以攻防驅動安全的新選擇

隨著大數據、物聯網和云計算的迅速發展，加之國際形勢日益緊張導致的網絡攻擊頻率和復雜度不斷增加，網絡安全逐漸成為國家安全的新挑戰。應對這一挑戰，“護網行動”應運而生。

“護網行動”是國家為解決網絡安全問題而采取的重要舉措之一。隨著我國對網絡安全的重視不斷提升，越來越多的單位積極參與到護網行動中來，網絡安全對抗演練也愈發貼近實際場景。各機構對網絡安全的態度也從被動防御轉變為業務保障的剛性需求。在“護網行動”的具體實踐中，通常會將參與者分為攻防兩方。進攻方會在一定時間內對防守方發動網絡攻擊，以檢測防守方（包括各類企事業單位）存在的安全脆弱性。通過這種攻防對抗，企事業單位的網絡、系統和設備的安全能力得到了顯著提升。

2014年Gartner引入“Runtime application self-protection”一詞，簡稱為RASP。它是一種新型應用安全保護技術，它將防護功能與應用程序融為一體，實時檢測和阻斷安全攻擊，使應用程序具備自我保護能力，當應用程序遭受到實際攻擊傷害，就可以自動對其進行防御，而不需要進行人工干預。RASP技術通過對應用程序運行時上下文的感知和對代碼語義的深入分析，可以更準確地識別異常行為，避免誤報和漏報。除了被動地檢測攻擊，RASP還能主動阻斷潛在的威脅。識別惡意行為并立即采取措施，防止攻擊者利用已知或未知漏洞進行攻擊。相對于傳統的Web應用安全產品，RASP防護聚焦真實的已知、未知的安全威脅，彌補傳統邊界安全產品的先天性防護不足問題，實時監測響應和修復，提供更智能、主動、綜合和全面的防護。

針對愈發嚴峻的攻防形勢，安全玻璃盒全新打造的護道RASP -攻防對抗版，能夠在攻防對抗的事前、事中、事后三個階段分別為藍隊（防守方）進行多種安全能力輔助。

（一）事前：全面探測、知己知彼

知己知彼，方百戰不殆。防守方可借助護道 RASP ，更加便捷地完成互聯網資產的梳理、互聯網入口收斂、安全自查和安全加固。

通過許可升級即可在護道 RASP管理控制臺以及在同一Agent上支持在線運行時RASP以及IAST安全漏洞檢測能力，能夠在事前階段通過插樁的Agent發現代碼層的漏洞風險。

在護道RASP平臺上為應用添加標簽，標記當前應用為互聯網應用或內網應用。通過標簽篩選，定位互聯網應用，以此為依據全面清理無關系統、服務、資產。護道RASP的安全基線檢測功能覆蓋了中間件、單應用、微服務，可以在護網前的安全自查階段進行，及時發現網絡環境和服務器配置的缺陷。

此外，護道RASP還提供三方組件和API的發現、梳理、智能去重、匯聚能力，能夠展示清晰的組件、API資產列表。針對發現的三方組件，護道 RASP 能夠將其關聯到標準漏洞庫，明確組件存在的漏洞風險、許可證風險。對于具有較大危害性的組件漏洞，護道 RASP能夠提供虛擬補丁，精確修復組件漏洞，適用于特殊場景下的CVE漏洞安全加固。

在護網開始前，對于參加護網的互聯網應用，可開啟護道RASP Agent，進入攻擊防護的預備狀態，并一鍵將所涉應用防護策略修改為“防護優先”模式。

五大策略，一鍵開啟“防護優先”模式

●安全漏洞風險檢測

通過許可升級即可在護道 RASP管理控制臺以及在同一Agent上進行應用安全漏洞檢測，做到事前風險全面感知。

針對檢測出的應用漏洞可以與API進行關聯，識別存在風險的API；針對RASP攔截的攻擊利用的代碼漏洞可與IAST檢測漏洞進行關聯，快速定位風險所在代碼位置。

●安全基線檢測

安全基線檢測功能適用于護網前的互聯網資產梳理、安全自查階段，能夠針對網絡環境和服務器配置進行安全基線檢查，覆蓋中間件、單應用、微服務。檢測到不達標的安全項后，能夠上報到具體應用，并為其確定風險等級、描述、修復建議等等內容。

目前護道 RASP Agent支持檢測的安全基線項包括但不限于關鍵 cookie 是否開啟 httpOnly、進程啟動賬號檢查、tomcat后臺弱口令檢查、不安全的默認應用檢查、數據庫連接賬號審計、未授權訪問檢查、Webshell文件掃描。

不同場景下的應用：

1.在測試環境中檢查安全基線項，能夠在應用程序或系統部署到生產環境之前，發現和修復潛在的安全問題，從而防止它們影響到實際運行的服務。

2.在應用上線前，對生產環境進行安全基線的檢查，能夠及時發現網絡環境和服務器配置的缺陷，保障生產環境服務配置安全。

●三方組件風險檢測

在應用運行時，護道RASP Agent搜集應用所引入的三方組件信息。梳理三方組件信息后，以此為根據，匹配標準漏洞庫數據，關聯到對應的漏洞風險、許可證風險。

護道 RASP平臺自動實現三方組件信息去重、匯聚，計算組件風險等級，提供修復建議，包括推薦替換的安全版本、 CVE 漏洞虛擬補丁；展示三方組件的相關數據，包括漏洞列表、漏洞利用難度、漏洞可達性等。

●API搜集

API搜集功能在護網的事前互聯網資產階段使用，輔助用戶快速了解應用程序的全部接口清單。該功能能夠識別、梳理應用程序的 API 接口，明確接口路徑，并詳細展示API方法簽名等相關信息。此外，API 接口自動與攻擊日志進行關聯，幫助用戶確定與特定API 相關聯的攻擊防護日志，從而能夠有針對性地修復API的風險并提高對潛在攻擊的防護水平。

●一鍵下發防護策略

護道RASP將防御邏輯"注入"到Java底層API和Web應用程序中，與應用程序融為一體，能夠實時分析Web流量、形成攻擊數據鏈路、攔截攻擊，使應用程序具備自我保護能力。根據業務場景不同，用戶可以自定義設置護道 RASP對于不同類型攻擊流量的處置模式：攔截攻擊、記錄日志或完全忽略。

護網開始前，藍隊可能需要調整針對應用流量的檢測、防護策略，從業務優先調整為更加安全的防護優先狀態。

平臺內置了多種 護道RASP防護模版，包括防護優先、業務優先等，并模版一鍵下發。

例如，組織內部存在100個應用，其中90個為參與護網的應用。在此場景下可批量將這90個應用修改為護網模板，另外10個不變。在護網結束后，平臺支持為這90個批量解除護網模板、恢復為業務優先模式。

（二）事中：實時監控、動態防御

在護網過程中，護道RASP技術可以快速的將安全防御功能整合到正在運行的應用程序中，檢測從應用程序到系統的所有調用是否安全，識別惡意行為并立即采取措施，防止攻擊者利用已知或未知漏洞進行攻擊。

基于可獲取應用內部數據輸入、操作、內容的先天技術優勢， RASP Agent能夠針對業務側關注的個人信息、業務數據等敏感信息進行合規審查，在應用上線運行時，實時檢測響應包中是否包含有未脫敏的敏感信息，若存在則進行攔截或記錄日志。

除了攻擊防御、敏感數據泄漏監控及防護外， 護道RASP也可以在護網過程中輔助藍隊不同職責組更清晰、便捷、可視化地完成工作。

護道RASP安全事件分析大屏提供了實時攻擊態勢、攻擊日志的概覽。負責持續監控安全設備、上報攻擊的監測組，可借助攻擊大屏，結合 護道RASP后臺的攻擊攔截日志、異常流量監控日志模塊，簡潔明了發現新攻擊。此外， 護道RASP支持將防護告警日志和應用訪問日志遠程發送到對應的服務器，進行風險集成告警。

專攻分析確定攻擊請求的研判組，可通過 護道RASP攻擊日志關聯CVE漏洞功能，確定此次攻擊所利用的組件漏洞；通過護道RASP的關鍵文件監控和系統失陷告警模塊，排查本次攻擊中受影響的關鍵文件、可能失陷的系統。

負責對攻擊、失陷主機進行處理的處置組，首先可借助 護道 RASP攻擊日志給出的詳細信息，定位到具體主機位置，進行進一步主機隔離處置。對于不適合隔離、需要保持上線狀態的重要應用，可以借助 護道RASP 的“應用熱修復”功能，自定義編寫流量阻斷規則，應用運行時動態下發。

溯源組結合研判組與處置組給出的攻擊分析，借助護道RASP 攻擊日志中記錄的攻擊來源 IP 等信息，能夠更輕松地溯源攻擊鏈路以及攻擊者。

（1）攔截告警、異常流量監控

快速提升在線防護能力

●攻擊攔截告警

部分攻擊能夠繞過應用外部的防火墻等安全防護措施，攻擊應用本身。

面對這種情況，護道RASP技術可以快速的將安全防御功能整合到正在運行的應用程序中，它攔截從應用程序到系統的所有調用，確保它們是安全的，并直接在應用程序內驗證數據請求。該技術無需對現有代碼進行修改，因為護道RASP的檢測和保護功能是在應用程序運行的系統上運行的。

護道RASP檢測到攻擊后會觸發安全引擎進行防御、攔截攻擊，使攻擊流量跳轉到指定URL頁面或返回應答碼。攻擊信息會被上報，平臺將展示攻擊詳情信息，包括攻擊類型、url、攻擊來源、所屬服務器、請求信息、調用棧等信息，并給出修復建議。此外，平臺支持告警，通過郵件、站內信、釘釘告警、飛書告警等形式，通知相關人員進行相關研判和處理。相關人員若將該流量判定為存在風險，可將該風險來源IP 加入IP黑名單，禁止此IP訪問應用。

●異常流量

在護網的場景中，護道RASP一般通過在風險函數Hook 點上監控是否存在威脅行為來實現攻擊的檢測和攔截。部分異常流量可能帶有明顯的威脅特征，但不在風險函數Hook點上觸發威脅行為。

針對這部分異常流量，護道RASP能夠實時監控異常的HTTP/HTTPS請求對應用的訪問、記錄生產環境存在風險的流量，并將異常流量詳情上報后臺，以進行系統風險評估。此外，還支持對加密的風險Payload進行解析。用戶若將該流量判定為存在風險，可將該風險來源 IP加入IP黑名單，禁止此IP訪問應用。

（2）CVE漏洞精確定位

全面提升漏洞修復能力

●攻擊關聯CVE漏洞

通過護道RASP檢測并攔截了攻擊后， 用戶處理攻擊難。一是難以定位到攻擊利用的漏洞，二是難以修復漏洞。為此本版本推出攻擊關聯CVE漏洞功能，實現攻擊修復閉環。

對于一次攻擊，護道RASP能夠精確定位到攻擊所利用的組件 CVE漏洞。針對該 CVE 漏洞，展示所屬組件詳情、推薦修復版本，方便用戶通過替換組件版本至安全版本來解決問題。此外，還提供特色功能：漏洞虛擬補丁，方便用戶通過在線打補丁的形式迅速修復漏洞。

●CVE漏洞虛擬補丁

組件修復一般通過升級組件至安全版本來實現，但對于組件數龐大且年代久遠、組件版本過舊的項目，替換組件版本可能會因為組件版本跨度過大，產生組件兼容性問題。或因為開源社區不再維護該組件版本，導致組件漏洞難以修復，應用不得已只能帶病上線。

面向上述場景，輕量護道RASP能夠進行線上防護，針對特定CVE 漏洞進行熱補丁修復/防護。用戶通過下載安裝組件防護Agent來加載插件（針對特定CVE漏洞防御或修復功能的插件），實現對CVE 漏洞的運行時防護/修復。

基于插樁代理結合虛擬補丁技術，護道RASP檢測到應用程序中使用的開源組件存在的已知安全漏洞時，虛擬補丁技術通過修改應用程序的運行時行為來修復漏洞。也可以在應用程序執行過程中，通過攔截對漏洞相關的函數調用或數據操作，并進行適當的修改，來阻止攻擊者利用該漏洞進行攻擊，提供持續的保護。實現在不影響業務系統情況下，對特定組件漏洞精準防御，解決為修復漏洞而替換組件版本可能帶來的兼容性問題。

（3）四大關鍵舉措

應急處置能力再上新臺階

●關鍵文件異常監控

攻防場景下，入侵者經常通過修改系統關鍵文件來清除他們的存在痕跡、創建持久的訪問點或執行惡意操作（如注入惡意代碼）。護道RASP能夠監控系統關鍵文件是否被改動，幫助防護方及時發現入侵并跟蹤攻擊行為，并進一步判斷系統是否存在失陷風險。

●系統失陷告警

關鍵文件，如定時任務、密碼文件、關鍵動態文件等，在通常情況下不會輕易更改，當檢測到此類高危的系統關鍵文件更改時，后臺進行系統失陷告警。

●對接遠程日志管理平臺

護道RASP能夠與遠程日志管理平臺或風險告警平臺對接，遠程推送應用訪問日志、RASP防護告警日志，將相關信息集成至風險告警平臺中進行風險告警

●應用熱修復

針對已上線的重要應用系統，當發現存在重大漏洞且在短時間內難以修復時，可以借助 護道RASP Agent自定義編寫、下發虛擬補丁，實現即時修復，同時不中斷業務，為應用系統提供臨時防護，為漏洞修復爭取寶貴的時間。

（三）事后：綜合分析、風險溯源

護網結束后，對于參加護網的互聯網應用，可一鍵退出攻擊防護狀態，將所涉應用防護策略修改為“業務優先”模式。

在后續復盤過程中，護道RASP記錄的攻擊日志、攻擊事件分析能夠為復盤總計提供詳細信息，攻擊數據模塊更是可視化展示了系統收攻擊的趨勢曲線圖。 護道RASP攻擊關聯性分析大屏和攻擊回溯大屏以圖表、曲線的形式形象化地進行數據梳理。

●攻擊事件分析

攻擊事件是基于相同攻擊日志IP 、以半小時的時間跨度為基礎的攻擊日志匯聚。對攻擊事件進行篩選分析，可以方便地分析出攻擊趨勢、脆弱應用修復的優先級，支持查看攻擊的詳細數據，包括產生時間、類型和攻擊URL等，以及應用安全針對該攻擊所采取的處理方式。

●防護數據統計

防護數據統計模塊統計分析了系統的總攻擊量、攻擊增長趨勢、攻擊風險等級分布等內容。通過可視化圖表的方式，方便防守方判斷整體安全形勢。

●攻擊數據大屏

平臺提供了安全事件分析大屏、攻擊關聯性分析大屏、攻擊來源回溯大屏，能夠在護網行動的事中階段提供實時、動態的攻擊監控、直觀的分析數據；在護網行動的事后階段提供總體復盤依據。

關于安全玻璃盒：

安全玻璃盒【杭州孝道科技有限公司】是一家專注于為用戶提供軟件供應鏈安全產品和解決方案的國家高新技術企業、省級專精特新企業。公司已擁有三十余項技術發明專利和七十余項自主軟件著作權，通過基于AI模型和卷積神經網絡，自主研發了全鏈路智能動態污點分析、函數級智能基因檢測與自動化驗證等核心技術與產品，為用戶提供DevSecOps安全開發解決方案、軟件供應鏈安全一體化解決方案、上線即安全與免疫防御解決方案、基于SBOM開源軟件供應鏈安全情報與治理、軟件供應鏈安全安全檢查評估工具等。目前已覆蓋各大關鍵基礎設施行業的TOP級用戶，同時也服務了亞運會軟件供應鏈安全檢查、關鍵基礎設施用戶軟件供應鏈安全專項檢查等技術支撐工作。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。

關鍵詞：