信息技術(shù)的高速發(fā)展所帶來(lái)的機(jī)遇與風(fēng)險(xiǎn)并存，Web應(yīng)用、API網(wǎng)關(guān)逐漸成為黑客入侵的主要入口。數(shù)據(jù)顯示，2021年，超八成網(wǎng)絡(luò)攻擊都是針對(duì)應(yīng)用層面的漏洞展開(kāi)的，除了企業(yè)自研代碼本身的缺陷外，通過(guò)軟件供應(yīng)鏈引入的缺陷是攻擊者的新“寵兒”。例如2021年末的“核彈級(jí)”Apache Log4j 2的RCE漏洞，幾乎波及了 90% 的Java應(yīng)用。針對(duì)越發(fā)隱避、多變的攻擊手段，傳統(tǒng)基于流量特征分析的網(wǎng)絡(luò)安全防護(hù)設(shè)備已經(jīng)顯得“力不從心”，企業(yè)安全團(tuán)隊(duì)已經(jīng)疲于應(yīng)對(duì)各類0day漏洞，和為不斷新增的漏洞打補(bǔ)丁、增加安防設(shè)備規(guī)則。

　　因此，現(xiàn)代應(yīng)用需要安全防護(hù)“左移”，推動(dòng)安全戰(zhàn)略從“傳統(tǒng)基于邊界防護(hù)的安全”向“面向應(yīng)用現(xiàn)代化的內(nèi)生安全”模式轉(zhuǎn)變。

　　運(yùn)行時(shí)應(yīng)用程序自我保護(hù)（Runtime Application Self-Protection, RASP）作為降低應(yīng)用風(fēng)險(xiǎn)的一項(xiàng)關(guān)鍵技術(shù)，通過(guò)應(yīng)用程序運(yùn)行時(shí)的內(nèi)部數(shù)據(jù)來(lái)發(fā)現(xiàn)和攔截攻擊，對(duì)解決上述行業(yè)痛點(diǎn)，助力企業(yè)數(shù)字化轉(zhuǎn)型，推動(dòng)實(shí)現(xiàn)產(chǎn)品創(chuàng)新、供應(yīng)鏈優(yōu)化、業(yè)務(wù)模式創(chuàng)新和提升用戶體驗(yàn)具有重要作用，故發(fā)布本期牛品推薦——懸鏡安全：云鯊 RASP 自適應(yīng)威脅免疫平臺(tái)。

　　標(biāo)簽

　　01

　　運(yùn)行時(shí)安全切面、0day防御、DevSecOps、應(yīng)用出廠安全內(nèi)建、第三方組件安全防護(hù)、應(yīng)用安全自防御

　　用戶痛點(diǎn)

　　02

　　一、非法攻擊識(shí)別難度大

　　不同應(yīng)用程序漏洞類別不同，攻擊者會(huì)采用特定的攻擊加以利用，相同的HTTP請(qǐng)求對(duì)于不同的程序來(lái)說(shuō)可謂是“甲之蜜糖乙之砒霜 ”，這使得基于傳統(tǒng)規(guī)則的安全防護(hù)產(chǎn)品難以滿足用戶日益增長(zhǎng)的多場(chǎng)景、多類別漏洞識(shí)別需求。

　　二、傳輸協(xié)議多元化

　　現(xiàn)代應(yīng)用程序使用的格式和協(xié)議復(fù)雜，需要面對(duì)諸如 JSON、XML、序列化對(duì)象和自定義二進(jìn)制等多種格式。請(qǐng)求指令不僅只有HTTP，還包括WebSocket等在內(nèi)的個(gè)性化協(xié)議，傳統(tǒng)的WAF難以對(duì)傳輸協(xié)議做到完全支持。

　　三、實(shí)際應(yīng)用場(chǎng)景多樣化

　　軟件行業(yè)發(fā)展迅速，容器、IaaS、PaaS、虛擬和彈性環(huán)境激增。在不同環(huán)境下，快速部署應(yīng)用程序和API成為用戶的核心要求；DevOps大行其道也進(jìn)一步加快了集成、部署和交付的速度，因此，需要獨(dú)立部署的WAF存在“致命”弱點(diǎn)，即不能滿足用戶實(shí)用場(chǎng)景下的靈活性需求。

　　四、供應(yīng)鏈安全威脅嚴(yán)峻

　　當(dāng)下，軟件開(kāi)發(fā)不再是閉門(mén)造車(chē)，開(kāi)發(fā)過(guò)程會(huì)引入大量的第三方組件和代碼。但這一發(fā)展變化也增加了安全隱患，第三方組件多由社區(qū)維護(hù)，魚(yú)龍混雜，安全漏洞往往不能被及時(shí)發(fā)現(xiàn)和修復(fù)，供應(yīng)鏈安全威脅日益嚴(yán)峻。

　　五、傳統(tǒng)防御措施效果差

　　傳統(tǒng)WAF會(huì)在網(wǎng)絡(luò)流量到達(dá)應(yīng)用程序服務(wù)器之前對(duì)其進(jìn)行分析，完全獨(dú)立于應(yīng)用程序進(jìn)行工作。這種“在門(mén)外處理”的方式，無(wú)法真正核實(shí)請(qǐng)求的合法性，漏殺錯(cuò)殺成為常態(tài)，因此管理員只能使其處于“日志模式”。

　　故而企業(yè)組織亟需一款能夠依據(jù)應(yīng)用程序運(yùn)行時(shí)上下文、從應(yīng)用程序內(nèi)部視角出發(fā)、不依賴流量特征分析、基于行為特征分析的應(yīng)用安全威脅自我免疫平臺(tái)。

　　解決方案

　　03

　　一、云鯊RASP介紹

　　懸鏡的云鯊RASP是一款自適應(yīng)威脅免疫平臺(tái)，基于運(yùn)行時(shí)情景感知技術(shù)可以精準(zhǔn)識(shí)別應(yīng)用運(yùn)行時(shí)存在的漏洞，并進(jìn)行深度風(fēng)險(xiǎn)分析，保障軟件安全運(yùn)行。

　　同時(shí)，云鯊RASP提供IAST以及Runtime-SCA 解決方案，從研發(fā)、測(cè)試再到生產(chǎn)使用同一探針通過(guò)不同模式即可實(shí)現(xiàn)不同場(chǎng)景的用戶需求。例如在研發(fā)、測(cè)試階段，將產(chǎn)品切換到IAST模式，即可提供高精度的應(yīng)用安全測(cè)試結(jié)果和第三方組件的依賴清單、已知漏洞、許可證等信息；在生產(chǎn)環(huán)節(jié)，將產(chǎn)品轉(zhuǎn)換為RASP模式，即可為應(yīng)用程序提供0day漏洞防護(hù)。探針與應(yīng)用系統(tǒng)的兼容性已經(jīng)在測(cè)試流程中通過(guò)驗(yàn)證。

　　二、云鯊RASP部署架構(gòu)

　　云鯊RASP部署架構(gòu)

　　如上圖所示，云鯊RASP采用B/S架構(gòu)部署，主要包括Agent、 Agent Server和Web Server三個(gè)組件，XShark Agent處理并收集上報(bào)應(yīng)用程序運(yùn)行時(shí)數(shù)據(jù)；Agent Server進(jìn)行 Agent統(tǒng)一管控和數(shù)據(jù)預(yù)處理；Web Server 提供可視化操作界面以及數(shù)據(jù)分析與展示。所有組件均可集群化部署，并支持高可用。

　　防護(hù)案例

　　04

　　以Apache Log4j 2 RCE漏洞為例，介紹云鯊RASP如何防御0Day漏洞。如下圖所示，Log4j 2漏洞利用過(guò)程包括5個(gè)步驟：

　　Step1：攻擊者首先通過(guò)瀏覽器、Postman等工具構(gòu)造包含 ${jndi:xxxx} 的惡意請(qǐng)求包；

　　Step2：Java應(yīng)用程序接收到該請(qǐng)求，并通過(guò)Log4j-core-2.x進(jìn)行日志記錄；

　　Step3：Log4j 2在處理日志時(shí)，發(fā)現(xiàn)了${}包裹的JNDI請(qǐng)求，于是直接解析該請(qǐng)求，向攻擊者事先準(zhǔn)備好的服務(wù)器發(fā)送請(qǐng)求；

　　Step4：攻擊者事先準(zhǔn)備好的服務(wù)器中包含了惡意代碼，當(dāng)接收到請(qǐng)求時(shí)會(huì)將惡意代碼通過(guò)響應(yīng)返回給請(qǐng)求者；

　　Step5：Log4j 2反射并解析該惡意代碼，最終導(dǎo)致被攻擊。

　　在傳統(tǒng)的流量側(cè)防御設(shè)備中，通常是在步驟1階段進(jìn)行流量關(guān)鍵字匹配。但由于0Day漏洞沒(méi)有相關(guān)特征規(guī)則，很難進(jìn)行預(yù)測(cè)性的防御，通常只能在收集到威脅情報(bào)后做應(yīng)急補(bǔ)丁響應(yīng)。云鯊RASP工作在應(yīng)用運(yùn)行環(huán)境中，可以同時(shí)覆蓋到企業(yè)的自研代碼、第三方組件以及Web應(yīng)用容器。當(dāng)攻擊發(fā)生時(shí)，能結(jié)合應(yīng)用程序上下文進(jìn)行精準(zhǔn)攔截。在上述步驟3中，“應(yīng)用程序沒(méi)有對(duì)用戶輸入的參數(shù)做額外校驗(yàn)就直接向外部服務(wù)器發(fā)起了請(qǐng)求”這個(gè)行為將會(huì)觸發(fā)云鯊RASP防護(hù)規(guī)則，并上報(bào)SSRF（服務(wù)端請(qǐng)求偽造）攻擊事件。另外，在步驟5中，應(yīng)用程序直接通過(guò)反射執(zhí)行來(lái)自外部服務(wù)器的代碼，若其中包含敏感命令或敏感文件的訪問(wèn)，這個(gè)行為將會(huì)觸發(fā)云鯊RASP反射型命令執(zhí)行規(guī)則，并進(jìn)行攔截和告警。

　　云鯊RASP檢測(cè)漏洞的原理是從應(yīng)用程序運(yùn)行時(shí)環(huán)境出發(fā)，基于特殊行為進(jìn)行分析判斷，不依賴請(qǐng)求特征。不論請(qǐng)求結(jié)構(gòu)如何變形，只要最后觸發(fā)到敏感操作，就會(huì)被檢測(cè)到，因此可以防御0Day漏洞。

　　盡管云鯊RASP相對(duì)于傳統(tǒng)的邊界防護(hù)設(shè)備有一定的優(yōu)勢(shì)，但應(yīng)用運(yùn)行時(shí)環(huán)境的插樁是一把雙刃劍，在為應(yīng)用程序提供保護(hù)的同時(shí)，也會(huì)占用一定的系統(tǒng)開(kāi)銷(xiāo)。因此云鯊RASP不適合進(jìn)行復(fù)雜的計(jì)算和分析任務(wù)，目前階段仍無(wú)法完全替代傳統(tǒng)的邊界防護(hù)設(shè)備。所以當(dāng)下更好的方案是RASP與傳統(tǒng)邊界防護(hù)設(shè)備相互補(bǔ)充，形成全方位的保護(hù)體系。

　　產(chǎn)品特點(diǎn)

　　05

　　一、用戶友好，縮減成本

　　云鯊RASP采用AI檢測(cè)引擎、應(yīng)用攻擊漏洞免疫算法、運(yùn)行時(shí)安全切面調(diào)度算法以及縱深流量學(xué)習(xí)算法等技術(shù)，并結(jié)合應(yīng)用程序上下文情景分析能力，將主動(dòng)防御能力運(yùn)用到實(shí)際業(yè)務(wù)場(chǎng)景之中。用戶在日常使用時(shí)，無(wú)需配置流量檢測(cè)規(guī)則、沒(méi)有學(xué)習(xí)過(guò)程、也無(wú)需設(shè)定黑名單，進(jìn)一步為企業(yè)安全團(tuán)隊(duì)節(jié)省產(chǎn)品運(yùn)行維護(hù)成本。

　　二、內(nèi)生安全，檢測(cè)精準(zhǔn)

　　云鯊RASP的探針以附加形式與應(yīng)用程序一起運(yùn)行，無(wú)需額外修改現(xiàn)有代碼邏輯，并從應(yīng)用內(nèi)部視角出發(fā)，結(jié)合應(yīng)用運(yùn)行時(shí)上下文，精準(zhǔn)研判真正的風(fēng)險(xiǎn)行為，提供兼具業(yè)務(wù)透視和業(yè)務(wù)代碼解耦的內(nèi)生主動(dòng)安全防御能力。

　　三、兼容性強(qiáng)，無(wú)縫銜接

　　云鯊RASP兼容Java、Python、PHP等主流開(kāi)發(fā)語(yǔ)言，部署上能兼容物理機(jī)、虛擬機(jī)、微服務(wù)、容器化以及云原生等技術(shù)，能與多種開(kāi)發(fā)運(yùn)行環(huán)境實(shí)現(xiàn)無(wú)縫接入。

　　四、應(yīng)用場(chǎng)景豐富

　　云鯊RASP覆蓋面廣，可廣泛應(yīng)用于包括但不僅限于金融、能源、電商、泛互聯(lián)網(wǎng)、汽車(chē)制造等行業(yè)的DevSecOps敏捷安全體系建設(shè)、軟件供應(yīng)鏈風(fēng)險(xiǎn)治理等體系場(chǎng)景。

　　典型應(yīng)用場(chǎng)景

　　06

　　以下從安全運(yùn)營(yíng)、企業(yè)Web防護(hù)、應(yīng)用安全、攻防演練4個(gè)方面進(jìn)行典型應(yīng)用說(shuō)明。

　　一、安全運(yùn)營(yíng)：

　　在敏捷開(kāi)發(fā)運(yùn)營(yíng)環(huán)境下，云鯊RASP可以為不同團(tuán)隊(duì)提供定制化界面，在不同團(tuán)隊(duì)間共享同一數(shù)據(jù)源，實(shí)現(xiàn)企業(yè)研發(fā)、運(yùn)維、安全團(tuán)隊(duì)之間的通力合作，降低溝通成本。例如，當(dāng)項(xiàng)目要求快速迭代時(shí)，應(yīng)用上線前可能來(lái)不及修復(fù)所有漏洞。為了項(xiàng)目交付和業(yè)務(wù)安全上線，安全團(tuán)隊(duì)可以通過(guò)云鯊RASP的“熱補(bǔ)丁”技術(shù)，修補(bǔ)應(yīng)用的缺陷和安全漏洞；

　　云鯊RASP安全運(yùn)營(yíng)

　　運(yùn)維/持續(xù)交付：云鯊內(nèi)嵌了詳盡的探針部署指南，運(yùn)維人員可以根據(jù)企業(yè)內(nèi)業(yè)務(wù)部署模式和架構(gòu)，選擇合適的方案進(jìn)行部署；

　　安全運(yùn)營(yíng)團(tuán)隊(duì)：云鯊RASP不依賴流量特征，而是基于特定行為進(jìn)行分析，進(jìn)一步降低誤報(bào)，同使防護(hù)規(guī)則更加精簡(jiǎn)高效；

　　研發(fā)團(tuán)隊(duì)：云鯊RASP結(jié)果報(bào)告中不僅包括攻擊事件的完整URL，還包括函數(shù)調(diào)用棧、相關(guān)代碼文件，以及行號(hào)，可協(xié)助開(kāi)發(fā)人員精準(zhǔn)定位缺陷位置。同時(shí)，云鯊RASP提供完整的漏洞知識(shí)庫(kù)，包括缺陷產(chǎn)生的原因、危害、防治方法以及源代碼示例，可協(xié)助研發(fā)人員快速修復(fù)問(wèn)題。

　　二、企業(yè)Web防護(hù)：

　　在企業(yè)Web應(yīng)用日常防護(hù)中，云鯊RASP可以區(qū)分不同的業(yè)務(wù)場(chǎng)景，提供數(shù)據(jù)分析能力，并可自動(dòng)繪制圖表呈現(xiàn)應(yīng)用程序的風(fēng)險(xiǎn)詳情。

　　三、應(yīng)用安全：

　　當(dāng)應(yīng)用安全遭遇威脅時(shí)，在應(yīng)用安全遭遇威脅時(shí)，云鯊RASP可以將自身安全保護(hù)代碼嵌入到運(yùn)行中服務(wù)器的應(yīng)用程序上，通過(guò)對(duì)訪問(wèn)應(yīng)用系統(tǒng)的每一段代碼進(jìn)行檢測(cè)，實(shí)時(shí)檢測(cè)所有的應(yīng)用請(qǐng)求并有效阻斷安全攻擊，最終實(shí)現(xiàn)應(yīng)用系統(tǒng)的自我保護(hù)，確保應(yīng)用系統(tǒng)的安全運(yùn)行。

　　四、攻防演練：

　　在攻防演練場(chǎng)景中，由于當(dāng)前藍(lán)方陣營(yíng)武器庫(kù)大多運(yùn)行在網(wǎng)絡(luò)層、傳輸層和應(yīng)用層，因此難以針對(duì)業(yè)務(wù)場(chǎng)景制定規(guī)則，存在誤報(bào)、漏報(bào)問(wèn)題。云鯊RASP可以在不依賴請(qǐng)求特征的情況下，在應(yīng)用內(nèi)部進(jìn)行分析，精準(zhǔn)截獲真正具有風(fēng)險(xiǎn)的操作。并且對(duì)于“偽裝”、“變種”的攻擊手段依然能夠保證有效性。

　　用戶反饋

　　07

　　做好DevSecOps敏捷安全體系建設(shè)，配套工具鏈技術(shù)的支撐非常重要。懸鏡云鯊RASP自適應(yīng)威脅免疫平臺(tái)作為一種新興應(yīng)用安全防護(hù)解決方案，在落地實(shí)踐過(guò)程中體現(xiàn)出了高檢出率、低誤報(bào)率及柔和嵌入現(xiàn)有DevOps體系等創(chuàng)新性，可為業(yè)務(wù)系統(tǒng)提供出廠安全內(nèi)建。

　　——某金融行業(yè)客戶

　　云鯊RASP解決了外采第三方應(yīng)用的安全問(wèn)題，無(wú)需修改代碼、無(wú)需配置復(fù)雜規(guī)則，同時(shí)也能覆蓋開(kāi)源組件的安全。

　　——某政企行業(yè)客戶

　　懸鏡安全“代碼疫苗”技術(shù)讓?xiě)?yīng)用安全測(cè)試（AST）、軟件成份分析（SCA） 和運(yùn)行時(shí)應(yīng)用自我保護(hù)（RASP） 通過(guò)一個(gè)探針全部完成，極大簡(jiǎn)化了 DevOps 工具鏈集成難度，讓?xiě)?yīng)用的構(gòu)建和發(fā)布更加的安全、快速。

　　——某互聯(lián)網(wǎng)行業(yè)客戶

　　安全牛評(píng)

　　盡管開(kāi)發(fā)流程的安全管控、黑白盒測(cè)試等安全左移方案在逐漸使應(yīng)用程序變得健壯，但經(jīng)驗(yàn)證明，無(wú)論上線前的測(cè)試再怎樣充分都經(jīng)不住時(shí)間考驗(yàn)，都會(huì)隨著技術(shù)演進(jìn)暴露出各種脆弱性，特別是利用應(yīng)用開(kāi)發(fā)引擎漏洞的提權(quán)攻擊已成為高級(jí)威脅攻擊的殺手锏。但應(yīng)用程序的生命周期不會(huì)隨漏洞的出現(xiàn)而終止，應(yīng)用程序在運(yùn)行時(shí)需要更細(xì)粒度的安全防護(hù)。RASP通過(guò)對(duì)應(yīng)用開(kāi)發(fā)引擎的行為分析，透視應(yīng)用運(yùn)行中指令解析和接口調(diào)用時(shí)的漏洞利用風(fēng)險(xiǎn)，從空間維度看確實(shí)可以彌補(bǔ)傳統(tǒng)WEB應(yīng)用防護(hù)向下檢測(cè)能力的不足，同時(shí)又填補(bǔ)了應(yīng)用軟件架構(gòu)開(kāi)發(fā)中的一個(gè)安全空白區(qū)。