能力洞察报告 应用安全测试辅助工具

市场
6月前

能力洞察报告 应用安全测试辅助工具

前言

近年来,随着“三法一条例”等上位法的陆续颁布,区域、行业落地实施细则的跟进出台,“等保”、“密评”等测评要求的更新迭代,结合国际形势与地缘政治因素的潜在影响,各级大型攻防演练活动的正面促进,国内数字安全整体水平加速提升。

在此过程中,以金融、能源、运营商等“关基”行业为代表的一线安全用户,面临的安全威胁也逐渐升级。其中最典型的一类威胁就是针对关基行业用户的软件供应链发起的脆弱性攻击。

核心原因在于,To B 行业中这些海量的业务系统、应用、组件等从开发、测试到运行,由于开发人员有限、上线工期较紧、维护生命周期较短等原因,导致其潜藏了大量的脆弱性问题。因此大量的安全测试工作就成了研发测试团队与安全运营团队共同要关注的重点。

为此,数世咨询计划对“应用安全测试”这一领域开展一系列调研,本篇报告首先从应用安全测试辅助工具这一细分领域开始,主要针对其所处的能力图谱定位、主要能力项、未来能力发展趋势等维度进行洞察。

报告勘误、进一步交流、调研咨询,请联系:

主笔分析师 刘宸宇

liuchenyu@dwcon.cn


概念描述

本报告中的应用安全测试(Application Security Testing, AST)是指对应用程序在软件开发生命周期(SDLC)中进行的系统性安全评估活动,旨在识别、验证和修复潜在的安全漏洞与风险(如数据泄露、恶意攻击、身份验证缺陷等),以保障应用程序的机密性、完整性和可用性,满足应用程序的合规性、风险防控等要求。


数字安全能力图谱

根据前一年数字安全产业各细分领域发展状况,数世咨询已连续多年编制并发布《中国数字安全能力图谱(精选版)》,在2024年1月发布的报告中(https://www.dwcon.cn/post/3333),“应用安全测试”位于“应用场景安全”分类中的软件供应链安全板块,其中包含SAST、DAST、IAST等细分领域。

具体如下图所示:

                                             

中国数字安全能力图谱 - 应用场景安全

(图表:中国数字安全能力图谱 - 应用场景安全)


需要说明的是,上图中的源代码加密与混淆、SCA(软件成分分析)、代码审计服务针对的是源代码安全,ASOC与持续应用安全CAS则属于应用安全解决方案,因此不在本报告的讨论范围之内。接下来,本报告主要以“辅助工具”这一维度进行能力洞察的讨论。

实网攻防演练常态化带来的新需求

今年的实网攻防演练,最大的特点是常态化,直观变化是演练时间延长为两个月,这使得参演单位很难像往年一样,以减少业务甚至短暂下线为代价,保证演练成绩。这样的背景下,应用安全测试的需求也向“常态化”转变。具体表现在:

  • 随着参演单位的防护水平普遍提高,针对其业务应用、办公系统上游软件供应链的攻击随之增加,因此应用的安全测试范围也随之扩大,需要覆盖更多的开发语言、插件、框架等测试对象;

  • 演练时间拉长,导致人员投入相对减少,因此对应用安全漏洞的检测与响应从“堆人头”向“自动化”转变;

  • 国产化替代进程攻坚加速的背景下,信创应用的安全测试需求显著增多,因此应用安全测试要广泛支持对国产化应用环境的适配兼容。

以动态应用安全测试为核心的辅助工具体系

为了应对上述实网攻防常态化新需求,数世咨询建议,以动态应用安全测试(DAST)辅助工具为核心,形成一个高精准告警、高效率测试、高敏捷交付的辅助工具体系。

如下图所示:


以DAST为核心的应用安全测试辅助工具


该体系的能力厂商包括但不限于酷德啄木鸟、四维创智、边界无限以及安胜华信等。这些能力厂商都具备体系所需的各项工具能力,且各有侧重,更多企业综合选型,读者可进一步参考能力图谱。

主要能力

据本次调研,以动态应用安全测试为主的辅助工具体系所需能力应满足多样化场景、多语言兼容、多角色协同、可扩展插件、国产化支持、多接口集成等能力。具体来说:

  • 场景化安全测试能力,且支持能力拓展。

例如除了常规巡检和风险评估日常安全检测场景中所需的资产识别、漏洞扫描、协议爆破、未授权检测等基础测试能力外,还支持在突发漏洞检测、重大活动安全保障、监管部门执法检查、安全测试管理等场景,提供有侧重性的测试功能;

  • 多语言前端兼容能力。

前端兼容多种语言生态,如对Lua、NASL(Network Security Auditor Language)、Suricata、Nuclei等可兼容执行。

  • 具备团队协作功能,支持项目管理与数据管控。

支持测试团队间数据的实时共享、远程协助、工具协同、文档管理;对测试过程中不同角色,要具备用户认证、角色定义与权限管控能力,并支持事后审计;针对安全测试数据,除了具备可视化展示与报告功能外,还要支持安全测试数据的追踪与管理;对于离线环境,要支持数据上传离线Server。

  • 具备灵活、兼容的开放插件生态

测试工具插件应可扩展,使用户可以根据自己的需要在平台编写符合自己实际使用场景的插件;针对社区知识和开源脚本资源,工具应支持主流的多种脚本语言和框架。

  • 与国产化环境的兼容适配

除Windows、MacOS等主流运行环境外,工具还应支持统信UOS等主流的国产化操作系统;在MITM攻击测试等场景中,要能够识别和处理SM2、SM3和SM4等国密算法的加密通信。

  • 支持个性化定制与API接口集成

工具应预留供用户个性化定制的接口,以满足用户对插件、UI、数据分析、报告生成的定制化需求以及与其他工具或系统的对接集成。作为“工具”,定制化能力并非必须,但留有接口,可有效应对用户的进一步测试需求。

能力发展趋势

我们认为应用安全测试辅助工具的发展会有以下趋势:

  • 随着数字化转型的加速与深入,数字化依赖程度不断提高,应用安全测试的需求会持续增长,对辅助工具的需求量会持续增加;

  • AI大模型的赋能,为应用安全测试工具提供更多更高效的测试代码与脚本,同时协助工具使用者实现更多自动化、智能化测试能力;

  • 国际形势段时间内无法明显好转迹象,这一态势可能倒逼我国的应用安全测试辅助工具,从内核引擎、底层代码、乃至编程语言均出现原生性的创新重构。

结语

应用安全测试作为安全团队日常的主要工作之一,其所需的辅助工具是安全团队重要的生产工具,承担了大量具体测试工作,本报告对其能力的洞察既是初窥门径,也是抛砖引玉,接下来,数世咨询还将会继续深入各代表性行业,对应用安全测试相关的多个细分领域持续跟进调研。