12月15日，第十二届電(diàn)信和互联网行业网络安(ān)全年会在安(ān)徽合肥成功召开。工(gōng)信部网络安(ān)全管理(lǐ)局一级巡视员（正局長(cháng)级）闫宏强、中(zhōng)國(guó)通信企业协会会長(cháng)郭浩、中(zhōng)國(guó)信息通信研究院副院長(cháng)魏亮、及中(zhōng)國(guó)联通、中(zhōng)國(guó)移动、中(zhōng)國(guó)電(diàn)信公(gōng)司相关领导出席。本届年会以“筑牢数字安(ān)全屏障，推进新(xīn)型工(gōng)业化”為(wèi)主题，集主论坛、专场分(fēn)论坛、竞赛闭幕、成果展示等活动于一體(tǐ)，涵盖网络安(ān)全领域政策导向、前沿分(fēn)享、成果发布、交流合作(zuò)等丰富内容。此外，会议期间同步举办(bàn)了行业网络安(ān)全创新(xīn)成果展，集中(zhōng)展现了全行业的网络安(ān)全新(xīn)理(lǐ)念、新(xīn)技(jì )术、新(xīn)应用(yòng)。爱加密作(zuò)為(wèi)國(guó)内知名(míng)的移动信息安(ān)全综合服務(wù)提供商(shāng)受邀出席参会。爱加密技(jì )术专家杨平以《安(ān)全威胁可(kě)见可(kě)控实践探索》為(wèi)题发表了专题演讲。

目前安(ān)全验证领域拥有(yǒu)5大核心痛点。

· 全面排查难覆盖：在事前开展主动防御识别防护短板失效点困难，每次发生事件或演练才暴露问题，仍是头痛医(yī)头的被动模式

· 人工(gōng)检查有(yǒu)局限性：基于人工(gōng)的各类检查评估手段或带较强主观意识，或验证评估周期長(cháng)，检查出的问题带有(yǒu)一定概率性，不适合持续性常态化开展。

· 运营资源不足：安(ān)全运营工(gōng)作(zuò)需要耗费大量人力成本，资源配置上无法满足高强的共发放对抗，运营工(gōng)作(zuò)仍大量依赖乙方且难以开展有(yǒu)效评价。

· 运营指导不足：难以明确安(ān)全运营优先级与必要性，推动内部整改难度也较大。安(ān)全运营水位線(xiàn)没有(yǒu)指导，无法准确意识到自身的安(ān)全防护所处水平。

· 量化度量困难：安(ān)全工(gōng)作(zuò)难以量化體(tǐ)现价值，无法解答(dá)公(gōng)司对安(ān)全能(néng)力可(kě)视化的需求，也无法开展基于度量的治理(lǐ)。

BAS是改善安(ān)全运营效果的最佳切入点，可(kě)实现对防御系统的常态化验证。爱加密认為(wèi)BAS在安(ān)全运营中(zhōng)的应自动化实现“三化”要求，基于此研发企业安(ān)全运营解决之道——爱加密安(ān)全有(yǒu)效性验证平台，产(chǎn)品通过平台持续跟踪和更新(xīn)，快速上線(xiàn)热点高危漏洞利用(yòng)和攻击验证场景用(yòng)例，对全局安(ān)全措施实现全覆盖的自动化验持续验证，确保安(ān)全防护措施有(yǒu)效且处于稳定状态。

爱加密安(ān)全验证平台基于模拟攻击技(jì )术实践，模拟黑客或攻击队实施的网络攻击，通过构造不同的模拟攻击验证场景，对已部署安(ān)全设备和策略开展持续性、有(yǒu)效性安(ān)全验证。通过在不同网络域单独部署验证机和靶机，实现无害化的开展持续的攻击验证，形成自动化规则策略验证闭环，实现安(ān)全防护、检测等安(ān)全设备的有(yǒu)效性验证，确保网络安(ān)全配置、安(ān)全设备、安(ān)全策略等按照预期运行。

爱加密為(wèi)某著名(míng)股份制公(gōng)司进行月度安(ān)全有(yǒu)效性验证。根据设备验证工(gōng)作(zuò)计划，每月通过内网的验证机对内网的靶机发起模拟攻击，根据安(ān)全设备的日志(zhì)生成闭环的验证结果。运营团队基于验证输出报告对失效策略制定变更计划进行调优，现已形成完整的持续运营优化工(gōng)作(zuò)流程，安(ān)全有(yǒu)效性提升83%！

在应用(yòng)侧安(ān)全防护方面，传统WEB边界防护存在的不足，如无法有(yǒu)效抵挡0day攻击；误报率过高，造成运营干扰；无法解决内部业務(wù)攻击；历史漏洞难以修复.

RASP全称為(wèi)Runtime application self-protection，即运行时应用(yòng)自我保护。可(kě)像“疫苗”一样注入到应用(yòng)程序里面，与应用(yòng)程序融為(wèi)一體(tǐ)，使应用(yòng)程序在运行时实现自我安(ān)全保护，并且安(ān)装(zhuāng)过程无需修改任何应用(yòng)程序自身代码，仅需简单配置即可(kě)实现自我防护机制。弥补了当前“边界防护”技(jì )术體(tǐ)系的不足，為(wèi)应用(yòng)系统的安(ān)全防护提供了创新(xīn)性的解决方案，防御能(néng)力得以本质(zhì)提升。

爱加密RASP产(chǎn)品将安(ān)全保护代码嵌入到运行中(zhōng)的应用(yòng)程序，并与应用(yòng)程序同时启动，监听与应用(yòng)程序交换的重要节点，覆盖所有(yǒu)应用(yòng)程序的访问行為(wèi)，从而实时监测并拦截漏洞攻击行為(wèi)。可(kě)以抵御传统WAF无法识别的攻击，如针对未知漏洞和业務(wù)逻辑漏洞的利用(yòng)攻击。

从下图中(zhōng)可(kě)以看到，请求参数ids的值中(zhōng)ids的参数值并不包含任何攻击的Payload，传统的WEB防护产(chǎn)品无法识别该攻击行為(wèi)，但触发了爱加密RASP的SQL零规则检测，从而断定该接口存在SQL注入漏洞。

这是⼀个非常典型的SQL注入案例，我们通常在处理(lǐ) where in 查询的时候会因為(wèi)无法直接使用(yòng)SQL预编译而选择了拼接SQL的方式来实现业務(wù)，从而也就导致了SQL注入的产(chǎn)生。

在2023HW期间，爱加密RASP成功為(wèi)客户抵御某业務(wù)系统JeecgBoot SSTI 0day攻击，攻击告警日志(zhì)如下：

技(jì )术组经过分(fēn)析RASP防御日志(zhì)发现该漏洞是⼀个未公(gōng)开的JeecgBoot 0day，请求类型是 application/json ，请求的主體(tǐ)中(zhōng)包含了恶意的攻击参数，如下图。至12月，已為(wèi)该客户部署23个系统（222个Agent，其中(zhōng)在線(xiàn)Agent215个，离線(xiàn)Agent7个）。共产(chǎn)生监测数据44967条（护网期间360条），5个应用(yòng)系统自身漏洞（已确认）。

爱加密技(jì )术专家杨平老师的演讲结束后，众多(duō)与会领导与行业专家前来沟通技(jì )术问题，爱加密成功為(wèi)行业网络安(ān)全保障能(néng)力建设工(gōng)作(zuò)奉献了自己的力量。

作(zuò)為(wèi)國(guó)内知名(míng)的信息安(ān)全综合服務(wù)提供商(shāng)，爱加密拥有(yǒu)十余年技(jì )术积累及丰富的行业服務(wù)经验。数次获得部委认可(kě)斩获重量级奖项，深度参与网信办(bàn)、工(gōng)信部、公(gōng)安(ān)部、市监局等单位牵头的网络安(ān)全类工(gōng)作(zuò)，并已成為(wèi)CNNVD、CNVD、CAPPVD、CNCERT技(jì )术支撑单位。未来将不断开拓创新(xīn)，进一步发挥核心技(jì )术优势、行业权威优势、安(ān)全服務(wù)优势等，帮助企业提升安(ān)全防护能(néng)力。END

爱加密

爱加密是全球专业的移动信息安(ān)全服務(wù)提供商(shāng),专注于移动应用(yòng)安(ān)全、大数据及物(wù)联网安(ān)全。品牌官网：www.ijiami.cn；服務(wù)電(diàn)话： 4000-618-110