鑒於各產業陸續傳出個資外洩事件,且網站是資料洩漏的主要源頭,原本由總公司協助執行應用安全測試的T壽險公司,自2019年起推動獨立資安,除了發現傳統的黑白箱測試對開發測試與資安團隊帶來諸多不便,也為了提升資安強度,落實應用安全測試,T壽險公司邀請精誠協助導入「Contrast Security 互動式網站應用安全測試」解決方案,以達成「零誤判、免掃描時間、正確率百分之百」的目標。精誠團隊在專案期間充分發揮核心技術能力,透過國際間最新的應用安全測試技術—互動式應用安全測試(IAST),協助T壽險公司建立符合主管機關要求的應用安全測試報告,落實企業安全政策。
客戶背景與需求
T壽險公司原本的應用安全測試,由法國總公司協助執行,採用傳統的黑白箱測試工具。在資安強度的提升上,面臨許多問題:
- 傳統的白箱掃描(SAST)報告,包含過多誤判與漏判:每當收到總公司的原始碼掃描報告,總是無法快速判斷報告內容是否為誤判,為此,開發人員與資安人員必須耗費許多時間,才能釐清報告內容的正確性,以致經常延遲網站上線時程,對T壽險公司造成不小的損失。
- 黑箱(DAST)報告只有http traffic,開發人員難以修改:報告中無法呈現詳細的問題資訊,僅能列出簡單的網頁資訊,讓開發人員無法據以快速修改程式,導致問題一再重覆發生,浪費開發人員寶貴的除錯與測試時間。
- 無法偵測出第三方函式庫或開源函式庫的資安漏洞:原始碼掃描並未針對第三方函式庫或開源函式庫,導致老舊的函式庫暴露於資安漏洞(CVE)中。
- 黑白箱掃描速度過慢,跟不上網站上線的速度:黑白箱掃描動輒數小時,但為求嚴謹,每當程式修改,就必須安排時程重新掃描,這樣耗時的掃描程序往往趕不及在網站上線前處理完畢,於是只能將危險的網站暴露在外,或是延遲網站的上線時程。
精誠團隊了解T壽險公司的痛點後,判斷T壽險公司希望能在此專案計畫中,建立零誤判、無需額外掃描時間、兼顧第三方函式庫安全、合乎法規的應用安全測試方案。經過精誠團隊的專業評估後,確認「Contrast Security 互動式網站應用安全測試」解決方案,就是最符合T壽險公司的方案。
解決方案
針對上述T壽險公司的痛點,精誠團隊先仔細評估並分析其原有的開發測試流程,並針對上版流程的調整方向提出建議。無論是自行開發的網站或是其他的資訊委外作業,都能在此上版流程的規範下,經過「Contrast Security 互動式網站應用安全測試」,以確保上線網站的安全性。
除了協助T壽險公司定期產生網站弱點報告外,精誠團隊還提供資安顧問服務,定期為T壽險公司進行弱點報告說明,以提升T壽險公司開發人員的資安觀念與安全開發的能力。
此外,精誠團隊還提供了整合CI/CD流程的建議,期許將來能協助T壽險公司達成功能測試與資安測試自動化,提升整體的作業效率。
創造價值
精誠團隊了解安全的系統開發流程(SSDLC)對金融單位的重要性,也了解主管機關對於金融單位的資安機制要求嚴謹,因此引進了國際間最新的應用安全測試技術—互動式應用安全測試(IAST),經由精誠團隊的專業顧問服務,成功打造符合T壽險公司實際環境的解決方案,達成落實管理、增進安全、符合法規的最終目標。