技术雷达的安全实践｜洞见

ThoughtWorks

发布于 2018-04-13 18:17:58

6780

发布于 2018-04-13 18:17:58

文章被收录于专栏：ThoughtWorks ThoughtWorksThoughtWorks

安全事故

2014年乌云网发布了某旅行网站（以下简称X网站）的安全支付漏洞，X网站因长时间打开支付服务调试接口，导致用户信用卡信息面临泄露风险；在针对其进行进一步的扫描后，乌云发现X网站的分站源代码可打包下载，其数据库配置和支付接口因此被直接泄露。

（图片来自：http://t.cn/Rt7siGq）

在X网站所泄漏的数据中，最引人关注的当属信用卡的CVV码。由于大量国外网站可以直接通过CVV码进行支付验证，用户直接面临盗刷的风险；X网站的行为也公然违反了《银联卡收单机构账户信息安全管理标准》：

各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。

混用测试环境与产品环境、明文记录用户敏感数据、违反相关技术标准、公网暴露数据库密码。X网站的安全事故对很多企业的IT部门都是警示，它提醒我们，随着互联网的发展，软件安全和信息安全不再是安装防火墙所能保障的，它需要企业从软件开发的第一分钟就开始关注安全并积极采取行动，把软件安全内建到研发过程中。

技术雷达的安全概念

技术雷达是ThoughtWorks的定期发表物，它包含了ThoughtWorks对于前沿技术和实践的观察与理解，是软件工程实践的风向标之一，在2016年4月期技术雷达中，与安全相关的技术与实践有13项，占到总数的13%（采用2项，实验5项，评估6项），从软件开发生命周期的角度去观察这十三项安全实践：

分析阶段：1项
开发阶段：8项
测试阶段：2项
运维阶段：2项

通过这个趋势我们可以观察到，软件的安全问题已经不仅仅存在于开发结束后，对于安全的管理已经开始贯穿软件开发的全生命周期，内建安全正在成为一种趋势。

如何理解安全实践

仅仅在项目启动的时候提出安全的要求，在项目结束前做渗透测试和审查，在现有的技术环境中已经不够了，X网站就是很好的反例。那么是不是越安全越好？

安全措施应该被看作是“必要的浪费”，关键是与商业目标做好平衡，我们认为其中的关键是安全问题从出现在代码/配置里到被发现之间的时间，即MTTD时间（Mean-Time-to-Detect），IT所追求的目标是将MTTD降到一个比较合理的水平，且达到这一目标的成本是能够被开发团队所接受的。

（图片来自：http://t.cn/R6Kkcag）

基于这一理念，我们可以在软件开发流程的各个阶段内，在MTTD目标的牵引下，充分引入各种实践、工具、流程制度等等，不管表现形式是什么，核心的目标都是在成本的限制下降低MTTD时间，我们看看从需求分析、开发、测试、运维几个阶段的角度入手，有哪些关于安全的工具、实践可以采用。

需求分析阶段

威胁建模，其主要目标是分析系统可能遭受的潜在攻击、识别出风险并制定应对措施。威胁建模提供了一系列技术，可以帮助团队在开发阶段就能够对潜在威胁进行识别和分类，其主要分为三步：

解构应用：庖丁解牛般的解构软件，比如网络、用户数据存储、其它数据、应用层等，分析攻击者可能对哪些信息感兴趣以及他们最可能的侵入方式。
分析风险：对于上述风险，在参考了攻击的可能性、损失和成本因素后，进行优先级排序。
决定对策：对于高优先级的风险在软件开发的不同阶段采取不同的措施进行防范。

当然威胁建模只是安全战略的一部分，当它和其他技术（如建立跨团队的安全专家，采取自动化安全扫描器）结合使用时，威胁建模才可以真正减轻企业面临的安全风险。

开发阶段

Let's Encrypt，早些年SSL Labs公布的2010年互联网SSL调查报告（PDF）指出超过半数的Web服务器没能正确使用证书，主要的问题有证书不被浏览器信任、证书和域名不匹配、证书过期、证书信任链没有正确配置、使用已知有缺陷的协议和算法等。而且证书过期后的续签和泄漏后的吊销仍需进行繁琐的人工操作。

Let's Encrypt就是为了解决这个痛点而诞生。它基于自动证书管理环境（Automated Certificate Management Environment），至少做到了两件事：免费发放证书、自动化更新证书。

（图片来自：http://t.cn/R6CoUXB）

Let's Encrypt由ISRG（Internet Security Research Group，互联网安全研究小组）提供服务并得到了Mozilla、Cisco、Akamai、Electronic Frontier Foundation和Chrome等众多公司和机构的支持。从2015年12月开始，Let’s Encrypt项目从封闭测试阶段转向公开测试阶段，也就是说用户不再需要收到邀请才能使用它了，这促使安全和隐私向前进了一大步。

OWASP Dependency Check，堡垒最容易从内部攻破，现代软件开发少不了用到第三方的库和插件，这些库是否安全呢？OWASP Dependency-check就是一款自动识别Java和.Net项目中所使用的第三方库中是否有已知安全问题的软件，通过第三方插件，它也支持Ruby, Node.js, Python和C/C++。

HSTS，新的HTTP头，可以用于强制要求浏览器与系统之间采取HTTPS通信，目前新版浏览器都支持这一头文件，Internet Explorer从Windows10技术预览版开始支持。

iFrames for sandboxing，HTML5标准的一部分，在<iframe>标签中插入了sandbox属性，开发团队可以建立一种新的开发实践。通过将第三方的组件放到iframe里，并且使用iframe的sandbox属性，只给iframe开放最小的权限，避免第三方的组件访问主页面的信息（比如DOM）。

Content Security Policies，新的HTTP头，CSP的目的是减少跨站脚本攻击。比如通过指定Content-Security-Policy的default-src属性为‘self’，强制要求只能使用本站资源，避免恶意脚本在payload中加入恶意代码，下载和上传信息。CSP需要浏览器的支持。

（图片来自：http://t.cn/R69APfE）

Gitrob，用于检测是否有员工不小心把某些敏感信息放到了Github公开库里。目前Gitrob只支持Github的组织级帐号，并只能扫描最近一次提交。

HashiCorp Vault，微服务架构需要管理大量服务器和各种密钥（秘钥、API key、证书），“如何安全管理这些信息”逐渐成为项目的一大挑战。之前通过文件或者环境变量存储机密信息的方式已经变得难以控制。HashiCorp Vault就是用于解决这一问题的，它可以作为开发的一个最佳实践采用。

Repsheet，一个类似于防火墙的工具，下一代安全防护产品（作为第三方库，在应用的源代码里使用）。可以分析和可视化来自黑客的攻击流量，使之只对正常流量放行。

测试阶段

OWASP Application Security Verification Standard Project，ASVS是一个针对应用程序安全性的检查清单，目前包括了22篇实践，比如《不要在敏捷开发中忘记黑客用户》，官方认为它可以作为：

清单：用于开发人员自查。
原则：作为安全人员和开发人员的桥梁。
采购标准：用于企业采购软件时进行技术打分的标准。

Sleepy Puppy，Netflix出品的一个用于追踪、分析、管理跨站脚本攻击的工具，测试人员也可以利用这个工具进行跨站脚本攻击的测试。

运维阶段

Linux security modules，一个框架，可以支持多种不同的安全框架

Deflect，对抗分布式、拒绝服务攻击的服务。

2017技术雷达

互联网企业所采用业务模式往往是“以隐私换服务”，这间接促成了庞大的隐私黑产、伤害了个人的权益。2017年的技术雷达也体现了业界在隐私问题上的思考。本期雷达上，身份数据欧洲托管从“评估”进阶为了“尝试”，差分隐私开始进入雷达。

差分隐私，从源头抓起

在2016年的WWDC大会上，苹果宣布自己加入了AI大战，同时宣布了不会走Facebook和谷歌的道路，在对于用户数据的收集上采取了差分隐私技术，简单来说，差分隐私是通过算法对个体用户数据添加噪音，让任何人都不能凭此追踪到具体的某一名用户，但又可以允许机构成批分析数据以获得大规模的整体趋势。其目标是在保护用户身份和数据详情的同时，仍能提炼出一些基本信息用于机器学习。

差分隐私的实施也将影响软件架构，比如（部分）计算将重新回到本地（而非云端），（夜间）批量处理可能成为移动端的最佳实践。

身份数据托管，减少干预

由于互联网企业拥有的数据越来越多，政府也在通过各种渠道渗透互联网公司，试图获取数据的控制权，棱镜门所暴露的政府文件让全球都意识到了这个问题。而欧洲是对于PII数据管控最为严格、立法最为完善的区域。比如：