。

那么在当今高强度攻防对抗的大场景下#xff0c;RASP作为最后一道防线#xff0c;不论是从高危…在“软件供应链安全工具链研究系列—RASP自适应威胁免疫平台-上篇”中我们提到了RASP工具的基本能力、原理以及工具的应用场景了解到了RASP工具在各场景下发挥的价值。

那么在当今高强度攻防对抗的大场景下RASP作为最后一道防线不论是从高危漏洞修复还是应对高级攻击技术都有着更高的要求。

1.1

RASP在为应用系统赋予威胁免疫能力的同时也应具备临时修复漏洞的能力即虚拟补丁技术。

当应用的中间件或应用代码中出现重大0day漏洞且官方针对该漏洞暂未修复特别是对大型复杂系统不允许对应用系统进行重启的情况下虚拟补丁技术能够及时对漏洞止血大大降低漏洞逃逸时间防止因为官方发布修复方案延迟造成重大损失。

通过添加规则、请求内容判断等措施在短时间内完成整个企业、全部应用服务的安全加固与漏洞临时修复。

针对老系统维护问题有些企业的历史比较悠久其使用的信息系统的上线时间比较早有时候并非没有发现问题而是因为系统老旧发现了问题却无从下手无法从代码层面进行整改风险较大此时RASP的虚拟补丁可以很好的解决此类问题同时也为企业降低风险以及问题修复成本。

1.1.2

Webshell是黑客以及在护网场景下的攻击对常用的入侵手段用来获取对应用服务器的某些操作权限当攻击者成功上传Webshell后可以在应用服务器上执行敏感命令、窃取数据、植入木马病毒危害极大。

而且随着攻击技术的不断演进Webshell通讯隐蔽性极强多采用加密手段进行通讯传统的依靠流量检测的安全设备极难发现。

那么当流量侧检测失效时RASP应该作为最后一道防线进行防御。

针对大马、小马、一句话木马

此类Webshell依赖文件上传、写入等操作实现RASP通过插桩和语义分析技术当恶意文件落地或执行时可实现Webshell精准拦截。

由于RASP工作在应用运行时环境相对于流量侧检测安全设备RASP可以直接获取到解密后的流量无需考虑加解密场景和伪装和变形的流量。

只需要根据根据对应语言设计对应的识别参数只要用户请求中包含此类逻辑并且设计到黑名单函数即可进行精准拦截。

针对内存马

内存马相对于常规的Webshell更容易逃避安全设备的检测以Java内存马为例主要有以下两种类型

基于中间件和框架实现基于Servlet或Spring等框架封装过的Servlet进行利用

基于Java

1.5新加入的特性通过jar包或构造InstrumentationImpl类进行利用

对于方式一和构造InstrumentationImpl类的内存马它需要先利用

RCE例如log4j2等反序列化、JNDI注入漏洞。

对于jar包利用则需要先上传agent.jar。

1常见敏感类监控

*javax.servlet.ServletRequestListener

etc.

其实无论是传统webshell还是隐匿性更强的内存马来说最终目的都是获取权限、获取敏感数据。

RASP

等进插桩只要触发了敏感行为探测逻辑RASP可以在第一时间进行拦截并上报。

1.1.3

开源安全是一个老生常谈的话题研发过程中大量使用开源库却很少对它们进行安全测试。

大概是被偏爱的有恃无恐存在于开源中的安全漏洞总会突然跳出来给大家当头一棒。

RASP应保护程序免受因为开源组件缺陷而引入的安全风险。

注入或跨站点脚本

(XSS)RASP可通过例如CVE、CNVD、CNVVD等漏洞库、自身漏洞防护策略阻止开源组件漏洞被利用。

1.2

在企业安全建设中通常不会只关注核心业务服务器这一个点在历年的攻防演练中可以发现从供应链软件、日常办公系统甚至食堂系统都可能是攻击队入侵的主要节点再由此类失陷节点逐步向内渗透插旗因为此类系统处于内网中防护能力相对薄弱横向渗透限制较少所以综上来看一些看似不重要的节点或系统更容易被利用所以可以通过结合RASP的告警信息或者策略模板将一些安全策略、防护思路推送给其他节点的WAF、或者防火墙产品来进行一定程度的安全能力补充将RASP的安全防护能力充分的扩散到各个区域。

另一方面RASP的探针是植入在应用中共享业务服务器的性能和资源而RASP的探针分析请求也是在消耗服务器的资源。

当请求或者恶意请求、恶意扫描等流量到达服务器时RASP探针会对这些请求进行逐个分析和判断恶意流量还需要去做阻断行为的动作此时对服务器资源会有一定程度的消耗若服务器本身性能较低还会很大程度增加业务延迟风险所以节省服务器资源也是比较重要的一点那么RASP可以做的就是尽量减少对请求的处理例如恶意扫描类、爆破类、爬虫类攻击行为在前端的WAF、IPS/IDS就可以很好的解决而且WAF类产品通常都是一个独立的节点性能相对更高。

另外针对这几类攻击的策略相对便于生成RASP可以结合流量或实际攻击行为将策略条目、判断关键字推送到前端WAF、IPS类产品由他们去做该类攻击的防护这样可以减轻服务器端RASP探针的性能压力保障业务优先的同时RASP探针可以有更多的精力去对抗0day和其他复杂漏洞。

1.3.1

众所周知RASP针对漏洞利用的防御能力是非常强悍的但是目前RASP针对攻击的溯源能力还是比较欠佳从目前每年的公安部护网行动来看防守方从最开始的被动挨打慢慢的演变成对攻击队进行溯源反制可以发现溯源在常态化攻防中变得尤为重要蜜罐等产品的诞生也可以体现溯源的重要性。

那么RASP在未来也可以更多的参与到攻击溯源中来而不是简单的对攻击进行阻断防护。

溯源显然不是可以单独依靠一个产品来解决的事情毕竟攻防是多维度的而不是线性的但是RASP可以根据策略类型及告警类型打造自己的攻击链条/画像给客户展示例如可以参考攻防杀伤链来展示攻击告警当RASP发现以同一源IP发起的多次攻击时可根据该IP的攻击行为梳理出攻击行为画像。

举个例子RASP通过监控应用发现某个源IP对本应用发起多次URL目录枚举并在多个URL下存在上传文件行为而且有横向网络探测行为那么根据这些零碎的攻击行为可以大致梳理成一条攻击路径展示给客户有助于用户溯源。

2.RASP实践案例

相较于现有技术该用户引入RASP后用于防护数字化银行业务应用的注入攻击、跨站攻击以及Webshell攻击等本项目改进后主要能够取得如下提升

1防护效率的提升不同于现有防护设备的盲目的规则匹配RASP对业务应用内部的关键函数进行防护在这些关键函数执行之前添加安全检查得到的参数都是经过变形还原后的、真实的请求数据安全防护的效率大大提升。

2覆盖度的扩充RASP主要应用于新时代金融业务应用的安全监测通过可注入的业务应用能处理绝大多数的网络协议HTTP、HTTPS、AJAX、SQL

Web

结合该银行内部自动化发布平台将RASP探针自动化发布至业务环境中完成业务迭代测试、生产上线的全自动化安全防护以此方式完成了产险业务应用出厂的安全自我免疫大幅度降低了业务应用的安全运营风险。

2.4

在网络攻防演练中Web攻击始终是主流的攻击手段同时云原生、AI等新技术的不断应用更多复杂的攻击手段应运而生。

对于防守方而言不能单纯依赖于无法看到应用程序内部威胁的流量嗅探边界IPS/IDS、WAF的解决方案而是需要一种更有效的方法以更高的可见性监控安全事件。

RASP工具将防护引擎嵌入到应用内部可以在不依赖请求特征的情况下准确的识别代码注入、反序列化等应用异常弥补了传统防护工具的缺失同时又可以对威胁事件进行实时监控和响应利于在攻防对抗中及时进行策略调整及时应对。

紧急漏洞防御:

0day漏洞是比较常见且难以防御的一类威胁一旦被发现将对系统造成不可估量的损失。

RASP位于应用程序内部在运行时根据应用程序代码的上下文检查请求负载以确定请求是正常请求还是恶意请求可以通过自身免疫更好应对此类安全威胁。

高级威胁防御:

随着新技术不断发展和网络安全防护措施不断加强攻击者的攻击手段也呈现跃迁式升级。

像无文件攻击、WebShell攻击、内存马攻击等攻击手段不断被应用而传统的安全防护工具容易被绕过。

RASP基于行为分析技术通过行为分析、污点追踪的检测方法可以对此类攻击事件进行实时监测发现威胁数据源做好安全防御。

2.5

Self-Protection是一种植入到应用程序内部或其运行时环境的安全技术。

它能够控制应用程序的执行流程并且可以实时检测和阻止漏洞攻击行为。

该技术可以用来通过自我保护的措施来阻止相关网络攻击或在没有人为干预的情况下自动重新配置环境以此来解决特定网络问题威胁故障等。

RASP中的防护得益于可以站在程序内部对行为进行监控和拦截使得有着攻击高检出、低误报的能力。

对于加密流量、攻击混淆、绕过的检测也有得天独厚的优势。

国内RASP工具推荐

悬镜云鲨RASP自适应威胁免疫平台作为悬镜安全第三代DevSecOps数字供应链安全管理体系中运营环节的持续检测响应平台通过专利级AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术将主动防御能力“注入”到业务应用中借助强大的应用上下文情景分析能力可捕捉并防御各种绕过流量检测的攻击方式提供兼具业务透视和功能解耦的内生主动安全免疫能力为业务应用出厂默认安全免疫迎来革新发展。

核心能力

技术在应用运行过程中实时获取所调用的第三方组件信息包括组件名称、版本、路径

等并能获取到调用组件的具体方法、传入参数和返回值等运行时上下文数据帮助企业全面准确地掌握应用中的第三方组件资产为后续的组件管理、风险评估和合规审计等工作提供重要基础。

攻击检测及溯源

段代码进行检测实时监测非法操作和攻击行为毫秒级告警攻击事件、阻断恶意攻

击通过分析被攻击应用程序与内网流量还原攻击者的攻击路径与攻击手法、记录攻击特征实现对未知

API