以攻防驅(qū)動安全的新選擇

隨著大數(shù)據(jù)、物聯(lián)網(wǎng)和云計算的迅速發(fā)展，加之國際形勢日益緊張導(dǎo)致的網(wǎng)絡(luò)攻擊頻率和復(fù)雜度不斷增加，網(wǎng)絡(luò)安全逐漸成為國家安全的新挑戰(zhàn)。應(yīng)對這一挑戰(zhàn)，“護(hù)網(wǎng)行動”應(yīng)運而生。

“護(hù)網(wǎng)行動”是國家為解決網(wǎng)絡(luò)安全問題而采取的重要舉措之一。隨著我國對網(wǎng)絡(luò)安全的重視不斷提升，越來越多的單位積極參與到護(hù)網(wǎng)行動中來，網(wǎng)絡(luò)安全對抗演練也愈發(fā)貼近實際場景。各機(jī)構(gòu)對網(wǎng)絡(luò)安全的態(tài)度也從被動防御轉(zhuǎn)變?yōu)闃I(yè)務(wù)保障的剛性需求。在“護(hù)網(wǎng)行動”的具體實踐中，通常會將參與者分為攻防兩方。進(jìn)攻方會在一定時間內(nèi)對防守方發(fā)動網(wǎng)絡(luò)攻擊，以檢測防守方（包括各類企事業(yè)單位）存在的安全脆弱性。通過這種攻防對抗，企事業(yè)單位的網(wǎng)絡(luò)、系統(tǒng)和設(shè)備的安全能力得到了顯著提升。

2014年Gartner引入“Runtime application self-protection”一詞，簡稱為RASP。它是一種新型應(yīng)用安全保護(hù)技術(shù)，它將防護(hù)功能與應(yīng)用程序融為一體，實時檢測和阻斷安全攻擊，使應(yīng)用程序具備自我保護(hù)能力，當(dāng)應(yīng)用程序遭受到實際攻擊傷害，就可以自動對其進(jìn)行防御，而不需要進(jìn)行人工干預(yù)。RASP技術(shù)通過對應(yīng)用程序運行時上下文的感知和對代碼語義的深入分析，可以更準(zhǔn)確地識別異常行為，避免誤報和漏報。除了被動地檢測攻擊，RASP還能主動阻斷潛在的威脅。識別惡意行為并立即采取措施，防止攻擊者利用已知或未知漏洞進(jìn)行攻擊。相對于傳統(tǒng)的Web應(yīng)用安全產(chǎn)品，RASP防護(hù)聚焦真實的已知、未知的安全威脅，彌補(bǔ)傳統(tǒng)邊界安全產(chǎn)品的先天性防護(hù)不足問題，實時監(jiān)測響應(yīng)和修復(fù)，提供更智能、主動、綜合和全面的防護(hù)。

針對愈發(fā)嚴(yán)峻的攻防形勢，安全玻璃盒全新打造的護(hù)道RASP -攻防對抗版，能夠在攻防對抗的事前、事中、事后三個階段分別為藍(lán)隊（防守方）進(jìn)行多種安全能力輔助。

（一）事前：全面探測、知己知彼

知己知彼，方百戰(zhàn)不殆。防守方可借助護(hù)道 RASP ，更加便捷地完成互聯(lián)網(wǎng)資產(chǎn)的梳理、互聯(lián)網(wǎng)入口收斂、安全自查和安全加固。

通過許可升級即可在護(hù)道 RASP管理控制臺以及在同一Agent上支持在線運行時RASP以及IAST安全漏洞檢測能力，能夠在事前階段通過插樁的Agent發(fā)現(xiàn)代碼層的漏洞風(fēng)險。

在護(hù)道RASP平臺上為應(yīng)用添加標(biāo)簽，標(biāo)記當(dāng)前應(yīng)用為互聯(lián)網(wǎng)應(yīng)用或內(nèi)網(wǎng)應(yīng)用。通過標(biāo)簽篩選，定位互聯(lián)網(wǎng)應(yīng)用，以此為依據(jù)全面清理無關(guān)系統(tǒng)、服務(wù)、資產(chǎn)。護(hù)道RASP的安全基線檢測功能覆蓋了中間件、單應(yīng)用、微服務(wù)，可以在護(hù)網(wǎng)前的安全自查階段進(jìn)行，及時發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境和服務(wù)器配置的缺陷。

此外，護(hù)道RASP還提供三方組件和API的發(fā)現(xiàn)、梳理、智能去重、匯聚能力，能夠展示清晰的組件、API資產(chǎn)列表。針對發(fā)現(xiàn)的三方組件，護(hù)道 RASP 能夠?qū)⑵潢P(guān)聯(lián)到標(biāo)準(zhǔn)漏洞庫，明確組件存在的漏洞風(fēng)險、許可證風(fēng)險。對于具有較大危害性的組件漏洞，護(hù)道 RASP能夠提供虛擬補(bǔ)丁，精確修復(fù)組件漏洞，適用于特殊場景下的CVE漏洞安全加固。

在護(hù)網(wǎng)開始前，對于參加護(hù)網(wǎng)的互聯(lián)網(wǎng)應(yīng)用，可開啟護(hù)道RASP Agent，進(jìn)入攻擊防護(hù)的預(yù)備狀態(tài)，并一鍵將所涉應(yīng)用防護(hù)策略修改為“防護(hù)優(yōu)先”模式。

五大策略，一鍵開啟“防護(hù)優(yōu)先”模式

●安全漏洞風(fēng)險檢測

通過許可升級即可在護(hù)道 RASP管理控制臺以及在同一Agent上進(jìn)行應(yīng)用安全漏洞檢測，做到事前風(fēng)險全面感知。

針對檢測出的應(yīng)用漏洞可以與API進(jìn)行關(guān)聯(lián)，識別存在風(fēng)險的API；針對RASP攔截的攻擊利用的代碼漏洞可與IAST檢測漏洞進(jìn)行關(guān)聯(lián)，快速定位風(fēng)險所在代碼位置。

●安全基線檢測

安全基線檢測功能適用于護(hù)網(wǎng)前的互聯(lián)網(wǎng)資產(chǎn)梳理、安全自查階段，能夠針對網(wǎng)絡(luò)環(huán)境和服務(wù)器配置進(jìn)行安全基線檢查，覆蓋中間件、單應(yīng)用、微服務(wù)。檢測到不達(dá)標(biāo)的安全項后，能夠上報到具體應(yīng)用，并為其確定風(fēng)險等級、描述、修復(fù)建議等等內(nèi)容。

目前護(hù)道 RASP Agent支持檢測的安全基線項包括但不限于關(guān)鍵 cookie 是否開啟 httpOnly、進(jìn)程啟動賬號檢查、tomcat后臺弱口令檢查、不安全的默認(rèn)應(yīng)用檢查、數(shù)據(jù)庫連接賬號審計、未授權(quán)訪問檢查、Webshell文件掃描。

不同場景下的應(yīng)用：

1.在測試環(huán)境中檢查安全基線項，能夠在應(yīng)用程序或系統(tǒng)部署到生產(chǎn)環(huán)境之前，發(fā)現(xiàn)和修復(fù)潛在的安全問題，從而防止它們影響到實際運行的服務(wù)。

2.在應(yīng)用上線前，對生產(chǎn)環(huán)境進(jìn)行安全基線的檢查，能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境和服務(wù)器配置的缺陷，保障生產(chǎn)環(huán)境服務(wù)配置安全。

●三方組件風(fēng)險檢測

在應(yīng)用運行時，護(hù)道RASP Agent搜集應(yīng)用所引入的三方組件信息。梳理三方組件信息后，以此為根據(jù)，匹配標(biāo)準(zhǔn)漏洞庫數(shù)據(jù)，關(guān)聯(lián)到對應(yīng)的漏洞風(fēng)險、許可證風(fēng)險。

護(hù)道 RASP平臺自動實現(xiàn)三方組件信息去重、匯聚，計算組件風(fēng)險等級，提供修復(fù)建議，包括推薦替換的安全版本、 CVE 漏洞虛擬補(bǔ)?。徽故救浇M件的相關(guān)數(shù)據(jù)，包括漏洞列表、漏洞利用難度、漏洞可達(dá)性等。

●API搜集

API搜集功能在護(hù)網(wǎng)的事前互聯(lián)網(wǎng)資產(chǎn)階段使用，輔助用戶快速了解應(yīng)用程序的全部接口清單。該功能能夠識別、梳理應(yīng)用程序的 API 接口，明確接口路徑，并詳細(xì)展示API方法簽名等相關(guān)信息。此外，API 接口自動與攻擊日志進(jìn)行關(guān)聯(lián)，幫助用戶確定與特定API 相關(guān)聯(lián)的攻擊防護(hù)日志，從而能夠有針對性地修復(fù)API的風(fēng)險并提高對潛在攻擊的防護(hù)水平。

●一鍵下發(fā)防護(hù)策略

護(hù)道RASP將防御邏輯"注入"到Java底層API和Web應(yīng)用程序中，與應(yīng)用程序融為一體，能夠?qū)崟r分析Web流量、形成攻擊數(shù)據(jù)鏈路、攔截攻擊，使應(yīng)用程序具備自我保護(hù)能力。根據(jù)業(yè)務(wù)場景不同，用戶可以自定義設(shè)置護(hù)道 RASP對于不同類型攻擊流量的處置模式：攔截攻擊、記錄日志或完全忽略。

護(hù)網(wǎng)開始前，藍(lán)隊可能需要調(diào)整針對應(yīng)用流量的檢測、防護(hù)策略，從業(yè)務(wù)優(yōu)先調(diào)整為更加安全的防護(hù)優(yōu)先狀態(tài)。

平臺內(nèi)置了多種 護(hù)道RASP防護(hù)模版，包括防護(hù)優(yōu)先、業(yè)務(wù)優(yōu)先等，并模版一鍵下發(fā)。

例如，組織內(nèi)部存在100個應(yīng)用，其中90個為參與護(hù)網(wǎng)的應(yīng)用。在此場景下可批量將這90個應(yīng)用修改為護(hù)網(wǎng)模板，另外10個不變。在護(hù)網(wǎng)結(jié)束后，平臺支持為這90個批量解除護(hù)網(wǎng)模板、恢復(fù)為業(yè)務(wù)優(yōu)先模式。

（二）事中：實時監(jiān)控、動態(tài)防御

在護(hù)網(wǎng)過程中，護(hù)道RASP技術(shù)可以快速的將安全防御功能整合到正在運行的應(yīng)用程序中，檢測從應(yīng)用程序到系統(tǒng)的所有調(diào)用是否安全，識別惡意行為并立即采取措施，防止攻擊者利用已知或未知漏洞進(jìn)行攻擊。

基于可獲取應(yīng)用內(nèi)部數(shù)據(jù)輸入、操作、內(nèi)容的先天技術(shù)優(yōu)勢， RASP Agent能夠針對業(yè)務(wù)側(cè)關(guān)注的個人信息、業(yè)務(wù)數(shù)據(jù)等敏感信息進(jìn)行合規(guī)審查，在應(yīng)用上線運行時，實時檢測響應(yīng)包中是否包含有未脫敏的敏感信息，若存在則進(jìn)行攔截或記錄日志。

除了攻擊防御、敏感數(shù)據(jù)泄漏監(jiān)控及防護(hù)外， 護(hù)道RASP也可以在護(hù)網(wǎng)過程中輔助藍(lán)隊不同職責(zé)組更清晰、便捷、可視化地完成工作。

護(hù)道RASP安全事件分析大屏提供了實時攻擊態(tài)勢、攻擊日志的概覽。負(fù)責(zé)持續(xù)監(jiān)控安全設(shè)備、上報攻擊的監(jiān)測組，可借助攻擊大屏，結(jié)合 護(hù)道RASP后臺的攻擊攔截日志、異常流量監(jiān)控日志模塊，簡潔明了發(fā)現(xiàn)新攻擊。此外， 護(hù)道RASP支持將防護(hù)告警日志和應(yīng)用訪問日志遠(yuǎn)程發(fā)送到對應(yīng)的服務(wù)器，進(jìn)行風(fēng)險集成告警。

專攻分析確定攻擊請求的研判組，可通過 護(hù)道RASP攻擊日志關(guān)聯(lián)CVE漏洞功能，確定此次攻擊所利用的組件漏洞；通過護(hù)道RASP的關(guān)鍵文件監(jiān)控和系統(tǒng)失陷告警模塊，排查本次攻擊中受影響的關(guān)鍵文件、可能失陷的系統(tǒng)。

負(fù)責(zé)對攻擊、失陷主機(jī)進(jìn)行處理的處置組，首先可借助 護(hù)道 RASP攻擊日志給出的詳細(xì)信息，定位到具體主機(jī)位置，進(jìn)行進(jìn)一步主機(jī)隔離處置。對于不適合隔離、需要保持上線狀態(tài)的重要應(yīng)用，可以借助 護(hù)道RASP 的“應(yīng)用熱修復(fù)”功能，自定義編寫流量阻斷規(guī)則，應(yīng)用運行時動態(tài)下發(fā)。

溯源組結(jié)合研判組與處置組給出的攻擊分析，借助護(hù)道RASP 攻擊日志中記錄的攻擊來源 IP 等信息，能夠更輕松地溯源攻擊鏈路以及攻擊者。

（1）攔截告警、異常流量監(jiān)控

快速提升在線防護(hù)能力

●攻擊攔截告警

部分攻擊能夠繞過應(yīng)用外部的防火墻等安全防護(hù)措施，攻擊應(yīng)用本身。

面對這種情況，護(hù)道RASP技術(shù)可以快速的將安全防御功能整合到正在運行的應(yīng)用程序中，它攔截從應(yīng)用程序到系統(tǒng)的所有調(diào)用，確保它們是安全的，并直接在應(yīng)用程序內(nèi)驗證數(shù)據(jù)請求。該技術(shù)無需對現(xiàn)有代碼進(jìn)行修改，因為護(hù)道RASP的檢測和保護(hù)功能是在應(yīng)用程序運行的系統(tǒng)上運行的。

護(hù)道RASP檢測到攻擊后會觸發(fā)安全引擎進(jìn)行防御、攔截攻擊，使攻擊流量跳轉(zhuǎn)到指定URL頁面或返回應(yīng)答碼。攻擊信息會被上報，平臺將展示攻擊詳情信息，包括攻擊類型、url、攻擊來源、所屬服務(wù)器、請求信息、調(diào)用棧等信息，并給出修復(fù)建議。此外，平臺支持告警，通過郵件、站內(nèi)信、釘釘告警、飛書告警等形式，通知相關(guān)人員進(jìn)行相關(guān)研判和處理。相關(guān)人員若將該流量判定為存在風(fēng)險，可將該風(fēng)險來源IP 加入IP黑名單，禁止此IP訪問應(yīng)用。

●異常流量

在護(hù)網(wǎng)的場景中，護(hù)道RASP一般通過在風(fēng)險函數(shù)Hook 點上監(jiān)控是否存在威脅行為來實現(xiàn)攻擊的檢測和攔截。部分異常流量可能帶有明顯的威脅特征，但不在風(fēng)險函數(shù)Hook點上觸發(fā)威脅行為。

針對這部分異常流量，護(hù)道RASP能夠?qū)崟r監(jiān)控異常的HTTP/HTTPS請求對應(yīng)用的訪問、記錄生產(chǎn)環(huán)境存在風(fēng)險的流量，并將異常流量詳情上報后臺，以進(jìn)行系統(tǒng)風(fēng)險評估。此外，還支持對加密的風(fēng)險Payload進(jìn)行解析。用戶若將該流量判定為存在風(fēng)險，可將該風(fēng)險來源 IP加入IP黑名單，禁止此IP訪問應(yīng)用。

（2）CVE漏洞精確定位

全面提升漏洞修復(fù)能力

●攻擊關(guān)聯(lián)CVE漏洞

通過護(hù)道RASP檢測并攔截了攻擊后， 用戶處理攻擊難。一是難以定位到攻擊利用的漏洞，二是難以修復(fù)漏洞。為此本版本推出攻擊關(guān)聯(lián)CVE漏洞功能，實現(xiàn)攻擊修復(fù)閉環(huán)。

對于一次攻擊，護(hù)道RASP能夠精確定位到攻擊所利用的組件 CVE漏洞。針對該 CVE 漏洞，展示所屬組件詳情、推薦修復(fù)版本，方便用戶通過替換組件版本至安全版本來解決問題。此外，還提供特色功能：漏洞虛擬補(bǔ)丁，方便用戶通過在線打補(bǔ)丁的形式迅速修復(fù)漏洞。

●CVE漏洞虛擬補(bǔ)丁

組件修復(fù)一般通過升級組件至安全版本來實現(xiàn)，但對于組件數(shù)龐大且年代久遠(yuǎn)、組件版本過舊的項目，替換組件版本可能會因為組件版本跨度過大，產(chǎn)生組件兼容性問題?；蛞驗殚_源社區(qū)不再維護(hù)該組件版本，導(dǎo)致組件漏洞難以修復(fù)，應(yīng)用不得已只能帶病上線。

面向上述場景，輕量護(hù)道RASP能夠進(jìn)行線上防護(hù)，針對特定CVE 漏洞進(jìn)行熱補(bǔ)丁修復(fù)/防護(hù)。用戶通過下載安裝組件防護(hù)Agent來加載插件（針對特定CVE漏洞防御或修復(fù)功能的插件），實現(xiàn)對CVE 漏洞的運行時防護(hù)/修復(fù)。

基于插樁代理結(jié)合虛擬補(bǔ)丁技術(shù)，護(hù)道RASP檢測到應(yīng)用程序中使用的開源組件存在的已知安全漏洞時，虛擬補(bǔ)丁技術(shù)通過修改應(yīng)用程序的運行時行為來修復(fù)漏洞。也可以在應(yīng)用程序執(zhí)行過程中，通過攔截對漏洞相關(guān)的函數(shù)調(diào)用或數(shù)據(jù)操作，并進(jìn)行適當(dāng)?shù)男薷模瑏碜柚构粽呃迷撀┒催M(jìn)行攻擊，提供持續(xù)的保護(hù)。實現(xiàn)在不影響業(yè)務(wù)系統(tǒng)情況下，對特定組件漏洞精準(zhǔn)防御，解決為修復(fù)漏洞而替換組件版本可能帶來的兼容性問題。

（3）四大關(guān)鍵舉措

應(yīng)急處置能力再上新臺階

●關(guān)鍵文件異常監(jiān)控

攻防場景下，入侵者經(jīng)常通過修改系統(tǒng)關(guān)鍵文件來清除他們的存在痕跡、創(chuàng)建持久的訪問點或執(zhí)行惡意操作（如注入惡意代碼）。護(hù)道RASP能夠監(jiān)控系統(tǒng)關(guān)鍵文件是否被改動，幫助防護(hù)方及時發(fā)現(xiàn)入侵并跟蹤攻擊行為，并進(jìn)一步判斷系統(tǒng)是否存在失陷風(fēng)險。

●系統(tǒng)失陷告警

關(guān)鍵文件，如定時任務(wù)、密碼文件、關(guān)鍵動態(tài)文件等，在通常情況下不會輕易更改，當(dāng)檢測到此類高危的系統(tǒng)關(guān)鍵文件更改時，后臺進(jìn)行系統(tǒng)失陷告警。

●對接遠(yuǎn)程日志管理平臺

護(hù)道RASP能夠與遠(yuǎn)程日志管理平臺或風(fēng)險告警平臺對接，遠(yuǎn)程推送應(yīng)用訪問日志、RASP防護(hù)告警日志，將相關(guān)信息集成至風(fēng)險告警平臺中進(jìn)行風(fēng)險告警

●應(yīng)用熱修復(fù)

針對已上線的重要應(yīng)用系統(tǒng)，當(dāng)發(fā)現(xiàn)存在重大漏洞且在短時間內(nèi)難以修復(fù)時，可以借助 護(hù)道RASP Agent自定義編寫、下發(fā)虛擬補(bǔ)丁，實現(xiàn)即時修復(fù)，同時不中斷業(yè)務(wù)，為應(yīng)用系統(tǒng)提供臨時防護(hù)，為漏洞修復(fù)爭取寶貴的時間。

（三）事后：綜合分析、風(fēng)險溯源

護(hù)網(wǎng)結(jié)束后，對于參加護(hù)網(wǎng)的互聯(lián)網(wǎng)應(yīng)用，可一鍵退出攻擊防護(hù)狀態(tài)，將所涉應(yīng)用防護(hù)策略修改為“業(yè)務(wù)優(yōu)先”模式。

在后續(xù)復(fù)盤過程中，護(hù)道RASP記錄的攻擊日志、攻擊事件分析能夠為復(fù)盤總計提供詳細(xì)信息，攻擊數(shù)據(jù)模塊更是可視化展示了系統(tǒng)收攻擊的趨勢曲線圖。 護(hù)道RASP攻擊關(guān)聯(lián)性分析大屏和攻擊回溯大屏以圖表、曲線的形式形象化地進(jìn)行數(shù)據(jù)梳理。

●攻擊事件分析

攻擊事件是基于相同攻擊日志IP 、以半小時的時間跨度為基礎(chǔ)的攻擊日志匯聚。對攻擊事件進(jìn)行篩選分析，可以方便地分析出攻擊趨勢、脆弱應(yīng)用修復(fù)的優(yōu)先級，支持查看攻擊的詳細(xì)數(shù)據(jù)，包括產(chǎn)生時間、類型和攻擊URL等，以及應(yīng)用安全針對該攻擊所采取的處理方式。

●防護(hù)數(shù)據(jù)統(tǒng)計

防護(hù)數(shù)據(jù)統(tǒng)計模塊統(tǒng)計分析了系統(tǒng)的總攻擊量、攻擊增長趨勢、攻擊風(fēng)險等級分布等內(nèi)容。通過可視化圖表的方式，方便防守方判斷整體安全形勢。

●攻擊數(shù)據(jù)大屏

平臺提供了安全事件分析大屏、攻擊關(guān)聯(lián)性分析大屏、攻擊來源回溯大屏，能夠在護(hù)網(wǎng)行動的事中階段提供實時、動態(tài)的攻擊監(jiān)控、直觀的分析數(shù)據(jù)；在護(hù)網(wǎng)行動的事后階段提供總體復(fù)盤依據(jù)。

關(guān)于安全玻璃盒：

安全玻璃盒【杭州孝道科技有限公司】是一家專注于為用戶提供軟件供應(yīng)鏈安全產(chǎn)品和解決方案的國家高新技術(shù)企業(yè)、省級專精特新企業(yè)。公司已擁有三十余項技術(shù)發(fā)明專利和七十余項自主軟件著作權(quán)，通過基于AI模型和卷積神經(jīng)網(wǎng)絡(luò)，自主研發(fā)了全鏈路智能動態(tài)污點分析、函數(shù)級智能基因檢測與自動化驗證等核心技術(shù)與產(chǎn)品，為用戶提供DevSecOps安全開發(fā)解決方案、軟件供應(yīng)鏈安全一體化解決方案、上線即安全與免疫防御解決方案、基于SBOM開源軟件供應(yīng)鏈安全情報與治理、軟件供應(yīng)鏈安全安全檢查評估工具等。目前已覆蓋各大關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的TOP級用戶，同時也服務(wù)了亞運會軟件供應(yīng)鏈安全檢查、關(guān)鍵基礎(chǔ)設(shè)施用戶軟件供應(yīng)鏈安全專項檢查等技術(shù)支撐工作。

免責(zé)聲明：市場有風(fēng)險，選擇需謹(jǐn)慎！此文僅供參考，不作買賣依據(jù)。

關(guān)鍵詞：