本次分享共分为三个部分,一是IAST技术的介绍,二是悬镜IAST灰盒安全测试产品的特点,三是悬镜IAST灰盒安全测试产品在客户实际场景中的一些落地。
一、IAST简介
IAST交互式应用程序安全测试,是由Gartner在2012年提出的一种新型运行时应用安全测试方案。它同时规避了黑盒安全扫描DAST和白盒代码审计技术的主要技术缺陷,通过轻量级的微探针技术,使得它在具有黑盒流量的同时,也能获得白盒的精准代码行定位。
IAST之所以被用户认同,来源于DevSecOps的兴起。RSAC2018正式提出了黄金管道的概念,特别强调了自动化工具在CI/CD中的作用,AST应用安全测试就是其中的关键工具链技术之一,包括了DAST、SAST还有IAST等。
对比三种测试技术,DAST黑盒的误报率低,使用成本低,可发现配置、运维、运行时层面漏洞。但是由于其采用模拟攻击行为的方式,所以会具有一定的脏数据和大流量,容易对正常测试造成干扰,且无法深入定位到代码行。
SAST白盒的优点是可以在开发环节就快速定位漏洞。但缺点是扫描时间长,误报率高,迫使企业花费更多的时间消除误报,使用成本高。
IAST灰盒通过服务端部署微探针的方式,在过滤流量的同时,精准定位漏洞的代码文件、代码行、函数以及参数等。实际上IAST灰盒是DAST和SAST优势的结合,既不会造成脏数据,还可以将结果与业务测试同步出来。
二、悬镜IAST灰盒安全测试产品介绍
灵脉IAST,是悬镜安全旗下的IAST灰盒安全测试产品。
它主要有三个特点:
1.将RNN深度学习算法与IAST技术结合,能够快速帮助用户建立内部安全众测平台;
2.通过主动和被动两种插桩模式结合,降低误报;
3.可以通过多种流量采集模式覆盖更多的场景。
也就是说,灵脉IAST结合了主动插桩、被动插桩、旁路流量镜像、主机流量嗅探、流量代理/VPN以及实时的Web日志分析,可以达到低门槛、低侵入、低消耗的基本要求。