TrueFort的ASBA(应用程序安全行为分析)通过实时分析应用行为、CI/CD安全监控和运行时保护,为DevOps提供全方位安全防护,帮助企业识别并抵御内外部威胁。
云原生架构, 持续集成和持续交付 ( CI / CD ), 开发和站点可靠性工程(SRE)等技术和实践使组织能够创新并加快软件产品的交付。 但是,它们也破坏了传统的软件开发和维护生命周期(SDLC),并极大地改变了企业为成功保护应用程序和业务服务所需要做的事情。
为了帮助组织确保应用程序的安全交付,TrueFort开发了一种称为“应用程序安全行为分析(ASBA)”的云工作负载保护和监视方法。 ASBA基于三个关键组件:实时应用程序行为概要分析,CI / CD安全监视和运行时保护。
实时应用行为分析
业务应用程序通常可以通过其行为和与其他实体的关系的组合来表征。
例如,典型的零售电子商务应用程序包括使用已知API调用的服务之间的通信,这些API调用来自客户所在的时区以及与那些时区关联的网络。 Web服务器,负载平衡器,缓存,文档存储和数据库之间也存在同步活动。
乍一看,ERP系统可能看起来像一个电子商务应用程序。 它可能具有相互关联的Web,应用程序和数据库服务器的行为,这些行为具有相关的行为,例如增加的数据库活动与增加的应用程序服务器活动相关联。 但是与电子商务不同的是,ERP通常仅由LAN上的用户访问,并且具有与每月报告周期和批处理相关的繁忙,仅服务器端的时段。
恶意内部人员和外部攻击者通常不知道或不在乎这些行为上的细微差别和威胁碎片,他们认为一旦他们突破了企业范围,他们所做的任何事情都会被忽略。 不幸的是,他们经常被忽视。
TrueFort平台通过全面剖析业务应用程序的行为以建立“正常”活动的基准模型,从而识别出异常和潜在威胁,从而缩小了这一差距。 为此,TrueFort会监视每个工作负载上的数百个参数,包括它们之间的关系,依赖性,过程和时间波动,并将此数据与其他工作负载中的数据相关联。
捕获的遥测示例包括网络连接,进程详细信息,服务帐户,VM /服务器/容器上已安装的文件系统,以及它们与其他基础结构和应用程序层以及上游和下游应用程序的关系。
基于这种全面的可见性和已建立的正常基准,ASBA可以发现重要异常,例如在前端应用程序服务器空闲时数据库异常繁忙(例如在Equifax数据泄露期间发生)。 与正常基准的偏离可能表示恶意内部人员或外部威胁参与者从异常位置和异常时间获取了对网络的访问权限。 ASBA实时检测此类事件,以便快速响应,法医调查和自动修复。
SDLC和CI / CD安全监控
进行数字化转型的组织采用了新的开发方法。 在此过程中,他们通常会通过打开新的攻击面而面临新的风险。
首先,CI / CD工具链已成为攻击面。 CI / CD可以访问公司的IP(代码,数据,配置,凭据),并且没有专用的安全包装程序,但必须对其进行保护,以防止内部威胁,外部攻击者和进程泄漏。
尽管像詹金斯(Jenkins)和Spinnaker这样的CI工具非常有价值,并且通常用于自动化开发,包括工作流,质量门,升级,缺陷跟踪等,但此处的失败或攻击有可能对企业造成灾难性破坏。
例如,代码推送,升级和恢复越来越自动化,恢复时间以分钟或秒为单位。 恶意内部人员或外部人员对CI工具链的破坏可能会无限期地中断软件构建活动,也可能阻止恢复失败的服务。
在损害蔓延之前,ASBA可以分析,检测,警告并减轻工具链及其交付的业务流程中的危害。 具体来说,ASBA可以监视多个元素,包括谁或什么人正在访问源存储库,谁从Nexus中拉出,对Jenkins工作流程进行了更改等。 ASBA还可以提供取证数据,并最终阻止未经授权的活动。
其次,第三方代码的使用在开发过程中会带来安全风险,尤其是随着开源组件的使用增加。 当这些构件和复杂的依赖树中的漏洞与扫描程序发现可利用的漏洞的相对无效相结合时,安全风险将大大增加。
TrueFort及其ASBA方法可通过检测行为异常来提供针对运行时应用程序保护的最后一道防线,并确保检测行为异常与执行攻击的方法无关,无论是第三方或自定义代码中的漏洞还是其他原因。
第三,虽然产品团队通常采用测试驱动开发(TDD)来自动化软件测试,但很少有产品采用足够的安全性验证。 这包括评估工件(容器,WAR文件等),代码和API的实现,以确保在将其发布之前(左移)它们是安全的。 尽管代码质量和代码分析可能会带来安全性好处,但不能将其视为一个包罗万象的东西。
ASBA可以提供关键的反馈循环,以增强验证阶段的防御能力。
例如,在2019年7月8日,报告了Ruby库strong_password中的零日漏洞。 漏洞数据库未识别出该零日漏洞,因此依靠这些漏洞源的静态和动态代码分析工具将不太可能检测到问题。 防火墙也受到相同的限制。 也就是说,防火墙通过阻止已知威胁而非零日攻击来保护外围并防止数据泄露。
相比之下,ASBA会在POST活动中检测到异常URL并向其发出警报,该URL仅在该库遭到破坏后才发生。 在此示例中,ASBA通过降低风险,影响和可能性来增加验证阶段的实力和深度。
测试阶段(UAT,负载,A:B)也是开始使用ASBA 剖析正常行为的理想阶段,因为应用程序在构建后便立即起作用。 通过观察用户接受,压力测试等过程中的行为,可以构建安全策略来检测,预防和保护。 例如,诸如Chaos Monkey之类的工作负载模拟和弹性工具会生成流量和有价值的数据集,可用于通知SRE,开发事件响应流程,实施微细分策略以及使响应工作流程自动化。
运行时保护
理想情况下,已部署的应用程序将吸收在开发和测试过程中吸取的所有安全经验。 这似乎很明显,但经常被部分或完全忽略。
在devops圈子中经常听到“我们在生产中测试”这一短语。 实际上,这是不言而喻的,因为部署体系结构,操作,规模和生产中的其他因素是唯一的。 而且,A:B以及金丝雀测试,部署和操作使这种独特性更加复杂,所有这些导致了不同的用例。
ASBA通过在反馈回路中提供见解来帮助优化站点可靠性工程,从而实现服务水平目标,从而解决了测试与部署之间的鸿沟。
与传统的应用程序性能管理(APM)或日志分析解决方案不同,应用程序安全行为分析的实时警报和取证审核功能可提供可行的答案,并消除了查询非结构化数据的线索和碎屑的需要。 这样,ASBA可以在整个SDLC中以及部署和运行应用程序时提供对威胁的可见性。
安迪·霍金斯(Andy Hawkins)是TrueFort的现场CTO,并且是devop,IoT,软件工程和站点可靠性/ SRE方面的公认专家。 他曾在SignalFx,Chef,Pivotal和Opsware等领先公司的技术运营部门担任执行领导职务。
-
新技术论坛提供了一个以前所未有的深度和广度探索和讨论新兴企业技术的场所。 选择是主观的,是基于我们对InfoWorld读者认为最重要和最感兴趣的技术的选择。 InfoWorld不接受发布的营销担保,并保留编辑所有贡献内容的权利。 将所有查询发送到 newtechforum@infoworld.com 。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
