近期,中央网信办等四部门联合发布《互联网政务应用安全管理规定》,对互联网政务应用建设和安全运行保障提出了明确要求,应落实网络安全与互联网政务应用“同步规划、同步建设、同步使用”原则,推进政务系统一体化建设,推动技术融合、业务融合和数据融合,加强政府数字化履职能力建设。
在2024年9月11日举办的国家网络安全周“互联网政务应用安全分论坛”上,青藤云安全COO程度发表了题为《政务应用与数据安全融合技术探讨》的演讲,深入探讨当前政务应用与数据安全面临的挑战、融合技术的创新点以及应用场景,以期为政务信息化建设提供有益的参考。
随着企业数字化业务的快速发展,应用和数据面临的安全挑战也日益增多。国家互联网应急中心(CNCERT)发布的数据显示,2021年上半年,国家信息安全漏洞共享平台(CNVD)收录的通用型安全漏洞数量高达13083个,其中“零日”漏洞数量占比54.3%,同比增长55.1%。Web应用漏洞的影响持续上升,占比达29.6%。这些数据表明,应用安全面临的威胁更加严峻。
传统的网络边界安全措施,如防火墙、IPS等,已不能完全满足当前的安全需求。随着应用数量的暴增,预计到2025年全球将创建7.5亿个云原生应用程序,这无疑加大了网络边界安全的挑战。随着企业上云和中间件产品的广泛采用,业务应用安全逐渐成为新的关注点。
RASP、IAST等产品的应用,补足了安全治理在业务层的视角缺失。应用安全是指在工作负载之内,对运行的应用进行安全防护和风险治理,更加偏向业务视角看待安全问题,是攻击触及业务时的最后一道防线。
此外,数据二十条的发布和国家数据局的揭牌,标志着数据治理受到前所未有的关注。数据泄露和隐私保护成为数据要素安全流通的主要威胁,而首次全国数据工作会议的召开,更是强调了数据标准化实施流程与方法的重要性。
新一代政务应用与数据安全融合技术
在数字化转型的浪潮中,应用与数据安全的关系变得愈发紧密。应用层面的安全措施直接关系到数据的安全与完整性,而数据层面的保护策略也影响着应用的稳定性与可靠性。
应用防护的目标是保护数据流转的核心通道,确保数据在应用中的安全传输和处理。应用作为数据安全纵深防护的关键防护面之一,其安全措施的有效性直接关系到数据的安全性。因此,组织需要将应用安全和数据安全紧密结合,形成一个统一的安全防护体系。
应用安全治理
新一代政务应用与数据安全融合技术,旨在通过应用“业务”安全治理,实现业务资产的梳理、业务风险的检测和业务行为的管控。
· 组件库清点
从应用程序内部真实调用出发,自动获取应用资产的信息,并完成风险的识别检测。应用自动识别,建立以应用为主视角的资产管理;可清点应用内部调用的类库信息,发现是否存在可疑类库;提供“端到端”的视角,解决供应链管理中组件不清的问题。
· 弱密码检测
弱密码检测技术通过登录行为来监控弱密码登录情况,并上报弱密码信息,支持多类型弱密码检测。被动识别,无需主动扫描,不会引起账号锁定等问题。
· 热补丁解决专项漏洞
利用应用内部的防护能力,提供漏洞专项的热补丁修复,帮助企业0成本解决老旧漏洞和0day漏洞难题,形成专项防护。
· 攻击防护
新一代政务应用与数据安全融合技术,通过支持多项入侵攻击检测能力,并在检测到攻击时立刻拦截,并提供攻击的详细信息,及其代码堆栈信息,帮助快速定位和从根源解决漏洞攻击问题。
· 内存马多重拦截
对于内存马这类棘手的安全攻击,新一代技术提供了三道防护,层层拦截内存马的攻击路径,令黑客束手无策。
· 0Day感知拦截
基于无规则的逻辑检测,能够接管并监控应用程序的底层调用,攻击无法绕过底层调用来实现其目的,因此Rasp不论对于已知的入侵攻击,还是未知的0Day攻击,都能有效进行检测和防护。
· 丰富攻击上下文
新一代技术可在应用底层的执行函数中,直接获取攻击意图执行的真实信息,以白盒视角来检测,能够更加直观反馈攻击目的,无惧加密流量或混淆攻击。
数据安全治理
基于API的识别清点能力,构建应用的访问全景图,呈现应用的访问概览,从宏观视角发现应用存在的访问风险。
· 应用“数据”全景图
构建应用的访问全景图,意味着要全面了解应用的访问情况,包括外网访问、对外连接、数据库访问和关联应用等多个维度。这不仅有助于发现潜在的安全风险,还能够为安全策略的制定和优化提供数据支持。
· API调用链路追踪
在现代软件开发和运维实践中,API调用链路追踪和数据库访问监测是两个至关重要的环节,它们对于确保系统安全性、稳定性和高效性发挥着核心作用。
API调用链路追踪是一种监控技术,它能够详细记录和展示API调用的完整路径,从而帮助开发者和运维人员理解系统内部的通信流程。通过追踪API的调用链路,可以有效地定位代码中的问题,优化性能,并增强系统的可观测性。例如,在复杂的微服务架构中,一个用户的请求可能经过多个服务和组件的处理。调用链路追踪能够提供从起点到终点的完整路径视图,这对于诊断问题、理解系统行为和优化性能至关重要。
· 数据库访问监测
数据库是大多数应用系统的核心组件,存储着敏感和关键的数据。数据库访问监测是确保数据安全和合规性的重要手段。通过审计数据库查询语句,我们可以确保所有的数据库访问都是合法和安全的。例如,通过监测可以发现潜在的SQL注入攻击,如 "SELECT* FROM user WHERE username='" or char(0x31)=1"。
数据库访问监测还可以展示应用服务与数据库之间的连接关系,包括数据库的名称、地址和端口。这种信息有助于我们理解数据流动,以及如何保护这些流动免受未授权访问。
数据库返回的数据审查是另一个关键的安全措施。通过检查返回的数据,我们可以确保敏感信息得到妥善处理,例如,通过将身份证号码标记为敏感数据,并采取相应的保护措施。
应用安全解决方案
应用系统的安全至关重要,它不仅关系到企业的数据资产安全,也直接影响到企业的业务连续性和客户信任。基于应用程序插桩技术的应用安全平台,如青藤天睿,提供了一个全面、多层面的安全防护解决方案,为应用系统安全提供一站式服务,并分析其在攻击层面、业务层面和数据层面的关键功能。
该方案采用B/S架构,通过在多个技术位置点上布设探针采集数据,并接入应用侧的采集流量信息,形成完善的数据要素采集,并将采集到的数据汇聚到安全平台侧进行管理。
典型应用场景
· 场景一:安全攻防对抗
基于RASP的流量与主机告警联动打通防治思路,通过应用内部视角,贯通事件整体上中下三个阶段,实现流量抓到落脚点、应用执行全过程和主机知晓入口点的全面防护。
· 场景二:业务日常安全运营
随着工作负载的变迁,细化到业务应用为视角的安全管理越来越成为趋势。而RASP可以提供对业务的行为管控和漏洞防治,有效建立起以业务为视角的安全管理。
· 场景三:敏感数据泄露闭环
快速通过查询获知敏感数据相关的API,追踪到具体的泄露链条。通过泄露API获取到对应业务代码,可清晰获知业务的泄露点。