《數(shù)字安全藍(lán)皮書》明確了運(yùn)行時(shí)應(yīng)用自保護(hù)(RASP)的定義�����、核心能力����、應(yīng)用場景等內(nèi)容��。
RASP定義
RASP(Runtime Application Self-Protection�����,運(yùn)行時(shí)應(yīng)用自保護(hù))指一種安全技術(shù)��,能被構(gòu)建或連接到應(yīng)用程序或應(yīng)用程序的運(yùn)行環(huán)境中�,并能夠控制應(yīng)用程序的執(zhí)行并實(shí)時(shí)檢測和防止攻擊。
核心能力
探針:根據(jù)不同計(jì)算機(jī)語言開發(fā)相對應(yīng)的探針���,如常見的 Java�、Golang���、Python���、PHP(頁面超文本預(yù)處理器)等計(jì)算機(jī)語言���。在不同語言中使用的探針是不同的,RASP依賴于向應(yīng)用程序注入的探針�,利用探針對不同語言虛擬機(jī)敏感方法進(jìn)行插樁,在進(jìn)行插樁之后就能獲取應(yīng)用程序執(zhí)行上下文及參數(shù)信息�。
高級威脅檢測:具備對0day漏洞、內(nèi)存馬等高級威脅的檢測技術(shù)和能力����。針對0day漏洞����,RASP對應(yīng)用程序中的關(guān)鍵執(zhí)行函數(shù)進(jìn)行監(jiān)聽,同時(shí)結(jié)合上下文信息進(jìn)行判斷��,因此能夠更加全面地覆蓋攻擊路徑��,進(jìn)而從行為模式層面�,對0day漏洞進(jìn)行有效感知,彌補(bǔ)傳統(tǒng)流量規(guī)則檢測方案無法實(shí)現(xiàn)的未知漏洞攻擊防御��。針對內(nèi)存馬,RASP首先可通過建立內(nèi)存馬檢測模型�����,持續(xù)檢測內(nèi)存中可能存在的惡意代碼�����,覆蓋大部分特征已知的內(nèi)存馬��。其次���,RASP可以對內(nèi)存馬注入可能利用到的關(guān)鍵函數(shù)進(jìn)行實(shí)時(shí)監(jiān)測����,從行為模式層面以“主被動(dòng)結(jié)合”的方式發(fā)現(xiàn)內(nèi)存馬����,以此覆蓋剩余的特征未知的內(nèi)存馬。
響應(yīng)阻斷與修復(fù):在應(yīng)用內(nèi)部�����,基于應(yīng)用訪問關(guān)系,梳理應(yīng)用的拓?fù)潢P(guān)系與數(shù)據(jù)流�,逐步形成應(yīng)用的安全運(yùn)行基線,降低在不同應(yīng)用區(qū)域間潛在的攻擊者橫向移動(dòng)風(fēng)險(xiǎn)�����。
應(yīng)用場景
攻防實(shí)戰(zhàn)演練
伴隨著演習(xí)經(jīng)驗(yàn)的不斷豐富�����,攻擊隊(duì)更加專注于應(yīng)用安全的研究����,在演習(xí)中經(jīng)常使用供應(yīng)鏈攻擊等迂回手法來挖掘出特定0day漏洞,由于攻防對抗技術(shù)不對等�,導(dǎo)致防守方經(jīng)常處于被動(dòng)劣勢。此時(shí)��,用戶可通過部署和運(yùn)營RASP���,搶占對抗先機(jī)。
演練前�����,可梳理應(yīng)用資產(chǎn),收斂潛在攻擊暴露面�。RASP可進(jìn)行應(yīng)用資產(chǎn)梳理,形成應(yīng)用資產(chǎn)清單���,明確應(yīng)用中間件的類型�����、運(yùn)行環(huán)境���、版本信息等關(guān)鍵信息。同時(shí)����,通過漏洞發(fā)現(xiàn)、基線安全等檢測功能����,結(jié)合修復(fù)加固手段對問題逐一整改,消除應(yīng)用安全隱患����,使應(yīng)用安全風(fēng)險(xiǎn)維持在可控范圍。
演練中�����,可持續(xù)檢測與分析,實(shí)現(xiàn)有效防御與溯源�����。RASP通過探針對應(yīng)用程序的訪問請求進(jìn)行持續(xù)監(jiān)控和分析����,結(jié)合應(yīng)用上下文和攻擊檢測引擎,使得應(yīng)用程序在遭受攻擊�,特別是0day、內(nèi)存馬等高級別攻擊時(shí)能夠?qū)崿F(xiàn)有效的自我防御��。另外���,RASP可以從多維度捕獲攻擊者信息���,聚合形成攻擊者畫像,同時(shí)溯源整個(gè)攻擊到防御的閉環(huán)過程�����。
演練后�,結(jié)合上下文信息,全面提高應(yīng)用安全等級��。RASP不僅關(guān)注攻擊行為中的指令和代碼本身����,還關(guān)注涉及到的上下文。因此安全人員可以通過RASP提供的調(diào)用堆棧信息等內(nèi)容�����,推動(dòng)研發(fā)人員進(jìn)行代碼級漏洞修復(fù)����,調(diào)整安全策略,進(jìn)行整體加固���,全面提高應(yīng)用安全等級�。同時(shí)�����,RASP支持攻擊事件統(tǒng)計(jì)分析和日志功能�����,幫助安全人員快速整理安全匯報(bào)材料,顯著地提升安全運(yùn)營工作效率�����。
業(yè)務(wù)在線修復(fù)
研發(fā)團(tuán)隊(duì)會(huì)引入第三方組件庫來加速軟件開發(fā)過程�,且在已知代碼存在安全風(fēng)險(xiǎn)的情況下,推入生產(chǎn)環(huán)境�,造成更多漏洞積壓,且上線后安全訴求因排期等問題無法修復(fù)�����。企業(yè)可部署RASP�����,設(shè)定符合組件漏洞特征的專屬漏洞補(bǔ)丁�����,無需業(yè)務(wù)重啟即可實(shí)現(xiàn)在線修復(fù)�。
邊界無限明星產(chǎn)品靖云甲ADR應(yīng)用檢測與響應(yīng)系統(tǒng)基于RASP技術(shù),以云原生為場景�����,以數(shù)據(jù)鏈路為核心�����,以流量安全����、API安全和數(shù)據(jù)安全作為安全能力切入點(diǎn),引入多項(xiàng)前瞻性的技術(shù)理念��,通過對應(yīng)用風(fēng)險(xiǎn)的持續(xù)檢測和安全風(fēng)險(xiǎn)快速響應(yīng)���,幫助企業(yè)應(yīng)對來自業(yè)務(wù)增長��、技術(shù)革新和基礎(chǔ)設(shè)施環(huán)境變化所產(chǎn)生的等諸多應(yīng)用安全新挑戰(zhàn)���,獲評RASP領(lǐng)航者的稱號可謂是實(shí)至名歸。
靖云甲ADR核心能力:
0day漏洞無規(guī)則防御��,采用RASP技術(shù)�,無需任何規(guī)則即可實(shí)現(xiàn)0day漏洞攔截,可天然免疫業(yè)界90%以上0day漏洞��。
內(nèi)存馬免重啟查殺:應(yīng)用內(nèi)存級別的內(nèi)存馬查殺�����,有效提高檢測效率和準(zhǔn)確性,無需重啟業(yè)務(wù)一鍵清除內(nèi)存馬�。
組件庫動(dòng)態(tài)采集管理:采用動(dòng)態(tài)捕獲技術(shù),在應(yīng)用運(yùn)行過程中自動(dòng)收集并展示第三方組件信息及調(diào)用情況����,實(shí)現(xiàn)供應(yīng)鏈資產(chǎn)的清點(diǎn)和管理。
API和敏感數(shù)據(jù)清點(diǎn):采用“流量+框架”的雙層檢測機(jī)制���,更細(xì)顆粒度地采集API資產(chǎn)�,并內(nèi)置敏感數(shù)據(jù)檢測模型��。
靖云甲ADR典型應(yīng)用場景:
攻防演練:在HW或?qū)崙?zhàn)����,靖云甲ADR可視為RASP2.0,以探針形式注入應(yīng)用�����,對內(nèi)存馬�、0Day漏洞這兩個(gè)最令人頭疼的問題,ADR的防護(hù)作用獨(dú)樹一幟�����。在演練場景或是實(shí)際攻防,如被內(nèi)存馬注入����,靖云甲ADR還可以作為清除內(nèi)存馬的應(yīng)急手段�����。
供應(yīng)鏈風(fēng)險(xiǎn)治理:不僅可以幫助用戶防護(hù)OA�����、財(cái)務(wù)系統(tǒng)�、報(bào)表、應(yīng)用集權(quán)和研發(fā)系統(tǒng)����、中間件等(如泛微、致遠(yuǎn)����、用友等)容易被攻擊的系統(tǒng),還可以加強(qiáng)開源組件庫風(fēng)險(xiǎn)治理�,洞悉應(yīng)用運(yùn)行時(shí)的組件調(diào)用關(guān)系�����,將組件漏洞分類分級���,為研發(fā)及第三方修補(bǔ)提供依據(jù)。
云上應(yīng)用安全防護(hù):適應(yīng)復(fù)雜IT環(huán)境��,實(shí)現(xiàn)統(tǒng)一管控策略�����,打破云邊界�,提高安全水平,應(yīng)用發(fā)布即可免疫0day漏洞�,確保發(fā)布即安全。
老舊業(yè)務(wù)風(fēng)險(xiǎn)治理:不需要任何代碼改動(dòng)的情況下將安全防護(hù)能力注入老舊業(yè)務(wù)中�,消除由于老舊代碼無人維護(hù),需要長期“負(fù)傷”運(yùn)行的安全風(fēng)險(xiǎn)����,特別是早期采購的業(yè)務(wù)系統(tǒng),往往出現(xiàn)沒有源碼難以自行維護(hù)的情況�����,ADR可以采用虛擬補(bǔ)丁技術(shù),保障老舊業(yè)務(wù)平穩(wěn)運(yùn)行�。
API安全水位提升:ADR嵌入應(yīng)用內(nèi)部,可全量盤點(diǎn)API資產(chǎn)�����,發(fā)現(xiàn)影子API�、僵尸API�����,提高安全防護(hù)水平��。
整體應(yīng)用安全能力增強(qiáng):已經(jīng)部署WAF�����、SOC��、HIDS等的客戶�,可與ADR聯(lián)防聯(lián)控、內(nèi)外結(jié)合����、縱深防御�,補(bǔ)足短板���。
在實(shí)戰(zhàn)演練長常態(tài)化的今天�,RASP作為應(yīng)用0day漏洞防御�、內(nèi)存馬注入防御等高危風(fēng)險(xiǎn)的領(lǐng)防技術(shù),已經(jīng)被客戶廣泛認(rèn)可��,邊界無限連續(xù)中標(biāo)三大金融客戶及核心能源央企RASP建設(shè)項(xiàng)目便是最有力的證明���。
