悬镜安全|DevSecOps敏捷安全技术金字塔V3.0正式发布( 二 ) 悬镜安全,DevSecOps敏捷安全技术

在金字塔V3.0中，悬镜安全首次将Deception（攻击欺骗）和CKS（容器和K8s安全）纳入并置于传统建设层，主要是考虑到趋势发展和相关应用实践的成熟性，子芽提出，它们已经成为不同企业在不同场景下的基本应用要求。以CKS为例，随着容器和微服务等新型基础设施的日益普及和CKS技术门槛的大幅度降低，该技术被视为传统安全体系建设过程中基本具备的安全能力。
作为传统纵深防御关键技术的WAF、EDR以及ASTs依然入选。其中ASTs包括了SAST（白盒）、DAST（黑盒）和MAST（移动应用安全）三种传统应用安全测试技术，子芽也提到，AST技术存在进一步的融合趋势。

应用实践层：IAST、SCA、RASP、BAS
在应用实践层中，涵盖了四种既能在日常应用实践过程中具备较好应用效果，又能与DevOps CI/CD管道柔和融合的创新技术。
其中，RASP（Runtime Application Self-protection，运行时应用自我保护）由于在0DAY未知漏洞攻击防御、API威胁免疫、红蓝对抗、软件供应链攻击防御及应用东西向威胁流量检测响应过程中相对出色的表现预期以及技术性能的大幅度提升，日渐被市场青睐，从过往所处的技术探索层踊跃至DevSecOps敏捷安全技术实践的第一层。子芽预测，在接下来的三年中，RASP在HW、红蓝对抗等场景下会有更加广泛的市场应用。
此外，子芽着重强调，在这一层中，IAST和RASP的深度融合是大势所趋。随着运行时智能插桩、应用威胁情境感知和API智能检测响应等关键技术的创新与突破，以IAST和RASP为核心的代码疫苗技术迎来了蓬勃发展期。通过单探针的形式，代码疫苗技术不仅能在测试环境中实现应用风险检测以及API挖掘和覆盖分析，还能赋能数字化应用实现攻击威胁的出厂免疫以并提供运行时敏感数据追踪等关键能力，实现检测响应一体化，支持软件供应链攻击防御、0DAY未知漏洞攻击防御、应用东西向威胁流量检测响应、无文件攻击检测响应、漏洞攻击全链路回溯及API威胁免疫等复杂应用场景。

文章图片
图3 All in one：“代码疫苗”单探针深度融合
技术探索层：DRA、SDE、Fuzzing
作为DevSecOps敏捷安全技术实践的第二层，引入的创新技术都是具备强技术突破性，可具体解决某类应用场景下突出问题，但在通用应用效果、市场需求和实践方面还有巨大提升潜力的前瞻性技术。
DRA（Data Risk Assessment，数据风险评估）是首次引入金字塔的创新技术。在子芽看来，DRA作为开展数据安全治理工作的基础，主要关注数据安全风险包括数据传输、个人隐私、数据生命周期管理、技术漏洞等，不但受国家法律和监管要求的强推动，而且是DevSecOps敏捷安全技术实战需求。对此子芽指出，随着DevSecOps敏捷安全技术应用实践的深入，敏捷安全体系的建设不再只关注应用级别的漏洞和外部攻击威胁，还将进一步深入到敏感数据泄露风险评估和治理工作。
同样作为首次引入金字塔的创新技术，SDE（Securing Development Environment，开发环境安全）涉及保护完整的软件开发环境，包括但不限于源代码存储库、CI/CD 管道、应用程序工件和用户身份信息。鉴于软件供应链攻击、开源工具的广泛使用以及远程工作方式导致的风险增加，保护开发环境变得至关重要。子芽认为，透过近年来的RSAC创新沙盒大赛可以发现，代码安全和开发环境安全已然成为软件供应链安全的主要抓手，正呈现融合发展的趋势。
这一层中第三个创新技术是连续三次引入金字塔的Fuzzing（API模糊测试），聚焦未知漏洞挖掘和异常风险发现。但子芽表示，受限于其独特的技术原理和高应用门槛，对常态化使用它的用户有着较高的专业技能要求，且在检测精度、技术性能上有较大提升空间，Fuzzing未来仍需要一段时间才能成熟。