应用(yòng)程序通常处理(lǐ)和存储大量的敏感数据,如用(yòng)户个人信息、财務(wù)信息、商(shāng)业数据、國(guó)家数据等,用(yòng)户量越大的应用(yòng)程序,其需要存储和保护的用(yòng)户数据越多(duō)。因此应用(yòng)层長(cháng)期是攻击方的核心目标,
传统应用(yòng)安(ān)全依靠防火墙(FireWall)、入侵检测/防御(IDS/IPS)、统一威胁管理(lǐ)(UTM)、Web安(ān)全网关(WSG)和Web应用(yòng)防火墙(WAF)等实现的安(ān)全边界防护能(néng)力。
这种边界防护类似于机场的安(ān)检环节,即需要根据预设的‘策略’进行检测,识别访问中(zhōng)是否有(yǒu)携带恶意代码等攻击手段。
以WAF為(wèi)例,其完全根据写好的安(ān)全规则检查流量。流量命中(zhōng)了安(ān)全规则,WAF将进行自动化响应。但众所周知安(ān)全规则带有(yǒu)明确滞后性,先有(yǒu)病毒才有(yǒu)相应的杀毒工(gōng)具(jù)。安(ān)全规则永遠(yuǎn)存在被绕过的风险。
因此企业普遍存有(yǒu)4大痛点:
1.因现有(yǒu)web防护技(jì )术原理(lǐ),导致无法发现和抵御0day攻击
2.现有(yǒu)技(jì )术基于策略判定,策略过严则误拦多(duō),影响业務(wù),策略过松则漏报多(duō),影响安(ān)全
3.边界防护為(wèi)南北向防护,对东西向安(ān)全无能(néng)為(wèi)力,真正的安(ān)全不分(fēn)东西南北
4.修改应用(yòng)漏洞需要修改代码,历史程序漏洞修复难度大
RASP全称為(wèi)Runtime application self-protection,即运行时应用(yòng)自我保护。可(kě)像“疫苗”一样注入到应用(yòng)程序里面,与应用(yòng)程序融為(wèi)一體(tǐ),使应用(yòng)程序在运行时实现自我安(ān)全保护,并且安(ān)装(zhuāng)过程无需修改任何应用(yòng)程序自身代码,仅需简单配置即可(kě)实现自我防护机制。弥补了当前“边界防护”技(jì )术體(tǐ)系的不足,為(wèi)应用(yòng)系统的安(ān)全防护提供了创新(xīn)性的解决方案,防御能(néng)力得以本质(zhì)提升。
通常情况下,感知应用(yòng)受到攻击的态势以应用(yòng)外部防护软件(例如WAF)拦截的信息為(wèi)源头,虽然看似“感同身受”,但无法获知具(jù)體(tǐ)攻击应用(yòng)哪块代码、哪部门业務(wù)逻辑、受影响的数据的范围等业務(wù)态的信息。同时,从攻击的流程角度分(fēn)析,扫描是可(kě)疑行為(wèi),攻击是真实入侵,外部防护由于无法获知应用(yòng)内部运行情况,所以往往无法區(qū)分(fēn)。此外,黑客在扫描时和攻击时可(kě)能(néng)使用(yòng)并不是同一组IP,随意混淆和独立區(qū)分(fēn)都会造成态势感知结果的偏差。
RASP是将自身像疫苗一样注入到应用(yòng)代码和应用(yòng)流量出入口,真正的获取最原始、最完整、最及时的安(ān)全事件和安(ān)全信息,增加根源防护能(néng)力的同时為(wèi)企业的安(ān)全运营提供更准确源信息。
从下图中(zhōng)可(kě)以看到,请求参数ids的值中(zhōng),ids的参数值并不包含任何攻击的Payload,传统的WEB防护产(chǎn)品无法识别该攻击行為(wèi),但触发了爱加密RASP的SQL零规则检测,从而断定该接口存在SQL注入漏洞。
这是⼀个非常典型的SQL注入案例,我们通常在处理(lǐ) where in 查询的时候会因為(wèi)无法直接使用(yòng)SQL预编译而选择了拼接SQL的方式来实现业務(wù),从而也就导致了SQL注入的产(chǎn)生。
在2023HVV期间,爱加密运行时应用(yòng)自免疫系统(RASP)成功為(wèi)客户抵御某业務(wù)系统JeecgBoot SSTI 0day攻击,攻击告警日志(zhì)如下:
技(jì )术组经过分(fēn)析RASP防御日志(zhì)发现该漏洞是⼀个未公(gōng)开的JeecgBoot 0day,请求类型是 application/json ,请求的主體(tǐ)中(zhōng)包含了恶意的攻击参数,如下图。仅23年下半年,已為(wèi)该客户部署23个系统,共产(chǎn)生监测数据近5万条(HVV期间近400条),5个应用(yòng)系统自身漏洞(已确认)。
随着HVV工(gōng)作(zuò)的深入开展,已知的常规安(ān)全漏洞逐渐被修复完善,针对未知攻击手段(“0day”)的攻防已逐渐成為(wèi)红蓝两队关注的焦点,现实环境中(zhōng),“0day”攻击也因其高隐蔽性、高破坏性的特点,成為(wèi)网络安(ān)全保障工(gōng)作(zuò)的最大威胁。
RASP产(chǎn)品由于其深入应用(yòng)程序内部的技(jì )术特性,能(néng)够结合应用(yòng)程序的上下文(wén)信息,基于访问行為(wèi)准确识别和应对包括“0day”在内的各种攻击事件,从而有(yǒu)效弥补现有(yǒu)防护體(tǐ)系对新(xīn)型攻击防御能(néng)力的不足。
HVV期间最大的难点在于能(néng)否及时修复应用(yòng)系统自身漏洞,特别一些老旧系统,由于代码无法修改,面对发现的漏洞时却束手无策,RASP产(chǎn)品提供的“虚拟补丁”功能(néng),可(kě)让用(yòng)户在不修改程序源代码的情况下,快速修复系统漏洞,帮助用(yòng)户便捷高效的消除历史隐患。
為(wèi)协助企业在HVV期间取得更优异的成绩,爱加密特推出补天计划,爱加密运行时应用(yòng)自免疫系统(RASP)与爱加密网络安(ān)全有(yǒu)效性验证平台(BAS)将开启免费试用(yòng)!可(kě)扫码添加客服参与!
京公(gōng)网安(ān)备
11010802025310号