以攻防驱动安全的新选择
随着大数据、物联网和云计算的迅速发展,加之国际形势日益紧张导致的网络攻击频率和复杂度不断增加,网络安全逐渐成为国家安全的新挑战。应对这一挑战,“护网行动”应运而生。
“护网行动”是国家为解决网络安全问题而采取的重要举措之一。随着我国对网络安全的重视不断提升,越来越多的单位积极参与到护网行动中来,网络安全对抗演练也愈发贴近实际场景。各机构对网络安全的态度也从被动防御转变为业务保障的刚性需求。在“护网行动”的具体实践中,通常会将参与者分为攻防两方。进攻方会在一定时间内对防守方发动网络攻击,以检测防守方(包括各类企事业单位)存在的安全脆弱性。通过这种攻防对抗,企事业单位的网络、系统和设备的安全能力得到了显著提升。
2014年Gartner引入“Runtime application self-protection”一词,简称为RASP。它是一种新型应用安全保护技术,它将防护功能与应用程序融为一体,实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遭受到实际攻击伤害,就可以自动对其进行防御,而不需要进行人工干预。RASP技术通过对应用程序运行时上下文的感知和对代码语义的深入分析,可以更准确地识别异常行为,避免误报和漏报。除了被动地检测攻击,RASP还能主动阻断潜在的威胁。识别恶意行为并立即采取措施,防止攻击者利用已知或未知漏洞进行攻击。相对于传统的Web应用安全产品,RASP防护聚焦真实的已知、未知的安全威胁,弥补传统边界安全产品的先天性防护不足问题,实时监测响应和修复,提供更智能、主动、综合和全面的防护。
针对愈发严峻的攻防形势,安全玻璃盒全新打造的护道RASP -攻防对抗版,能够在攻防对抗的事前、事中、事后三个阶段分别为蓝队(防守方)进行多种安全能力辅助。
(一)事前:全面探测、知己知彼
知己知彼,方百战不殆。防守方可借助护道 RASP ,更加便捷地完成互联网资产的梳理、互联网入口收敛、安全自查和安全加固。
通过许可升级即可在护道 RASP管理控制台以及在同一Agent上支持在线运行时RASP以及IAST安全漏洞检测能力,能够在事前阶段通过插桩的Agent发现代码层的漏洞风险。
在护道RASP平台上为应用添加标签,标记当前应用为互联网应用或内网应用。通过标签筛选,定位互联网应用,以此为依据全面清理无关系统、服务、资产。护道RASP的安全基线检测功能覆盖了中间件、单应用、微服务,可以在护网前的安全自查阶段进行,及时发现网络环境和服务器配置的缺陷。
此外,护道RASP还提供三方组件和API的发现、梳理、智能去重、汇聚能力,能够展示清晰的组件、API资产列表。针对发现的三方组件,护道 RASP 能够将其关联到标准漏洞库,明确组件存在的漏洞风险、许可证风险。对于具有较大危害性的组件漏洞,护道 RASP能够提供虚拟补丁,精确修复组件漏洞,适用于特殊场景下的CVE漏洞安全加固。
在护网开始前,对于参加护网的互联网应用,可开启护道RASP Agent,进入攻击防护的预备状态,并一键将所涉应用防护策略修改为“防护优先”模式。
五大策略,一键开启“防护优先”模式
●安全漏洞风险检测
通过许可升级即可在护道 RASP管理控制台以及在同一Agent上进行应用安全漏洞检测,做到事前风险全面感知。
针对检测出的应用漏洞可以与API进行关联,识别存在风险的API;针对RASP拦截的攻击利用的代码漏洞可与IAST检测漏洞进行关联,快速定位风险所在代码位置。
●安全基线检测
安全基线检测功能适用于护网前的互联网资产梳理、安全自查阶段,能够针对网络环境和服务器配置进行安全基线检查,覆盖中间件、单应用、微服务。检测到不达标的安全项后,能够上报到具体应用,并为其确定风险等级、描述、修复建议等等内容。
目前护道 RASP Agent支持检测的安全基线项包括但不限于关键 cookie 是否开启 httpOnly、进程启动账号检查、tomcat后台弱口令检查、不安全的默认应用检查、数据库连接账号审计、未授权访问检查、Webshell文件扫描。
不同场景下的应用:
1.在测试环境中检查安全基线项,能够在应用程序或系统部署到生产环境之前,发现和修复潜在的安全问题,从而防止它们影响到实际运行的服务。
2.在应用上线前,对生产环境进行安全基线的检查,能够及时发现网络环境和服务器配置的缺陷,保障生产环境服务配置安全。
●三方组件风险检测
在应用运行时,护道RASP Agent搜集应用所引入的三方组件信息。梳理三方组件信息后,以此为根据,匹配标准漏洞库数据,关联到对应的漏洞风险、许可证风险。
护道 RASP平台自动实现三方组件信息去重、汇聚,计算组件风险等级,提供修复建议,包括推荐替换的安全版本、 CVE 漏洞虚拟补丁;展示三方组件的相关数据,包括漏洞列表、漏洞利用难度、漏洞可达性等。
●API搜集
API搜集功能在护网的事前互联网资产阶段使用,辅助用户快速了解应用程序的全部接口清单。该功能能够识别、梳理应用程序的 API 接口,明确接口路径,并详细展示API方法签名等相关信息。此外,API 接口自动与攻击日志进行关联,帮助用户确定与特定API 相关联的攻击防护日志,从而能够有针对性地修复API的风险并提高对潜在攻击的防护水平。
●一键下发防护策略
护道RASP将防御逻辑"注入"到Java底层API和Web应用程序中,与应用程序融为一体,能够实时分析Web流量、形成攻击数据链路、拦截攻击,使应用程序具备自我保护能力。根据业务场景不同,用户可以自定义设置护道 RASP对于不同类型攻击流量的处置模式:拦截攻击、记录日志或完全忽略。
护网开始前,蓝队可能需要调整针对应用流量的检测、防护策略,从业务优先调整为更加安全的防护优先状态。
平台内置了多种 护道RASP防护模版,包括防护优先、业务优先等,并模版一键下发。
例如,组织内部存在100个应用,其中90个为参与护网的应用。在此场景下可批量将这90个应用修改为护网模板,另外10个不变。在护网结束后,平台支持为这90个批量解除护网模板、恢复为业务优先模式。
(二)事中:实时监控、动态防御
在护网过程中,护道RASP技术可以快速的将安全防御功能整合到正在运行的应用程序中,检测从应用程序到系统的所有调用是否安全,识别恶意行为并立即采取措施,防止攻击者利用已知或未知漏洞进行攻击。
基于可获取应用内部数据输入、操作、内容的先天技术优势, RASP Agent能够针对业务侧关注的个人信息、业务数据等敏感信息进行合规审查,在应用上线运行时,实时检测响应包中是否包含有未脱敏的敏感信息,若存在则进行拦截或记录日志。
除了攻击防御、敏感数据泄漏监控及防护外, 护道RASP也可以在护网过程中辅助蓝队不同职责组更清晰、便捷、可视化地完成工作。
护道RASP安全事件分析大屏提供了实时攻击态势、攻击日志的概览。负责持续监控安全设备、上报攻击的监测组,可借助攻击大屏,结合 护道RASP后台的攻击拦截日志、异常流量监控日志模块,简洁明了发现新攻击。此外, 护道RASP支持将防护告警日志和应用访问日志远程发送到对应的服务器,进行风险集成告警。
专攻分析确定攻击请求的研判组,可通过 护道RASP攻击日志关联CVE漏洞功能,确定此次攻击所利用的组件漏洞;通过护道RASP的关键文件监控和系统失陷告警模块,排查本次攻击中受影响的关键文件、可能失陷的系统。
负责对攻击、失陷主机进行处理的处置组,首先可借助 护道 RASP攻击日志给出的详细信息,定位到具体主机位置,进行进一步主机隔离处置。对于不适合隔离、需要保持上线状态的重要应用,可以借助 护道RASP 的“应用热修复”功能,自定义编写流量阻断规则,应用运行时动态下发。
溯源组结合研判组与处置组给出的攻击分析,借助护道RASP 攻击日志中记录的攻击来源 IP 等信息,能够更轻松地溯源攻击链路以及攻击者。
(1)拦截告警、异常流量监控
快速提升在线防护能力
●攻击拦截告警
部分攻击能够绕过应用外部的防火墙等安全防护措施,攻击应用本身。
面对这种情况,护道RASP技术可以快速的将安全防御功能整合到正在运行的应用程序中,它拦截从应用程序到系统的所有调用,确保它们是安全的,并直接在应用程序内验证数据请求。该技术无需对现有代码进行修改,因为护道RASP的检测和保护功能是在应用程序运行的系统上运行的。
护道RASP检测到攻击后会触发安全引擎进行防御、拦截攻击,使攻击流量跳转到指定URL页面或返回应答码。攻击信息会被上报,平台将展示攻击详情信息,包括攻击类型、url、攻击来源、所属服务器、请求信息、调用栈等信息,并给出修复建议。此外,平台支持告警,通过邮件、站内信、钉钉告警、飞书告警等形式,通知相关人员进行相关研判和处理。相关人员若将该流量判定为存在风险,可将该风险来源IP 加入IP黑名单,禁止此IP访问应用。
●异常流量
在护网的场景中,护道RASP一般通过在风险函数Hook 点上监控是否存在威胁行为来实现攻击的检测和拦截。部分异常流量可能带有明显的威胁特征,但不在风险函数Hook点上触发威胁行为。
针对这部分异常流量,护道RASP能够实时监控异常的HTTP/HTTPS请求对应用的访问、记录生产环境存在风险的流量,并将异常流量详情上报后台,以进行系统风险评估。此外,还支持对加密的风险Payload进行解析。用户若将该流量判定为存在风险,可将该风险来源 IP加入IP黑名单,禁止此IP访问应用。
(2)CVE漏洞精确定位
全面提升漏洞修复能力
●攻击关联CVE漏洞
通过护道RASP检测并拦截了攻击后, 用户处理攻击难。一是难以定位到攻击利用的漏洞,二是难以修复漏洞。为此本版本推出攻击关联CVE漏洞功能,实现攻击修复闭环。
对于一次攻击,护道RASP能够精确定位到攻击所利用的组件 CVE漏洞。针对该 CVE 漏洞,展示所属组件详情、推荐修复版本,方便用户通过替换组件版本至安全版本来解决问题。此外,还提供特色功能:漏洞虚拟补丁,方便用户通过在线打补丁的形式迅速修复漏洞。
●CVE漏洞虚拟补丁
组件修复一般通过升级组件至安全版本来实现,但对于组件数庞大且年代久远、组件版本过旧的项目,替换组件版本可能会因为组件版本跨度过大,产生组件兼容性问题。或因为开源社区不再维护该组件版本,导致组件漏洞难以修复,应用不得已只能带病上线。
面向上述场景,轻量护道RASP能够进行线上防护,针对特定CVE 漏洞进行热补丁修复/防护。用户通过下载安装组件防护Agent来加载插件(针对特定CVE漏洞防御或修复功能的插件),实现对CVE 漏洞的运行时防护/修复。
基于插桩代理结合虚拟补丁技术,护道RASP检测到应用程序中使用的开源组件存在的已知安全漏洞时,虚拟补丁技术通过修改应用程序的运行时行为来修复漏洞。也可以在应用程序执行过程中,通过拦截对漏洞相关的函数调用或数据操作,并进行适当的修改,来阻止攻击者利用该漏洞进行攻击,提供持续的保护。实现在不影响业务系统情况下,对特定组件漏洞精准防御,解决为修复漏洞而替换组件版本可能带来的兼容性问题。
(3)四大关键举措
应急处置能力再上新台阶
●关键文件异常监控
攻防场景下,入侵者经常通过修改系统关键文件来清除他们的存在痕迹、创建持久的访问点或执行恶意操作(如注入恶意代码)。护道RASP能够监控系统关键文件是否被改动,帮助防护方及时发现入侵并跟踪攻击行为,并进一步判断系统是否存在失陷风险。
●系统失陷告警
关键文件,如定时任务、密码文件、关键动态文件等,在通常情况下不会轻易更改,当检测到此类高危的系统关键文件更改时,后台进行系统失陷告警。
●对接远程日志管理平台
护道RASP能够与远程日志管理平台或风险告警平台对接,远程推送应用访问日志、RASP防护告警日志,将相关信息集成至风险告警平台中进行风险告警
●应用热修复
针对已上线的重要应用系统,当发现存在重大漏洞且在短时间内难以修复时,可以借助 护道RASP Agent自定义编写、下发虚拟补丁,实现即时修复,同时不中断业务,为应用系统提供临时防护,为漏洞修复争取宝贵的时间。
(三)事后:综合分析、风险溯源
护网结束后,对于参加护网的互联网应用,可一键退出攻击防护状态,将所涉应用防护策略修改为“业务优先”模式。
在后续复盘过程中,护道RASP记录的攻击日志、攻击事件分析能够为复盘总计提供详细信息,攻击数据模块更是可视化展示了系统收攻击的趋势曲线图。 护道RASP攻击关联性分析大屏和攻击回溯大屏以图表、曲线的形式形象化地进行数据梳理。
●攻击事件分析
攻击事件是基于相同攻击日志IP 、以半小时的时间跨度为基础的攻击日志汇聚。对攻击事件进行筛选分析,可以方便地分析出攻击趋势、脆弱应用修复的优先级,支持查看攻击的详细数据,包括产生时间、类型和攻击URL等,以及应用安全针对该攻击所采取的处理方式。
●防护数据统计
防护数据统计模块统计分析了系统的总攻击量、攻击增长趋势、攻击风险等级分布等内容。通过可视化图表的方式,方便防守方判断整体安全形势。
●攻击数据大屏
平台提供了安全事件分析大屏、攻击关联性分析大屏、攻击来源回溯大屏,能够在护网行动的事中阶段提供实时、动态的攻击监控、直观的分析数据;在护网行动的事后阶段提供总体复盘依据。
关于安全玻璃盒:
安全玻璃盒【杭州孝道科技有限公司】是一家专注于为用户提供软件供应链安全产品和解决方案的国家高新技术企业、省级专精特新企业。公司已拥有三十余项技术发明专利和七十余项自主软件著作权,通过基于AI模型和卷积神经网络,自主研发了全链路智能动态污点分析、函数级智能基因检测与自动化验证等核心技术与产品,为用户提供DevSecOps安全开发解决方案、软件供应链安全一体化解决方案、上线即安全与免疫防御解决方案、基于SBOM开源软件供应链安全情报与治理、软件供应链安全安全检查评估工具等。目前已覆盖各大关键基础设施行业的TOP级用户,同时也服务了亚运会软件供应链安全检查、关键基础设施用户软件供应链安全专项检查等技术支撑工作。
