IAST在证券行业的落地实践探索｜证券行业专刊2·安全村

**

证券行业安全风险与压力逐年升高

**

IDC在《中国数字化转型市场预测，2021-2026：通过应用场景践行数字化优先策略》中预测， 未来五年是数字化发展的黄金时期，企业在应用硬件、软件和服务上的投入将快速增长。证券行业作为金融行业的代表，是数字化转型浪潮中的领航员，在应用开发、应用安全方面面临着更多机遇与更大的挑战。

图注：IDC，《中国数字化转型市场预测，2021-2026：通过应用场景践行数字化优先策略》

伴随着数字化浪潮而来的，还有日益严重的应用安全问题，金融行业的网络安全风险不断累积，证券行业网络安全防护也面临着前所未有的威胁与挑战。在2022年国家信息安全漏洞共享平台CNVD公布的漏洞趋势中，应用漏洞几乎始终占据70%以上的占比。应用安全问题不仅带来了个人隐私泄露风险，影响企业经营，在金融这样与国计民生息息相关的行业中 ，会直接影响社会经济正常运转。

图注：2022年国家信息安全漏洞共享平台（CNVD）漏洞趋势

以XSS、SQL注入、敏感信息泄露、未授权访问、弱口令、远程代码执行、任意文件读取、逻辑漏洞等为代表的Web安全漏洞依旧是最多发的漏洞类型。应用系统上线后漏洞修复往往要耗费较长时间和较高的成本。

保障业务连续性无疑是证券行业进行网络安全建设时的首要目标。面对如此多发的应用安全漏洞，仅仅依靠应用上线后的各种安全防护设备显然是不合理也不可行的。为了推动数字化转型过程中企业同步建设完善网络安全体系，国家与监管机构在保障网络安全方面对企业的要求越来越高。除了与业务直接相关的漏洞压力之外，证券企业也同时要面临巨大的监管压力。

2023年初，中国证券业协会（中证协）组织起草了《证券公司网络和信息安全三年提升计划（2023-2025）》，提出建立科学合理的科技投入机制，要求行业合理加大科技资金投入。鼓励有条件的公司2023-2025三个年度信息科技平均投入金额不少于上述三个年度平均净利润的8%或平均营业收入的6%。一些省份如江苏省也发布了省级的金融管理办法，要求将IT建设投入的5%以上投入在网络安全领域。

《三年提升计划》明确要求证券公司健全网络和信息安全防护体系，深化漏洞全生命周期管控。要求使用白盒检测、黑盒检测、灰盒检测和人工渗透相结合的技术手段，检测代码安全缺陷和引入的第三方组件漏洞，提升安全风险检测的全面性、准确性和效率，实现漏洞通报、修复的闭环管理，确保变更上线前已知风险全面收敛。

在实际的业务运行过程中，越来越多的证券行业企业发现原有的软件开发与安全测试流程过于复杂，工作繁琐，且对于人工投入要求较高，很难适应业务的敏捷快速迭代开发模式。为了弥补开发实践中安全能力的欠缺、提前发现安全威胁、降低漏洞修复成本，证券行业企业必须探索建设DevSecOps流程，推动安全左移。

《三年提升计划》中提及的白盒、黑盒、SCA等能力，均是DevSecOps流程中典型、常见且较为成熟的能力，但计划中还提及了灰盒检测能力，是目前大家较为陌生的工具。

**

灰盒IAST在安全建设中的应用

**

灰盒IAST（Interactive Application Security Testing，交互式应用程序安全测试）是一款适用于开发与测试阶段的应用安全测试工具，可以完美适配敏捷开发和DevSecOps流程，让开发人员和测试人员在执行功能测试时，实时、动态、同步进行漏洞检测， 精确确定漏洞所在代码行，在无感知的情况下完成安全测试，帮助企业在应用上线前进行应用安全测试，提前发现安全漏洞，降低漏洞修复成本。

IAST在应用和API中可以实现自动化识别和诊断软件漏洞，通过在程序运行过程中使用插桩技术（Instrumented）收集、监控Web应用程序运行时的函数执行、数据传输，并与服务端（server）进行实时交互，根据这些信息来判断程序是否存在漏洞与安全风险，高效、准确地识别安全缺陷及漏洞。

它对来自客户端产生的请求和响应进行分析，检测结果准确，这点类似于DAST；而它能够监控数据流信息，通过污点分析产生告警，检测结果全面，又类似于SAST，是一款结合了黑盒与白盒优势的新工具。

灰盒IAST的部署与使用效果受企业是否已经建立完整的DevSecOps流程影响很大，目前，IAST在互联网等信息化水平较高的行业中应用效果较好，在证券等金融行业中的应用则仍然存在一些挑战。

**

IAST在证券行业的落地实践方案

**

头部的大型证券企业内部基本都拥有完整的安全评估与漏洞管理、修复流程，自身具备较强的安全实力。部分企业通过自研SDL全流程赋能平台，可以集成威胁建模、自动化测试等功能，实现自动化基于场景的轻量级威胁建模能力，可支持从外部接入源代码分析、AST等工具和渗透测试服务。

想要在证券行业DevSecOps流程中融入IAST，接入SDL全流程赋能平台，需要解决几个关键问题：

1、Agent节点全量覆盖的同时保持稳定性；

2、绝不能产生脏数据影响业务；

3、确保检测结果的准确性，误报率、漏报率低；

4、与其他安全工具良好协作。

我们以某头部大型证券企业为例，探索IAST在证券行业的落地实践过程。该证券行业客户体量庞大，资产、应用、数据众多，应用上线前依赖人工渗透测试寻找安全隐患，并且为了确保上线业务的安全性，还需要多人渗透并进行交叉验证。人工投入大、人员能力要求高，效率难以满足业务的敏捷快速迭代开发。通过接入灰盒IAST，最终实现应用上线前的漏洞自动化检测与发现，把人从重复性劳动中解放出来。

图注：IAST接入某证券行业企业自研SDL全流程赋能平台

图注：在证券行业中接入IAST实现自动化漏洞发现实施过程思路

1、Agent自动化全量部署的同时，保持生产级别的稳定性。

接入自动化IAST的第一步是插桩，想要在如此庞大的体量中使用IAST进行全量覆盖，需要部署过万个节点，Agent的部署是其中的重点也是难点。通过采用数据采集与扫描引擎分离的独特架构，Agent端只负责采集数据，所有运算分析，包括核心的sca组件收集、hook点字节码转化、调用链收集、主动验证、API梳理等核心操作均在server端完成，从资源的需求上有效地降低了占用。

图注：数据采集与扫描引擎分离独特架构

任何的插桩行为都可能对性能和资源消耗产生一定影响，上万个节点的插桩更是对IAST性能优化的挑战。这要求IAST提供多维度的熔断降级策略，分级延迟加载Agent，并提供细粒度的Agent管理。这让IAST在支持数万个节点的部署与上万个节点并发的同时，仍能保持生产级别的Agent稳定性。

2、对脏数据零容忍。

对于头部证券的业务部门来说，脏数据是无法接受的。上万个节点的并发检测如何能不产生任何脏数据？IAST给出的解决方案是被动插桩模式。被动插桩模式不会主动发送payload，对来自客户端的请求响应进行污点传播数据流监控，根据是否经过无害化处理判断是否存在漏洞。只需要业务测试（手动或自动）来触发安全测试，通过测试流量即可实时的进行漏洞检测，并不会影响同时运行的其他测试活动，在此过程中不会产生脏数据。

图注：被动插桩模式

3、检测结果准确，漏报、误报低。

实现规模化IAST插桩检测后，检测的准确性是另一个关键问题。IAST作为结合了SAST与DAST部分优势特性的工具，本就已经具备了检测结果准确、误报漏报少的优势。如何在80分的基础上更进一步，做到90分甚至95分？我们发现在测试验收阶段加入安全度量指标，实现IAST检查结果的展示与处理是一个可行性很高的思路。

这里提供一个建议：将静态安全扫描、制品安全扫描、IAST扫描结果作为安全度量指标，按照应用-单元-版本号等关键字段管理扫描结果。将指标统计数据、中高危风险概要和全量详细信息指标数据汇总用于展示和门禁管控，可有效帮助梳理IAST的检测结果。

4、与其他安全工具联动以实现更大价值。

在与客户自研的SDL全流程赋能平台对接的过程中我们发现，该平台作为一个SDL全流程赋能平台，接入了包括IAST、DAST等多种单点安全工具，各个单点安全工具均在应用安全测试中拥有着各自的独特价值。**IAST产品的特点决定了它可以提供更高的测试准确性，可详细地标注漏洞在应用程序代码中的确切位置，帮助开发人员修复。**但同时IAST也存在一定的限制，对于部分复杂的漏洞场景，由于漏洞检测不依赖真实的漏洞 Payload，所以在验证漏洞的可利用性时，可能存会在一定难度。

目前，各单点工具之间仍然是独立工作，难以协同。如今，如同木桶效应中各块木板的长短一般，相较于追求某个单点安全工具的极致性能，探寻安全能力和安全数据之间联通的可能性或许是一个更具性价比也更高效可行的安全建设路径。在拥有可以满足核心安全需求的单点安全能力的条件下，通过联通性与安全效能的叠加性可以获得更大的经济收益与安全保障效果。

理想很丰满，但现实很骨感。即使是SDL全流程赋能平台可以提供完整SDL能力，要实现各个单点工具之间的联动仍然是十分困难的，需要耗费极大的人力与时间。因此，我们开始思考如何通过IAST直接与其他应用安全测试工具结合起来，以更方便地验证漏洞，从而进一步降低漏洞修复工作的难度。

目前，有且仅有洞态IAST已经实现了与黑盒DAST工具的一体化联动，黑盒工具可根据以下架构在实现请求头修改和数据同步之后对漏洞数据进行关联。

图注：洞态IAST与黑盒DAST一体化联动架构

有了IAST成功接入SDL全流程赋能平台的经验，且洞态IAST已实现与黑盒联动，相信在未来，单点工具之间、工具与平台之间互相联动协作，数据互通，必将帮助甲方更好地推进信息安全建设。

**

能落地，才有意义

**

安全部门的首要目标是保障业务连续，免受安全风险与威胁，安全产品与安全能力不能落地就没有意义。安全团队如何与开发、业务部门协作，是技术、产品、人员之外一个隐性的影响因素，特别是在IAST这种由安全部门采购，研发部门使用的安全工具，其中的影响表现得尤其明显。安全产品拥有良好的落地能力，高效、准确地发现与修复漏洞的过程提高了安全部门的价值，也间接推动了安全部门与其他部门的沟通合作，这对于甲方安全部门在内部推动整体安全建设是大有裨益的。

经过多年数字化转型的建设，证券行业信息化水平普遍较高，大多已经建立了较为完备的DevSecOps流程，在如今业务与监管的双重压力下，证券甲方企业需要补足在DevSecOps流程中各个节点的安全能力，更需要能落地、能联动的、好用、易用的人性化安全产品。

作者介绍

李雅，火线安全市场副总裁，前360 漏洞云内容运营负责人，8 年网络安全行业市场/ 运营经验，有丰富的内容运营、活动策划经验，熟悉白帽黑客圈子文化。

庞伊良，火线安全内容负责人，曾任职绿盟科技、长亭科技，6 年网络安全行业工作经验，熟悉产品、技术，曾撰写过金融、互联网等多行业深度客户案例。

关于 安全村文集·证券行业专刊

证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案，为大家分享一线安全规划、运营、建设的心得和实践经验。

关于 安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

投稿邮箱：info@sec-un.org