,在云计算大行其道的当下,越来越多的厂商倾向于采用订阅服务的方式,其优势在于降低一次投入成本,促进成交,同时也加强用户黏性,实现长期合作的目的,也减少传统交易模式下的维保和软件更新的客户困扰。其缺点是不适用于国内用户的采购习惯和采购规程,因此在国内尤其是石化企业中推广困难。

3应用安全主流供应商特点分析

在2021年的魔力象限中,老牌厂商依然占据了主要位置,说明这个产业对于技术积累还是有一定要求的,同时一些代码托管平台借助着Devops的优势出现在不同象限中,展现出业务发展的需求和趋势,还有一些产品跌出了象限,以及有些产品换了新东家,虽然应用安全检测需求很旺盛,但市场并不大,这些年一些新势力加入,市场竞争激烈程度有所加强。榜单产品中选择在国内主要是石化行业应用较多的产品进行综合分析,有些产品的主要市场不在国内,暂不做介绍。

3.1HCLSoftware

其实就是IBM的应用安全旗舰产品Appscan,前几年售卖给HCL,其DAST是安全测评机构、安全团队和安全人员的必备工具,和HP的fortify同为元老级的应用安全检测工具。在2020年的魔力象限中可能是因为换了新东家,暂时失去领导者地位,今年重回领导者象限,但与业界领先者的差距还是较大。HCL继承了IBM产品线全的特点,解决方案包括SAST,DAST和IAST,也分别提供标准版和企业版,而且通过Asoc提供SaaS服务,此外通过ICA和IFA技术,提高了检测速率和降低了误报率,但是IBM没有SCA,其企业版通过和BD集成完善此部分功能。IAST的能力和其他竞争对手相比尚未得到认可。在石化行业,Appscan的动态检测技术引入时间长,检测范围广,其完整性和权威性还是有保障的,但是IBM产品优势和劣势都在于产品过“重”,其功能的大而全在效率上就不是特突出,而且所谓的整体解决方案意味着技术之间的耦合性较强,要实现IBM描绘的完整功能蓝图可能需要采用从开发环境、集成系统和检测平台的整套方案。

3.2MicroFocus

又是一个长着新面孔的老朋友,MicroFocus收购了HP的安全检测产品线,将Webinspect和Fortify纳入麾下。在应用检测方面,HP的基础比IBM更深厚,产品全,品牌认知度更高,除了具备自己的SCA外,也能和BD集成,DevInspect做得比较成熟、开发过程集成度较高。HP将此业务转让给MicroFocus,从绝对的领头羊地位跌落,目前虽然还处于第一象限,但和HCL一样,相对落后了,用户普遍反映配置复杂、学习量大、易用性较差。在实测过程中,Fortify还是偏重与客户端部署,与云端服务的发展趋势不是很一致,当然客户端部署有其优越性,其检测功能也依然强大,但从石化信息化发展“一切应用上云”的要求来看,显得有些跟不上节奏。

3.3Checkmarx

来自以色列,但凡来自这个国家的产品,让人又喜又恨,喜的是技术的确非常好,而且抓住一个点能做得很深很细,恨的是市场一般,找支持找服务比较难。Checkmarx的sast做得非常强,可能是目前支持语言种类最多的产品,不像其他的主要支持Java或者.Net.Checkmarx有一套完整的SDLC工具集和devops方案,包括代码库、编译系统、bug追踪、IDE和QA测试工具,通过周期循环和并行机制,其检测效率较高,而且配置简单,学习难度较小。其缺点在于只做SAST,DAST是和Rapid7合作联盟,也没有IAST和RASP,其余WAF集成联动只支持ModSecurity,对象不是很多。在实战中,Checkmarx的服务化做得较好,可以比较简单地实现多租户管理,应该可以通过二次开发实现与石化智云平台的集成,补充完善云安全服务目录。其增量检测的技术也有效地降低了工作负载和检测时长,适合企业级的应用安全管理。但是在功能上对于配置类的安全检测结果不如Fortify完整全面。

3.4Synopsys

中文名字叫新思,是个专做测试的企业,在中美贸易战中,属于技术禁用的企业之一,在软硬件检测领域具有很强的实力,安全的检测市场进入时间不长,Synopsys的Coverity是代码管理工具中C/C++扫描功能最强、误报最少的软件。新思来自美国加利福尼亚的山景城,近年来在AST领域发力,陆续收购了多家AST公司,将自己的排名从第四象限直接拉升到第一象限,这些收购包括:Cigital、Codiscope、Codenomicon、Converity、Protecode等,使其具备了IAST、SAST和SCA的较完整的支撑能力。Sysnopsys的强项之一在IoT领域,支持广泛的IoT相关协议,比如XMPP、MQTT、CoAP、AMQP,除了检测之外,安全的IDE也是开发安全管理的一个重要环节,可以在代码输入阶段做语法检查。工作原理并不复杂,检测规则或者知识库是其核心能力,这个就要看公司实力和积累了。Synopsys的问题在于北美区域之外的市场影响力不足,还有大量收购后的各类产品如何整合都需要进一步观察,此外,不提供本地部署的DAST可能会在对一些安全控制敏感的组织选择时产生一定影响。从其他一些新上榜的企业或者产品也可以看出一些技术发展的趋势,例如Github、Gitlab的上榜,提供AST作为其更广泛的DevOps平台的一部分。它们在自己的工作流程中整合了商业或开源扫描软件,可以为平台用户提供SAST和DAST服务。利用平台优势,还为SCA提供依赖扫描。在GitLab的安全功能模块中还包括机密管理、容器扫描的开源扫描功能和许可证合规性检查,非常适合使用其平台进行持续交付并需要嵌入应用软件安全检测工作流程的组织。

4结束语

在2020年之前,绿盟(Nsfocus)作为唯一的国内代表占据榜上的一席之位,现在的榜单已经全部被国外品牌占据,其实从Gartner所作的技术发展趋势分析中可见一斑,对于api、容器、云原生应用的检测成为重要的考核指标,国外的老牌厂商延续了自身深厚的研发功力,迅速完成了产品的更新迭代,形成了完整的解决方案,而国内老牌检测企业则尚未跟上这一变化,这不仅是检测技术研究的落后,也是整体应用场景覆盖不全,反而倒是一些小而新的安全企业专门针对新兴需求开发出了相应的产品,但其又缺乏历史积累,没有形成整体解决方案,另外还有一些互联网厂商根据自身需求,在引进或者开源的基础上,开发出了适合需要的工具,但并未形成成熟产品输出到市场。我们可以看到,应用安全检测市场的一些国外老牌厂商已经在此细分领域耕耘了多年,也不断开发出不同的产品功能和提供了适应技术发展的业务模式,随着安全防线左移需求的不断加强,作为最接近核心资产“数据”的应用程序,其安全性将愈发重要,也必将需要更好的安全产品去应对复杂安全环境,提升组织应用的纵深安全防护水平。

参考文献:

[1]刘远.石油化工行业网络安全运营的探索与思考[J].中国信息安全,2019(8).

[2]何金栋.Web应用安全检测工具的设计和实现[J].通讯世界,2016(23).

[3]DaleGardner,MarkHorvath.MagicQuadrantforApplicationSecurityTesting,Published27May2021.

[4]听云.解读GartnerMQ(1)丨一文读懂:让微软、华为“折腰”的Gartner魔力,2020-03-05.

[5]索亮.对主流扫描工具漏洞检测能力的测试与分析[J].信息安全与技术,2010(06).

[6]高秋燕.基于高校的网络安全检测与防护[J].电子世界,2021(01).

[7]边锋.Web应用安全漏洞“一扫光”[J].中国计算机用户,2007(24).

[8]Synopsys:DevSecOpspracticesandopen-sourcemanagementin2020,NetworkSecurity,2020-12-01.

作者:孙笑庆 单位:石化盈科信息技术有限责任公司