文/成方金融科技有限公司 孟晓婷 汪双双 刘力凤

随着金融数字化的深入,网络风险边界呈现出扩大化、分散化的趋势,使得金融行业面临的安全形势愈加严峻。网络犯罪活动居高不下,攻击对手向组织化、集团化发展,攻击手段也从纯技术入侵向高级组合攻击转变等。在此形势下,成方金融科技有限公司(以下简称成方金科)通过积极推进安全渗透测试“左移”实践落地,保障人民银行科技系统安全稳定运行。

本文通过总结“流量回放+IAST”的渗透测试方法,落地安全渗透测试左移。实践表明,采用“流量回放+IAST”的安全渗透测试方法,可将安全测试流程提前,有效解决渗透测试存在的应用场景覆盖不全、漏洞识别误报率高等问题。

基于“流量回放+IAST”的安全渗透测试采用成方金科自研流量回放工具LogReplay与IAST(交互式安全测试)相结合的新型应用安全测试方法(见图1所示)。日志流量回放技术将流量数据进行捕获,进行分析挖掘,实现测试阶段业务场景的高度还原;IAST技术通过Agent与程序代码深度集成,从应用程序内部识别运行中安全漏洞。两项技术的高度结合,深度模拟业务场景开展测试,发现潜在的安全威胁,准确识别异常活动,提高交付产品的安全性。

新型安全渗透测试的特点

新型安全渗透测试的特点

1. 创新安全测试方法,全面覆盖业务场景。“流量回放+IAST”的渗透测试总体架构包含三部分:流量回放工具(LogReplay)、嵌入式安全插件(IAST)、后台管理中心(IAST)。流量回放工具为单机部署独立运行,对流量数据进行捕获与处理,全面精准地将流量发送到应用的指定接口;嵌入式安全插件、后台管理中心是IAST的组成部分,将插件Agent插桩到应用程序中,与程序代码深度集成,实现从内部监控应用程序运行时的行为并进行安全分析,将漏洞定位到代码级,更加准确地检出潜在的安全漏洞。三部分各司其职,相互配合,全方位模拟测试场景,将安全测试技术无缝融入软件项目的测试流程,让开发人员和测试人员在执行功能测试的同时,无感知地完成安全测试。

2. 深度分析日志流量,精准复现安全问题。“流量回放+IAST”的渗透测试技术架构(见图2所示)分为数据源层、数据处理层两层,数据源层通过统一管理数据来源,屏蔽不同数据源的底层差异,向上层提供统一访问接口;数据处理层与业务规则耦合,通过数据清洗、筛选、回放、分析,实现渗透测试的可重复。该测试可覆盖SQL注入、XSS攻击等常见的安全漏洞类型,在测试过程中LogReplay通过自定义规则进行数据清洗提取日志文件中的报文信息,进而开展数据处理、关联业务数据、文件拆分,最后进行日志回放,将请求通过指定接口发送到应用系统;IAST依托安插在代码中的探针,在获取代码数据流、代码控制流等信息后,结合外部请求对漏洞进行综合分析判断,使得渗透测试具有更高的覆盖率和更低的误报率

3. 实现无感知部署,提升研发测试效率。“流量回放+IAST”采用“应用系统无感知”的部署方法:流量回放工具LogReplay为单机部署,只需对配置文件进行简单的配置,启动即可使用;嵌入式安全插件(IAST)通过DevSecOps流水线完成探针的自动部署,后台管理中心(IAST)通过网络自动识别被测应用。“流量回放+IAST”的测试方法以工具的内置安全算法对整个数据传播过程进行分析,判断数据流是否能引发安全漏洞。在应用运行期间,该测试方法不影响原平台开发和运行流程,即可完成全面精确的漏洞检测定位,实现在功能测试阶段提升产品的安全质量。

实践成效

实践成效

1. 测试的全面性。通过提取实际的业务日志流量,测试覆盖范围更广,结果表明该方法能够发现更多的API,能有效测试SQL注入、命令执行、目录遍历、文件包含等十余种常见的WEB攻击行为,大幅度提高应用系统的安全防护能力,弥补了黑盒检测系统的盲区。

2. 测试的有效性。通过对流量的清洗、筛选、回放,精准地将攻击载荷发送到应用的指定接口并能结合请求对漏洞进行综合分析判断,结果表明该方法能够以极低的误报率提供精确的漏洞检测,同时保持高检出率,更快地发现更多真实的漏洞,而不会被大量误报所干扰。

3. 测试的可持续性。通过“流量回放+IAST”安全渗透测试,可将安全测试透明化,实践表明,通过该测试方法安全测试用例可重复使用,安全问题可便捷复现,同时可以与DevSecOps流程无缝集成,不影响编码和测试过程,实现渗透测试的可持续。

以成方金科某系统为例,在渗透测试执行时间缩短98%的情况下,保持问题发现数量和质量与人工渗透测试持平,较传统人工渗透测试成效显著。在安全问题发现数量、测试耗时方面,流量回放渗透测试与人工渗透测试对比数据(如表所示)。

同时,标准化的自动化案例库有效降低了人工渗透可能出现的能力参差不齐、渗透场景漏测、渗透深度不足等风险,实现了测试的可持续。

总结与展望

总结与展望

基于“流量回放+IAST”的安全渗透测试通过提取回放日志流量,为安全测试提供了全景式的数据支持,精准复现安全问题,发现潜在威胁。针对流量数据的深入分析能够揭示隐藏的攻击模式,提高团队的安全渗透测试效率。下个阶段将继续开展持续化精细化的测试,探索新型的安全测试技术在人民银行系统中深入地应用,主要包含以下三个方面。

1. 闭环管理,积极推进漏洞修复。基于“流量回放+IAST”的“左移”实践,极大地提高了漏洞的发现能力,但是在漏洞修复上时效性不强,导致很多漏洞长时间未被修复。为了应对漏洞带来的安全威胁,需要建立漏洞的长效管理机制,确保从漏洞的发现到修复,再到监控与应急响应,形成一个完整的闭环流程,从而提升系统的整体安全防护能力。

2. 深入实践,安全融入持续交付。在人民银行的信息系统安全测试过程中广泛实践“流量回放+IAST”渗透测试,实现以业务安全为核心的目标。通过构建主动安全,将“流量回放+IAST”嵌入CI/CD流程,形成自动化安全工具链,持续开展渗透测试,提升软件的交付效率。

3. AI赋能,智能化革新渗透测试方法。面对“流量回放+IAST”在业务流量关联方面的不成熟,未来可以使用AI赋能,利用知识图谱技术,将信息结构化,动态调整渗透测试策略,选择最佳的攻击路径,实现渗透测试的自动化与智能化,提高渗透测试的效率和准确性,为软件的快速迭代和质量控制提供有力支撑。

(此文刊发于《金融电子化》2025年4月上半月刊)