以攻防驅動(dòng)安全的新選擇

隨著(zhù)大數據、物聯(lián)網(wǎng)和云計算的迅速發(fā)展，加之國際形勢日益緊張導致的網(wǎng)絡(luò )攻擊頻率和復雜度不斷增加，網(wǎng)絡(luò )安全逐漸成為國家安全的新挑戰。應對這一挑戰，“護網(wǎng)行動(dòng)”應運而生。

“護網(wǎng)行動(dòng)”是國家為解決網(wǎng)絡(luò )安全問(wèn)題而采取的重要舉措之一。隨著(zhù)我國對網(wǎng)絡(luò )安全的重視不斷提升，越來(lái)越多的單位積極參與到護網(wǎng)行動(dòng)中來(lái)，網(wǎng)絡(luò )安全對抗演練也愈發(fā)貼近實(shí)際場(chǎng)景。各機構對網(wǎng)絡(luò )安全的態(tài)度也從被動(dòng)防御轉變?yōu)闃I(yè)務(wù)保障的剛性需求。在“護網(wǎng)行動(dòng)”的具體實(shí)踐中，通常會(huì )將參與者分為攻防兩方。進(jìn)攻方會(huì )在一定時(shí)間內對防守方發(fā)動(dòng)網(wǎng)絡(luò )攻擊，以檢測防守方（包括各類(lèi)企事業(yè)單位）存在的安全脆弱性。通過(guò)這種攻防對抗，企事業(yè)單位的網(wǎng)絡(luò )、系統和設備的安全能力得到了顯著(zhù)提升。

2014年Gartner引入“Runtime application self-protection”一詞，簡(jiǎn)稱(chēng)為RASP。它是一種新型應用安全保護技術(shù)，它將防護功能與應用程序融為一體，實(shí)時(shí)檢測和阻斷安全攻擊，使應用程序具備自我保護能力，當應用程序遭受到實(shí)際攻擊傷害，就可以自動(dòng)對其進(jìn)行防御，而不需要進(jìn)行人工干預。RASP技術(shù)通過(guò)對應用程序運行時(shí)上下文的感知和對代碼語(yǔ)義的深入分析，可以更準確地識別異常行為，避免誤報和漏報。除了被動(dòng)地檢測攻擊，RASP還能主動(dòng)阻斷潛在的威脅。識別惡意行為并立即采取措施，防止攻擊者利用已知或未知漏洞進(jìn)行攻擊。相對于傳統的Web應用安全產(chǎn)品，RASP防護聚焦真實(shí)的已知、未知的安全威脅，彌補傳統邊界安全產(chǎn)品的先天性防護不足問(wèn)題，實(shí)時(shí)監測響應和修復，提供更智能、主動(dòng)、綜合和全面的防護。

針對愈發(fā)嚴峻的攻防形勢，安全玻璃盒全新打造的護道RASP -攻防對抗版，能夠在攻防對抗的事前、事中、事后三個(gè)階段分別為藍隊（防守方）進(jìn)行多種安全能力輔助。

（一）事前：全面探測、知己知彼

知己知彼，方百戰不殆。防守方可借助護道 RASP ，更加便捷地完成互聯(lián)網(wǎng)資產(chǎn)的梳理、互聯(lián)網(wǎng)入口收斂、安全自查和安全加固。

通過(guò)許可升級即可在護道 RASP管理控制臺以及在同一Agent上支持在線(xiàn)運行時(shí)RASP以及IAST安全漏洞檢測能力，能夠在事前階段通過(guò)插樁的Agent發(fā)現代碼層的漏洞風(fēng)險。

在護道RASP平臺上為應用添加標簽，標記當前應用為互聯(lián)網(wǎng)應用或內網(wǎng)應用。通過(guò)標簽篩選，定位互聯(lián)網(wǎng)應用，以此為依據全面清理無(wú)關(guān)系統、服務(wù)、資產(chǎn)。護道RASP的安全基線(xiàn)檢測功能覆蓋了中間件、單應用、微服務(wù)，可以在護網(wǎng)前的安全自查階段進(jìn)行，及時(shí)發(fā)現網(wǎng)絡(luò )環(huán)境和服務(wù)器配置的缺陷。

此外，護道RASP還提供三方組件和API的發(fā)現、梳理、智能去重、匯聚能力，能夠展示清晰的組件、API資產(chǎn)列表。針對發(fā)現的三方組件，護道 RASP 能夠將其關(guān)聯(lián)到標準漏洞庫，明確組件存在的漏洞風(fēng)險、許可證風(fēng)險。對于具有較大危害性的組件漏洞，護道 RASP能夠提供虛擬補丁，精確修復組件漏洞，適用于特殊場(chǎng)景下的CVE漏洞安全加固。

在護網(wǎng)開(kāi)始前，對于參加護網(wǎng)的互聯(lián)網(wǎng)應用，可開(kāi)啟護道RASP Agent，進(jìn)入攻擊防護的預備狀態(tài)，并一鍵將所涉應用防護策略修改為“防護優(yōu)先”模式。

五大策略，一鍵開(kāi)啟“防護優(yōu)先”模式

●安全漏洞風(fēng)險檢測

通過(guò)許可升級即可在護道 RASP管理控制臺以及在同一Agent上進(jìn)行應用安全漏洞檢測，做到事前風(fēng)險全面感知。

針對檢測出的應用漏洞可以與API進(jìn)行關(guān)聯(lián)，識別存在風(fēng)險的API；針對RASP攔截的攻擊利用的代碼漏洞可與IAST檢測漏洞進(jìn)行關(guān)聯(lián)，快速定位風(fēng)險所在代碼位置。

●安全基線(xiàn)檢測

安全基線(xiàn)檢測功能適用于護網(wǎng)前的互聯(lián)網(wǎng)資產(chǎn)梳理、安全自查階段，能夠針對網(wǎng)絡(luò )環(huán)境和服務(wù)器配置進(jìn)行安全基線(xiàn)檢查，覆蓋中間件、單應用、微服務(wù)。檢測到不達標的安全項后，能夠上報到具體應用，并為其確定風(fēng)險等級、描述、修復建議等等內容。

目前護道 RASP Agent支持檢測的安全基線(xiàn)項包括但不限于關(guān)鍵 cookie 是否開(kāi)啟 httpOnly、進(jìn)程啟動(dòng)賬號檢查、tomcat后臺弱口令檢查、不安全的默認應用檢查、數據庫連接賬號審計、未授權訪(fǎng)問(wèn)檢查、Webshell文件掃描。

不同場(chǎng)景下的應用：

1.在測試環(huán)境中檢查安全基線(xiàn)項，能夠在應用程序或系統部署到生產(chǎn)環(huán)境之前，發(fā)現和修復潛在的安全問(wèn)題，從而防止它們影響到實(shí)際運行的服務(wù)。

2.在應用上線(xiàn)前，對生產(chǎn)環(huán)境進(jìn)行安全基線(xiàn)的檢查，能夠及時(shí)發(fā)現網(wǎng)絡(luò )環(huán)境和服務(wù)器配置的缺陷，保障生產(chǎn)環(huán)境服務(wù)配置安全。

●三方組件風(fēng)險檢測

在應用運行時(shí)，護道RASP Agent搜集應用所引入的三方組件信息。梳理三方組件信息后，以此為根據，匹配標準漏洞庫數據，關(guān)聯(lián)到對應的漏洞風(fēng)險、許可證風(fēng)險。

護道 RASP平臺自動(dòng)實(shí)現三方組件信息去重、匯聚，計算組件風(fēng)險等級，提供修復建議，包括推薦替換的安全版本、 CVE 漏洞虛擬補丁；展示三方組件的相關(guān)數據，包括漏洞列表、漏洞利用難度、漏洞可達性等。

●API搜集

API搜集功能在護網(wǎng)的事前互聯(lián)網(wǎng)資產(chǎn)階段使用，輔助用戶(hù)快速了解應用程序的全部接口清單。該功能能夠識別、梳理應用程序的 API 接口，明確接口路徑，并詳細展示API方法簽名等相關(guān)信息。此外，API 接口自動(dòng)與攻擊日志進(jìn)行關(guān)聯(lián)，幫助用戶(hù)確定與特定API 相關(guān)聯(lián)的攻擊防護日志，從而能夠有針對性地修復API的風(fēng)險并提高對潛在攻擊的防護水平。

●一鍵下發(fā)防護策略

護道RASP將防御邏輯"注入"到Java底層API和Web應用程序中，與應用程序融為一體，能夠實(shí)時(shí)分析Web流量、形成攻擊數據鏈路、攔截攻擊，使應用程序具備自我保護能力。根據業(yè)務(wù)場(chǎng)景不同，用戶(hù)可以自定義設置護道 RASP對于不同類(lèi)型攻擊流量的處置模式：攔截攻擊、記錄日志或完全忽略。

護網(wǎng)開(kāi)始前，藍隊可能需要調整針對應用流量的檢測、防護策略，從業(yè)務(wù)優(yōu)先調整為更加安全的防護優(yōu)先狀態(tài)。

平臺內置了多種 護道RASP防護模版，包括防護優(yōu)先、業(yè)務(wù)優(yōu)先等，并模版一鍵下發(fā)。

例如，組織內部存在100個(gè)應用，其中90個(gè)為參與護網(wǎng)的應用。在此場(chǎng)景下可批量將這90個(gè)應用修改為護網(wǎng)模板，另外10個(gè)不變。在護網(wǎng)結束后，平臺支持為這90個(gè)批量解除護網(wǎng)模板、恢復為業(yè)務(wù)優(yōu)先模式。

（二）事中：實(shí)時(shí)監控、動(dòng)態(tài)防御

在護網(wǎng)過(guò)程中，護道RASP技術(shù)可以快速的將安全防御功能整合到正在運行的應用程序中，檢測從應用程序到系統的所有調用是否安全，識別惡意行為并立即采取措施，防止攻擊者利用已知或未知漏洞進(jìn)行攻擊。

基于可獲取應用內部數據輸入、操作、內容的先天技術(shù)優(yōu)勢， RASP Agent能夠針對業(yè)務(wù)側關(guān)注的個(gè)人信息、業(yè)務(wù)數據等敏感信息進(jìn)行合規審查，在應用上線(xiàn)運行時(shí)，實(shí)時(shí)檢測響應包中是否包含有未脫敏的敏感信息，若存在則進(jìn)行攔截或記錄日志。

除了攻擊防御、敏感數據泄漏監控及防護外， 護道RASP也可以在護網(wǎng)過(guò)程中輔助藍隊不同職責組更清晰、便捷、可視化地完成工作。

護道RASP安全事件分析大屏提供了實(shí)時(shí)攻擊態(tài)勢、攻擊日志的概覽。負責持續監控安全設備、上報攻擊的監測組，可借助攻擊大屏，結合 護道RASP后臺的攻擊攔截日志、異常流量監控日志模塊，簡(jiǎn)潔明了發(fā)現新攻擊。此外， 護道RASP支持將防護告警日志和應用訪(fǎng)問(wèn)日志遠程發(fā)送到對應的服務(wù)器，進(jìn)行風(fēng)險集成告警。

專(zhuān)攻分析確定攻擊請求的研判組，可通過(guò) 護道RASP攻擊日志關(guān)聯(lián)CVE漏洞功能，確定此次攻擊所利用的組件漏洞；通過(guò)護道RASP的關(guān)鍵文件監控和系統失陷告警模塊，排查本次攻擊中受影響的關(guān)鍵文件、可能失陷的系統。

負責對攻擊、失陷主機進(jìn)行處理的處置組，首先可借助 護道 RASP攻擊日志給出的詳細信息，定位到具體主機位置，進(jìn)行進(jìn)一步主機隔離處置。對于不適合隔離、需要保持上線(xiàn)狀態(tài)的重要應用，可以借助 護道RASP 的“應用熱修復”功能，自定義編寫(xiě)流量阻斷規則，應用運行時(shí)動(dòng)態(tài)下發(fā)。

溯源組結合研判組與處置組給出的攻擊分析，借助護道RASP 攻擊日志中記錄的攻擊來(lái)源 IP 等信息，能夠更輕松地溯源攻擊鏈路以及攻擊者。

（1）攔截告警、異常流量監控

快速提升在線(xiàn)防護能力

●攻擊攔截告警

部分攻擊能夠繞過(guò)應用外部的防火墻等安全防護措施，攻擊應用本身。

面對這種情況，護道RASP技術(shù)可以快速的將安全防御功能整合到正在運行的應用程序中，它攔截從應用程序到系統的所有調用，確保它們是安全的，并直接在應用程序內驗證數據請求。該技術(shù)無(wú)需對現有代碼進(jìn)行修改，因為護道RASP的檢測和保護功能是在應用程序運行的系統上運行的。

護道RASP檢測到攻擊后會(huì )觸發(fā)安全引擎進(jìn)行防御、攔截攻擊，使攻擊流量跳轉到指定URL頁(yè)面或返回應答碼。攻擊信息會(huì )被上報，平臺將展示攻擊詳情信息，包括攻擊類(lèi)型、url、攻擊來(lái)源、所屬服務(wù)器、請求信息、調用棧等信息，并給出修復建議。此外，平臺支持告警，通過(guò)郵件、站內信、釘釘告警、飛書(shū)告警等形式，通知相關(guān)人員進(jìn)行相關(guān)研判和處理。相關(guān)人員若將該流量判定為存在風(fēng)險，可將該風(fēng)險來(lái)源IP 加入IP黑名單，禁止此IP訪(fǎng)問(wèn)應用。

●異常流量

在護網(wǎng)的場(chǎng)景中，護道RASP一般通過(guò)在風(fēng)險函數Hook 點(diǎn)上監控是否存在威脅行為來(lái)實(shí)現攻擊的檢測和攔截。部分異常流量可能帶有明顯的威脅特征，但不在風(fēng)險函數Hook點(diǎn)上觸發(fā)威脅行為。

針對這部分異常流量，護道RASP能夠實(shí)時(shí)監控異常的HTTP/HTTPS請求對應用的訪(fǎng)問(wèn)、記錄生產(chǎn)環(huán)境存在風(fēng)險的流量，并將異常流量詳情上報后臺，以進(jìn)行系統風(fēng)險評估。此外，還支持對加密的風(fēng)險Payload進(jìn)行解析。用戶(hù)若將該流量判定為存在風(fēng)險，可將該風(fēng)險來(lái)源 IP加入IP黑名單，禁止此IP訪(fǎng)問(wèn)應用。

（2）CVE漏洞精確定位

全面提升漏洞修復能力

●攻擊關(guān)聯(lián)CVE漏洞

通過(guò)護道RASP檢測并攔截了攻擊后， 用戶(hù)處理攻擊難。一是難以定位到攻擊利用的漏洞，二是難以修復漏洞。為此本版本推出攻擊關(guān)聯(lián)CVE漏洞功能，實(shí)現攻擊修復閉環(huán)。

對于一次攻擊，護道RASP能夠精確定位到攻擊所利用的組件 CVE漏洞。針對該 CVE 漏洞，展示所屬組件詳情、推薦修復版本，方便用戶(hù)通過(guò)替換組件版本至安全版本來(lái)解決問(wèn)題。此外，還提供特色功能：漏洞虛擬補丁，方便用戶(hù)通過(guò)在線(xiàn)打補丁的形式迅速修復漏洞。

●CVE漏洞虛擬補丁

組件修復一般通過(guò)升級組件至安全版本來(lái)實(shí)現，但對于組件數龐大且年代久遠、組件版本過(guò)舊的項目，替換組件版本可能會(huì )因為組件版本跨度過(guò)大，產(chǎn)生組件兼容性問(wèn)題。或因為開(kāi)源社區不再維護該組件版本，導致組件漏洞難以修復，應用不得已只能帶病上線(xiàn)。

面向上述場(chǎng)景，輕量護道RASP能夠進(jìn)行線(xiàn)上防護，針對特定CVE 漏洞進(jìn)行熱補丁修復/防護。用戶(hù)通過(guò)下載安裝組件防護Agent來(lái)加載插件（針對特定CVE漏洞防御或修復功能的插件），實(shí)現對CVE 漏洞的運行時(shí)防護/修復。

基于插樁代理結合虛擬補丁技術(shù)，護道RASP檢測到應用程序中使用的開(kāi)源組件存在的已知安全漏洞時(shí)，虛擬補丁技術(shù)通過(guò)修改應用程序的運行時(shí)行為來(lái)修復漏洞。也可以在應用程序執行過(guò)程中，通過(guò)攔截對漏洞相關(guān)的函數調用或數據操作，并進(jìn)行適當的修改，來(lái)阻止攻擊者利用該漏洞進(jìn)行攻擊，提供持續的保護。實(shí)現在不影響業(yè)務(wù)系統情況下，對特定組件漏洞精準防御，解決為修復漏洞而替換組件版本可能帶來(lái)的兼容性問(wèn)題。

（3）四大關(guān)鍵舉措

應急處置能力再上新臺階

●關(guān)鍵文件異常監控

攻防場(chǎng)景下，入侵者經(jīng)常通過(guò)修改系統關(guān)鍵文件來(lái)清除他們的存在痕跡、創(chuàng )建持久的訪(fǎng)問(wèn)點(diǎn)或執行惡意操作（如注入惡意代碼）。護道RASP能夠監控系統關(guān)鍵文件是否被改動(dòng)，幫助防護方及時(shí)發(fā)現入侵并跟蹤攻擊行為，并進(jìn)一步判斷系統是否存在失陷風(fēng)險。

●系統失陷告警

關(guān)鍵文件，如定時(shí)任務(wù)、密碼文件、關(guān)鍵動(dòng)態(tài)文件等，在通常情況下不會(huì )輕易更改，當檢測到此類(lèi)高危的系統關(guān)鍵文件更改時(shí)，后臺進(jìn)行系統失陷告警。

●對接遠程日志管理平臺

護道RASP能夠與遠程日志管理平臺或風(fēng)險告警平臺對接，遠程推送應用訪(fǎng)問(wèn)日志、RASP防護告警日志，將相關(guān)信息集成至風(fēng)險告警平臺中進(jìn)行風(fēng)險告警

●應用熱修復

針對已上線(xiàn)的重要應用系統，當發(fā)現存在重大漏洞且在短時(shí)間內難以修復時(shí)，可以借助 護道RASP Agent自定義編寫(xiě)、下發(fā)虛擬補丁，實(shí)現即時(shí)修復，同時(shí)不中斷業(yè)務(wù)，為應用系統提供臨時(shí)防護，為漏洞修復爭取寶貴的時(shí)間。

（三）事后：綜合分析、風(fēng)險溯源

護網(wǎng)結束后，對于參加護網(wǎng)的互聯(lián)網(wǎng)應用，可一鍵退出攻擊防護狀態(tài)，將所涉應用防護策略修改為“業(yè)務(wù)優(yōu)先”模式。

在后續復盤(pán)過(guò)程中，護道RASP記錄的攻擊日志、攻擊事件分析能夠為復盤(pán)總計提供詳細信息，攻擊數據模塊更是可視化展示了系統收攻擊的趨勢曲線(xiàn)圖。 護道RASP攻擊關(guān)聯(lián)性分析大屏和攻擊回溯大屏以圖表、曲線(xiàn)的形式形象化地進(jìn)行數據梳理。

●攻擊事件分析

攻擊事件是基于相同攻擊日志IP 、以半小時(shí)的時(shí)間跨度為基礎的攻擊日志匯聚。對攻擊事件進(jìn)行篩選分析，可以方便地分析出攻擊趨勢、脆弱應用修復的優(yōu)先級，支持查看攻擊的詳細數據，包括產(chǎn)生時(shí)間、類(lèi)型和攻擊URL等，以及應用安全針對該攻擊所采取的處理方式。

●防護數據統計

防護數據統計模塊統計分析了系統的總攻擊量、攻擊增長(cháng)趨勢、攻擊風(fēng)險等級分布等內容。通過(guò)可視化圖表的方式，方便防守方判斷整體安全形勢。

●攻擊數據大屏

平臺提供了安全事件分析大屏、攻擊關(guān)聯(lián)性分析大屏、攻擊來(lái)源回溯大屏，能夠在護網(wǎng)行動(dòng)的事中階段提供實(shí)時(shí)、動(dòng)態(tài)的攻擊監控、直觀(guān)的分析數據；在護網(wǎng)行動(dòng)的事后階段提供總體復盤(pán)依據。

關(guān)于安全玻璃盒：

安全玻璃盒【杭州孝道科技有限公司】是一家專(zhuān)注于為用戶(hù)提供軟件供應鏈安全產(chǎn)品和解決方案的國家高新技術(shù)企業(yè)、省級專(zhuān)精特新企業(yè)。公司已擁有三十余項技術(shù)發(fā)明專(zhuān)利和七十余項自主軟件著(zhù)作權，通過(guò)基于A(yíng)I模型和卷積神經(jīng)網(wǎng)絡(luò )，自主研發(fā)了全鏈路智能動(dòng)態(tài)污點(diǎn)分析、函數級智能基因檢測與自動(dòng)化驗證等核心技術(shù)與產(chǎn)品，為用戶(hù)提供DevSecOps安全開(kāi)發(fā)解決方案、軟件供應鏈安全一體化解決方案、上線(xiàn)即安全與免疫防御解決方案、基于SBOM開(kāi)源軟件供應鏈安全情報與治理、軟件供應鏈安全安全檢查評估工具等。目前已覆蓋各大關(guān)鍵基礎設施行業(yè)的TOP級用戶(hù)，同時(shí)也服務(wù)了亞運會(huì )軟件供應鏈安全檢查、關(guān)鍵基礎設施用戶(hù)軟件供應鏈安全專(zhuān)項檢查等技術(shù)支撐工作。

免責聲明：市場(chǎng)有風(fēng)險，選擇需謹慎！此文僅供參考，不作買(mǎi)賣(mài)依據。

關(guān)鍵詞：