以攻防驅(qū)動安全的新選擇

隨著大數(shù)據(jù)、物聯(lián)網(wǎng)和云計算的迅速發(fā)展，加之國際形勢日益緊張導(dǎo)致的網(wǎng)絡(luò)攻擊頻率和復(fù)雜度不斷增加，網(wǎng)絡(luò)安全逐漸成為國家安全的新挑戰(zhàn)。應(yīng)對這一挑戰(zhàn)，“護網(wǎng)行動”應(yīng)運而生。

“護網(wǎng)行動”是國家為解決網(wǎng)絡(luò)安全問題而采取的重要舉措之一。隨著我國對網(wǎng)絡(luò)安全的重視不斷提升，越來越多的單位積極參與到護網(wǎng)行動中來，網(wǎng)絡(luò)安全對抗演練也愈發(fā)貼近實際場景。各機構(gòu)對網(wǎng)絡(luò)安全的態(tài)度也從被動防御轉(zhuǎn)變?yōu)闃I(yè)務(wù)保障的剛性需求。在“護網(wǎng)行動”的具體實踐中，通常會將參與者分為攻防兩方。進攻方會在一定時間內(nèi)對防守方發(fā)動網(wǎng)絡(luò)攻擊，以檢測防守方（包括各類企事業(yè)單位）存在的安全脆弱性。通過這種攻防對抗，企事業(yè)單位的網(wǎng)絡(luò)、系統(tǒng)和設(shè)備的安全能力得到了顯著提升。

2014年Gartner引入“Runtime application self-protection”一詞，簡稱為RASP。它是一種新型應(yīng)用安全保護技術(shù)，它將防護功能與應(yīng)用程序融為一體，實時檢測和阻斷安全攻擊，使應(yīng)用程序具備自我保護能力，當應(yīng)用程序遭受到實際攻擊傷害，就可以自動對其進行防御，而不需要進行人工干預(yù)。RASP技術(shù)通過對應(yīng)用程序運行時上下文的感知和對代碼語義的深入分析，可以更準確地識別異常行為，避免誤報和漏報。除了被動地檢測攻擊，RASP還能主動阻斷潛在的威脅。識別惡意行為并立即采取措施，防止攻擊者利用已知或未知漏洞進行攻擊。相對于傳統(tǒng)的Web應(yīng)用安全產(chǎn)品，RASP防護聚焦真實的已知、未知的安全威脅，彌補傳統(tǒng)邊界安全產(chǎn)品的先天性防護不足問題，實時監(jiān)測響應(yīng)和修復(fù)，提供更智能、主動、綜合和全面的防護。

針對愈發(fā)嚴峻的攻防形勢，安全玻璃盒全新打造的護道RASP -攻防對抗版，能夠在攻防對抗的事前、事中、事后三個階段分別為藍隊（防守方）進行多種安全能力輔助。

（一）事前：全面探測、知己知彼

知己知彼，方百戰(zhàn)不殆。防守方可借助護道 RASP ，更加便捷地完成互聯(lián)網(wǎng)資產(chǎn)的梳理、互聯(lián)網(wǎng)入口收斂、安全自查和安全加固。

通過許可升級即可在護道 RASP管理控制臺以及在同一Agent上支持在線運行時RASP以及IAST安全漏洞檢測能力，能夠在事前階段通過插樁的Agent發(fā)現(xiàn)代碼層的漏洞風險。

在護道RASP平臺上為應(yīng)用添加標簽，標記當前應(yīng)用為互聯(lián)網(wǎng)應(yīng)用或內(nèi)網(wǎng)應(yīng)用。通過標簽篩選，定位互聯(lián)網(wǎng)應(yīng)用，以此為依據(jù)全面清理無關(guān)系統(tǒng)、服務(wù)、資產(chǎn)。護道RASP的安全基線檢測功能覆蓋了中間件、單應(yīng)用、微服務(wù)，可以在護網(wǎng)前的安全自查階段進行，及時發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境和服務(wù)器配置的缺陷。

此外，護道RASP還提供三方組件和API的發(fā)現(xiàn)、梳理、智能去重、匯聚能力，能夠展示清晰的組件、API資產(chǎn)列表。針對發(fā)現(xiàn)的三方組件，護道 RASP 能夠?qū)⑵潢P(guān)聯(lián)到標準漏洞庫，明確組件存在的漏洞風險、許可證風險。對于具有較大危害性的組件漏洞，護道 RASP能夠提供虛擬補丁，精確修復(fù)組件漏洞，適用于特殊場景下的CVE漏洞安全加固。

在護網(wǎng)開始前，對于參加護網(wǎng)的互聯(lián)網(wǎng)應(yīng)用，可開啟護道RASP Agent，進入攻擊防護的預(yù)備狀態(tài)，并一鍵將所涉應(yīng)用防護策略修改為“防護優(yōu)先”模式。

五大策略，一鍵開啟“防護優(yōu)先”模式

●安全漏洞風險檢測

通過許可升級即可在護道 RASP管理控制臺以及在同一Agent上進行應(yīng)用安全漏洞檢測，做到事前風險全面感知。

針對檢測出的應(yīng)用漏洞可以與API進行關(guān)聯(lián)，識別存在風險的API；針對RASP攔截的攻擊利用的代碼漏洞可與IAST檢測漏洞進行關(guān)聯(lián)，快速定位風險所在代碼位置。

●安全基線檢測

安全基線檢測功能適用于護網(wǎng)前的互聯(lián)網(wǎng)資產(chǎn)梳理、安全自查階段，能夠針對網(wǎng)絡(luò)環(huán)境和服務(wù)器配置進行安全基線檢查，覆蓋中間件、單應(yīng)用、微服務(wù)。檢測到不達標的安全項后，能夠上報到具體應(yīng)用，并為其確定風險等級、描述、修復(fù)建議等等內(nèi)容。

目前護道 RASP Agent支持檢測的安全基線項包括但不限于關(guān)鍵 cookie 是否開啟 httpOnly、進程啟動賬號檢查、tomcat后臺弱口令檢查、不安全的默認應(yīng)用檢查、數(shù)據(jù)庫連接賬號審計、未授權(quán)訪問檢查、Webshell文件掃描。

不同場景下的應(yīng)用：

1.在測試環(huán)境中檢查安全基線項，能夠在應(yīng)用程序或系統(tǒng)部署到生產(chǎn)環(huán)境之前，發(fā)現(xiàn)和修復(fù)潛在的安全問題，從而防止它們影響到實際運行的服務(wù)。

2.在應(yīng)用上線前，對生產(chǎn)環(huán)境進行安全基線的檢查，能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境和服務(wù)器配置的缺陷，保障生產(chǎn)環(huán)境服務(wù)配置安全。

●三方組件風險檢測

在應(yīng)用運行時，護道RASP Agent搜集應(yīng)用所引入的三方組件信息。梳理三方組件信息后，以此為根據(jù)，匹配標準漏洞庫數(shù)據(jù)，關(guān)聯(lián)到對應(yīng)的漏洞風險、許可證風險。

護道 RASP平臺自動實現(xiàn)三方組件信息去重、匯聚，計算組件風險等級，提供修復(fù)建議，包括推薦替換的安全版本、 CVE 漏洞虛擬補??；展示三方組件的相關(guān)數(shù)據(jù)，包括漏洞列表、漏洞利用難度、漏洞可達性等。

●API搜集

API搜集功能在護網(wǎng)的事前互聯(lián)網(wǎng)資產(chǎn)階段使用，輔助用戶快速了解應(yīng)用程序的全部接口清單。該功能能夠識別、梳理應(yīng)用程序的 API 接口，明確接口路徑，并詳細展示API方法簽名等相關(guān)信息。此外，API 接口自動與攻擊日志進行關(guān)聯(lián)，幫助用戶確定與特定API 相關(guān)聯(lián)的攻擊防護日志，從而能夠有針對性地修復(fù)API的風險并提高對潛在攻擊的防護水平。

●一鍵下發(fā)防護策略

護道RASP將防御邏輯"注入"到Java底層API和Web應(yīng)用程序中，與應(yīng)用程序融為一體，能夠?qū)崟r分析Web流量、形成攻擊數(shù)據(jù)鏈路、攔截攻擊，使應(yīng)用程序具備自我保護能力。根據(jù)業(yè)務(wù)場景不同，用戶可以自定義設(shè)置護道 RASP對于不同類型攻擊流量的處置模式：攔截攻擊、記錄日志或完全忽略。

護網(wǎng)開始前，藍隊可能需要調(diào)整針對應(yīng)用流量的檢測、防護策略，從業(yè)務(wù)優(yōu)先調(diào)整為更加安全的防護優(yōu)先狀態(tài)。

平臺內(nèi)置了多種 護道RASP防護模版，包括防護優(yōu)先、業(yè)務(wù)優(yōu)先等，并模版一鍵下發(fā)。

例如，組織內(nèi)部存在100個應(yīng)用，其中90個為參與護網(wǎng)的應(yīng)用。在此場景下可批量將這90個應(yīng)用修改為護網(wǎng)模板，另外10個不變。在護網(wǎng)結(jié)束后，平臺支持為這90個批量解除護網(wǎng)模板、恢復(fù)為業(yè)務(wù)優(yōu)先模式。

（二）事中：實時監(jiān)控、動態(tài)防御

在護網(wǎng)過程中，護道RASP技術(shù)可以快速的將安全防御功能整合到正在運行的應(yīng)用程序中，檢測從應(yīng)用程序到系統(tǒng)的所有調(diào)用是否安全，識別惡意行為并立即采取措施，防止攻擊者利用已知或未知漏洞進行攻擊。

基于可獲取應(yīng)用內(nèi)部數(shù)據(jù)輸入、操作、內(nèi)容的先天技術(shù)優(yōu)勢， RASP Agent能夠針對業(yè)務(wù)側(cè)關(guān)注的個人信息、業(yè)務(wù)數(shù)據(jù)等敏感信息進行合規(guī)審查，在應(yīng)用上線運行時，實時檢測響應(yīng)包中是否包含有未脫敏的敏感信息，若存在則進行攔截或記錄日志。

除了攻擊防御、敏感數(shù)據(jù)泄漏監(jiān)控及防護外， 護道RASP也可以在護網(wǎng)過程中輔助藍隊不同職責組更清晰、便捷、可視化地完成工作。

護道RASP安全事件分析大屏提供了實時攻擊態(tài)勢、攻擊日志的概覽。負責持續(xù)監(jiān)控安全設(shè)備、上報攻擊的監(jiān)測組，可借助攻擊大屏，結(jié)合 護道RASP后臺的攻擊攔截日志、異常流量監(jiān)控日志模塊，簡潔明了發(fā)現(xiàn)新攻擊。此外， 護道RASP支持將防護告警日志和應(yīng)用訪問日志遠程發(fā)送到對應(yīng)的服務(wù)器，進行風險集成告警。

專攻分析確定攻擊請求的研判組，可通過 護道RASP攻擊日志關(guān)聯(lián)CVE漏洞功能，確定此次攻擊所利用的組件漏洞；通過護道RASP的關(guān)鍵文件監(jiān)控和系統(tǒng)失陷告警模塊，排查本次攻擊中受影響的關(guān)鍵文件、可能失陷的系統(tǒng)。

負責對攻擊、失陷主機進行處理的處置組，首先可借助 護道 RASP攻擊日志給出的詳細信息，定位到具體主機位置，進行進一步主機隔離處置。對于不適合隔離、需要保持上線狀態(tài)的重要應(yīng)用，可以借助 護道RASP 的“應(yīng)用熱修復(fù)”功能，自定義編寫流量阻斷規(guī)則，應(yīng)用運行時動態(tài)下發(fā)。

溯源組結(jié)合研判組與處置組給出的攻擊分析，借助護道RASP 攻擊日志中記錄的攻擊來源 IP 等信息，能夠更輕松地溯源攻擊鏈路以及攻擊者。

（1）攔截告警、異常流量監(jiān)控

快速提升在線防護能力

●攻擊攔截告警

部分攻擊能夠繞過應(yīng)用外部的防火墻等安全防護措施，攻擊應(yīng)用本身。

面對這種情況，護道RASP技術(shù)可以快速的將安全防御功能整合到正在運行的應(yīng)用程序中，它攔截從應(yīng)用程序到系統(tǒng)的所有調(diào)用，確保它們是安全的，并直接在應(yīng)用程序內(nèi)驗證數(shù)據(jù)請求。該技術(shù)無需對現(xiàn)有代碼進行修改，因為護道RASP的檢測和保護功能是在應(yīng)用程序運行的系統(tǒng)上運行的。

護道RASP檢測到攻擊后會觸發(fā)安全引擎進行防御、攔截攻擊，使攻擊流量跳轉(zhuǎn)到指定URL頁面或返回應(yīng)答碼。攻擊信息會被上報，平臺將展示攻擊詳情信息，包括攻擊類型、url、攻擊來源、所屬服務(wù)器、請求信息、調(diào)用棧等信息，并給出修復(fù)建議。此外，平臺支持告警，通過郵件、站內(nèi)信、釘釘告警、飛書告警等形式，通知相關(guān)人員進行相關(guān)研判和處理。相關(guān)人員若將該流量判定為存在風險，可將該風險來源IP 加入IP黑名單，禁止此IP訪問應(yīng)用。

●異常流量

在護網(wǎng)的場景中，護道RASP一般通過在風險函數(shù)Hook 點上監(jiān)控是否存在威脅行為來實現(xiàn)攻擊的檢測和攔截。部分異常流量可能帶有明顯的威脅特征，但不在風險函數(shù)Hook點上觸發(fā)威脅行為。

針對這部分異常流量，護道RASP能夠?qū)崟r監(jiān)控異常的HTTP/HTTPS請求對應(yīng)用的訪問、記錄生產(chǎn)環(huán)境存在風險的流量，并將異常流量詳情上報后臺，以進行系統(tǒng)風險評估。此外，還支持對加密的風險Payload進行解析。用戶若將該流量判定為存在風險，可將該風險來源 IP加入IP黑名單，禁止此IP訪問應(yīng)用。

（2）CVE漏洞精確定位

全面提升漏洞修復(fù)能力

●攻擊關(guān)聯(lián)CVE漏洞

通過護道RASP檢測并攔截了攻擊后， 用戶處理攻擊難。一是難以定位到攻擊利用的漏洞，二是難以修復(fù)漏洞。為此本版本推出攻擊關(guān)聯(lián)CVE漏洞功能，實現(xiàn)攻擊修復(fù)閉環(huán)。

對于一次攻擊，護道RASP能夠精確定位到攻擊所利用的組件 CVE漏洞。針對該 CVE 漏洞，展示所屬組件詳情、推薦修復(fù)版本，方便用戶通過替換組件版本至安全版本來解決問題。此外，還提供特色功能：漏洞虛擬補丁，方便用戶通過在線打補丁的形式迅速修復(fù)漏洞。

●CVE漏洞虛擬補丁

組件修復(fù)一般通過升級組件至安全版本來實現(xiàn)，但對于組件數(shù)龐大且年代久遠、組件版本過舊的項目，替換組件版本可能會因為組件版本跨度過大，產(chǎn)生組件兼容性問題?；蛞驗殚_源社區(qū)不再維護該組件版本，導(dǎo)致組件漏洞難以修復(fù)，應(yīng)用不得已只能帶病上線。

面向上述場景，輕量護道RASP能夠進行線上防護，針對特定CVE 漏洞進行熱補丁修復(fù)/防護。用戶通過下載安裝組件防護Agent來加載插件（針對特定CVE漏洞防御或修復(fù)功能的插件），實現(xiàn)對CVE 漏洞的運行時防護/修復(fù)。

基于插樁代理結(jié)合虛擬補丁技術(shù)，護道RASP檢測到應(yīng)用程序中使用的開源組件存在的已知安全漏洞時，虛擬補丁技術(shù)通過修改應(yīng)用程序的運行時行為來修復(fù)漏洞。也可以在應(yīng)用程序執(zhí)行過程中，通過攔截對漏洞相關(guān)的函數(shù)調(diào)用或數(shù)據(jù)操作，并進行適當?shù)男薷模瑏碜柚构粽呃迷撀┒催M行攻擊，提供持續(xù)的保護。實現(xiàn)在不影響業(yè)務(wù)系統(tǒng)情況下，對特定組件漏洞精準防御，解決為修復(fù)漏洞而替換組件版本可能帶來的兼容性問題。

（3）四大關(guān)鍵舉措

應(yīng)急處置能力再上新臺階

●關(guān)鍵文件異常監(jiān)控

攻防場景下，入侵者經(jīng)常通過修改系統(tǒng)關(guān)鍵文件來清除他們的存在痕跡、創(chuàng)建持久的訪問點或執(zhí)行惡意操作（如注入惡意代碼）。護道RASP能夠監(jiān)控系統(tǒng)關(guān)鍵文件是否被改動，幫助防護方及時發(fā)現(xiàn)入侵并跟蹤攻擊行為，并進一步判斷系統(tǒng)是否存在失陷風險。

●系統(tǒng)失陷告警

關(guān)鍵文件，如定時任務(wù)、密碼文件、關(guān)鍵動態(tài)文件等，在通常情況下不會輕易更改，當檢測到此類高危的系統(tǒng)關(guān)鍵文件更改時，后臺進行系統(tǒng)失陷告警。

●對接遠程日志管理平臺

護道RASP能夠與遠程日志管理平臺或風險告警平臺對接，遠程推送應(yīng)用訪問日志、RASP防護告警日志，將相關(guān)信息集成至風險告警平臺中進行風險告警

●應(yīng)用熱修復(fù)

針對已上線的重要應(yīng)用系統(tǒng)，當發(fā)現(xiàn)存在重大漏洞且在短時間內(nèi)難以修復(fù)時，可以借助 護道RASP Agent自定義編寫、下發(fā)虛擬補丁，實現(xiàn)即時修復(fù)，同時不中斷業(yè)務(wù)，為應(yīng)用系統(tǒng)提供臨時防護，為漏洞修復(fù)爭取寶貴的時間。

（三）事后：綜合分析、風險溯源

護網(wǎng)結(jié)束后，對于參加護網(wǎng)的互聯(lián)網(wǎng)應(yīng)用，可一鍵退出攻擊防護狀態(tài)，將所涉應(yīng)用防護策略修改為“業(yè)務(wù)優(yōu)先”模式。

在后續(xù)復(fù)盤過程中，護道RASP記錄的攻擊日志、攻擊事件分析能夠為復(fù)盤總計提供詳細信息，攻擊數(shù)據(jù)模塊更是可視化展示了系統(tǒng)收攻擊的趨勢曲線圖。 護道RASP攻擊關(guān)聯(lián)性分析大屏和攻擊回溯大屏以圖表、曲線的形式形象化地進行數(shù)據(jù)梳理。

●攻擊事件分析

攻擊事件是基于相同攻擊日志IP 、以半小時的時間跨度為基礎(chǔ)的攻擊日志匯聚。對攻擊事件進行篩選分析，可以方便地分析出攻擊趨勢、脆弱應(yīng)用修復(fù)的優(yōu)先級，支持查看攻擊的詳細數(shù)據(jù)，包括產(chǎn)生時間、類型和攻擊URL等，以及應(yīng)用安全針對該攻擊所采取的處理方式。

●防護數(shù)據(jù)統(tǒng)計

防護數(shù)據(jù)統(tǒng)計模塊統(tǒng)計分析了系統(tǒng)的總攻擊量、攻擊增長趨勢、攻擊風險等級分布等內(nèi)容。通過可視化圖表的方式，方便防守方判斷整體安全形勢。

●攻擊數(shù)據(jù)大屏

平臺提供了安全事件分析大屏、攻擊關(guān)聯(lián)性分析大屏、攻擊來源回溯大屏，能夠在護網(wǎng)行動的事中階段提供實時、動態(tài)的攻擊監(jiān)控、直觀的分析數(shù)據(jù)；在護網(wǎng)行動的事后階段提供總體復(fù)盤依據(jù)。

關(guān)于安全玻璃盒：

安全玻璃盒【杭州孝道科技有限公司】是一家專注于為用戶提供軟件供應(yīng)鏈安全產(chǎn)品和解決方案的國家高新技術(shù)企業(yè)、省級專精特新企業(yè)。公司已擁有三十余項技術(shù)發(fā)明專利和七十余項自主軟件著作權(quán)，通過基于AI模型和卷積神經(jīng)網(wǎng)絡(luò)，自主研發(fā)了全鏈路智能動態(tài)污點分析、函數(shù)級智能基因檢測與自動化驗證等核心技術(shù)與產(chǎn)品，為用戶提供DevSecOps安全開發(fā)解決方案、軟件供應(yīng)鏈安全一體化解決方案、上線即安全與免疫防御解決方案、基于SBOM開源軟件供應(yīng)鏈安全情報與治理、軟件供應(yīng)鏈安全安全檢查評估工具等。目前已覆蓋各大關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的TOP級用戶，同時也服務(wù)了亞運會軟件供應(yīng)鏈安全檢查、關(guān)鍵基礎(chǔ)設(shè)施用戶軟件供應(yīng)鏈安全專項檢查等技術(shù)支撐工作。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據(jù)。

關(guān)鍵詞：