这篇文章没有任何赞助,这些厂商甚至不知道我在谈论他们。
我经常谈论一些我认为很重要的流行语--最近的是ASPM(应用程序安全态势管理,简单理解为全面的应用程序扫描)和ADR(应用检测与响应,包括了云和应用运行态,对此我们将在之后展开介绍)。虽然这是目前最受关注的两个领域,但已经有许多公司开始研究一些漏洞的扫描与运行时的防御了。
本文旨在讨论安全团队尚未充分可见的5个领域,以及正在解决这些问题的厂商(尽管Gartner没有对其进行明确分类)。这些领域是:
跨服务授权用户认证(OAuth)
从自有环境流出第三方数据
在应用程序中实施安全特性(如检查常用密码)
云身份的边界管理
开源维护者关系管理
1.保护OAuth-Astrix Security
无论您知道与否,您和您的员工每天都要使用"OAuth"访问应用程序数十次。OAuth安全性最好通过一个使用案例来解释:比方说,你正在将Google Calendar应用程序添加到你的Slack环境中。你会看到这样一个界面:
这种连接是通过OAuth完成的,它是一个被忽视的安全方面,因为终端用户通常有权无限制地在他们的应用程序之间创建连接。这里发生的事情的非技术性描述是,你正在授权给谷歌一个钥匙,用来访问你的Slack环境。这个钥匙能够做一些你授权的特定事情——比如当你有日历事件时,向指定频道发送消息,或者在你呼叫机器人时读取消息。
假设这个钥匙突然开始创建新的第三方连接,或向你的组织添加额外成员,或向未授权的频道发布消息。这就会变得有趣了,因为两点:首先,它让你在谷歌通知你之前就知道,你可能遭受了第三方的入侵,并允许你迅速禁用这个钥匙并审计发生了什么。其次,它允许你告诉谷歌,他们可能想检查一下他们的Slack应用程序。
因为这些第三方连接在多个环境中采取非常可预测的行动,Astrix想到了一个好主意,那就是在他们的客户之间建立并监控这些行为的基线。这使他们能够在长期被忽视的安全领域提供大量的可见性、检测和响应。
2.数据流可见性和执行-Riscosity
虽然市面上有许多工具声称可以监控你的“敏感数据”的存放和流动位置,但99%的工具在某些基本方面存在缺陷。你可能有一个数据安全监测管理工具(DSPM)告诉你敏感数据的位置,你甚至可能有查看该数据的控制措施,但几乎没有人能真正看到他们的第三方数据流动情况。
尽管这个领域的成熟度不足,大多数安全团队还是会尝试自行跟踪哪些厂商访问了哪些类型的数据——通常采用电子表格的形式。这种电子表格通常更新不及时,也无法跟踪开发者在使应用程序运行过程中与之交换数据的众多隐藏API。
这张图很复杂,但值得花时间慢慢研究--它非常酷!
Riscosity的独特之处在于它们能够从代码中获取数据流的可见性,并且在运行时进行验证——所有这些都无需安装代理或更改代码。这是每个合规或安全团队都希望拥有的数据,但实际上我们认为这是不可能的,因为市场上有许多声称能做到这一点,实际上却是“半吊子”的解决方案,其实它们并没有真正的应用程序可见性。
虽然大多数合规团队可能会维护一个“可信第三方”和可能使用的“厂商”的列表,但我相信如果他们看到实际情况的全貌,他们会感到震惊——开发者从数不清的第三方提供商那里导入SDK(即API)。Riscosity独特地从两个方面获得了这种可见性——代码应该发送数据的地方,以及网络实际发送数据的地方。最重要的是,他们通过一个优雅的网络级更改来实现这一点,这比进行重大代码更改或部署代理要容易得多。
3.安全功能SDK-Pangea
遗憾的是,许多安全团队在运营中忙得不可开交,以至于他们没有时间与开发者一起深入考虑应用安全问题,通常只能请求他们修复漏洞。通常,Pangea会在合规性调查问卷中询问"您是否在应用程序中强制执行密码复杂性",而开发人员的回答是"嗯,我想是的"时,Pangea就会处理这些问题。
Pangea文件扫描示例
在Pangea之前,还没有一种标准化的方法可以在应用程序中实现某些安全功能。例如,对用户上传的文件进行恶意软件扫描、扫描公开共享的URL以及检查威胁源,这些都是临时的解决方案,可能提供也可能不提供SDK。
Pangea提供了一个简单的解决方案,可以交给开发者,使他们能够为终端用户添加一些出色的安全功能,而无需进行通常会使这些功能实现变得耗时的研究和权衡。这种方法不仅加快了安全功能的集成速度,还减轻了开发者的负担,使他们能够更有效地专注于改进应用的其他方面。
4.云身份边界--InstaSecure和Sonrai
SCP图表
老实说,在云计算中,最小权限访问一直是一个比现实更好的想法。虽然将权限定义为细粒度的JSON允许理论上完美的安全级别,但维护这些策略的复杂性造成了不切实际的标准。
换句话说,如果您的公司在访问审核方面遇到困难(就像我们一样),那么您肯定没有跟上云策略检视的步伐。即时访问(JIT)方法在这方面弥补了很多风险--在事件发生期间或仅在需要的时间内授予许可角色;但是,这本身对于从事大部分日常工作的人来说也不是一种解决方案。
Sonrai和InstaSecure都在帮助公司实施简单的基于边界的解决方案--说不应该发生什么要比准确声明应该发生什么容易得多。Sonrai专注于简单的一键添加,针对未使用的资源和极其敏感的权限实施有用的边界控制--这是一种周到的权限边界方法。InstaSecure专注于优化数据边界方法,围绕数据流应该发生和不应该发生的节点实施控制。
这两种工具提供了比试图普遍执行和审计最小权限更简单的云身份管理解决方案。我认为,云身份的未来将是即时访问(JIT access)与强大的边界控制相结合。
5.开源支持-Tidelift
FedRAMP关于什么情况下不必按时修复漏洞的指导其实非常准确,未达到时限的情况有四类:风险调整、误报、操作要求和厂商依赖。而它们将开源代码库划为"厂商依赖",但其实维护者本身并不知道他们有这个客户,这怎么能算作厂商?
所有的漏洞扫描器,即使是具有最好的可及性和工作流程的扫描器,都有一个核心问题:补丁必须可用,你才能对其采取任何措施。只有Tidelift能帮你把开源维护者当作真正的厂商(而不是假装)。这样做的好处不仅在于做了道德上正确的事,还在于保证了对开源应用程序的支持,否则这些应用程序就只是任意信任的依赖关系。
我这样说吧:如果您有一个团队专门负责在购买厂商之前对其进行审查和授权,那么您为什么还要盲目批准那些对您的核心业务功能具有更大可见性和影响的开源厂商呢?Tidelift让每个人都能更好地完成流程。
奖励提名:Permiso、Phylum、Query、Moderne和Grit
有更多的厂商在做很酷的事情,我无法一一列举,这里还有5家我没有谈论够多的厂商在解决一些重大的实际安全问题。
Permiso提供运行时身份检测和响应功能,这是阻止攻击者的一个被严重忽视的场景。
Phylum拥有最好的威胁源,而且致力于开源恶意软件检测。他们的研究博客非常棒。
查询日志是安全操作的核心,而Query提供了一个出色的解决方案,可最大限度地提高您访问日志的能力。
修复漏洞最困难的部分一是跨不同的主要版本,另外就是同时部署大规模的升级。Moderne和Grit都有自己的优势,可以帮助完成这些重大迁移。
原文链接:
https://pulse.latio.tech/p/5-security-blindspots
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。