信息技術(shù)的高速發(fā)展所帶來的機(jī)遇與風(fēng)險(xiǎn)并存,，Web應(yīng)用、API網(wǎng)關(guān)逐漸成為黑客入侵的主要入口,。數(shù)據(jù)顯示,，2021年，超八成網(wǎng)絡(luò)攻擊都是針對應(yīng)用層面的漏洞展開的,，除了企業(yè)自研代碼本身的缺陷外,，通過軟件供應(yīng)鏈引入的缺陷是攻擊者的新“寵兒”。例如2021年末的“核彈級”Apache Log4j 2的RCE漏洞,，幾乎波及了 90% 的Java應(yīng)用,。針對越發(fā)隱避、多變的攻擊手段,，傳統(tǒng)基于流量特征分析的網(wǎng)絡(luò)安全防護(hù)設(shè)備已經(jīng)顯得“力不從心”,，企業(yè)安全團(tuán)隊(duì)已經(jīng)疲于應(yīng)對各類0day漏洞，和為不斷新增的漏洞打補(bǔ)丁,、增加安防設(shè)備規(guī)則,。

　　因此，現(xiàn)代應(yīng)用需要安全防護(hù)“左移”,，推動(dòng)安全戰(zhàn)略從“傳統(tǒng)基于邊界防護(hù)的安全”向“面向應(yīng)用現(xiàn)代化的內(nèi)生安全”模式轉(zhuǎn)變,。

　　運(yùn)行時(shí)應(yīng)用程序自我保護(hù)（Runtime Application Self-Protection, RASP）作為降低應(yīng)用風(fēng)險(xiǎn)的一項(xiàng)關(guān)鍵技術(shù)，通過應(yīng)用程序運(yùn)行時(shí)的內(nèi)部數(shù)據(jù)來發(fā)現(xiàn)和攔截攻擊,，對解決上述行業(yè)痛點(diǎn),，助力企業(yè)數(shù)字化轉(zhuǎn)型，推動(dòng)實(shí)現(xiàn)產(chǎn)品創(chuàng)新,、供應(yīng)鏈優(yōu)化,、業(yè)務(wù)模式創(chuàng)新和提升用戶體驗(yàn)具有重要作用，故發(fā)布本期牛品推薦——懸鏡安全：云鯊 RASP 自適應(yīng)威脅免疫平臺(tái),。

　　標(biāo)簽

　　01

　　運(yùn)行時(shí)安全切面,、0day防御、DevSecOps,、應(yīng)用出廠安全內(nèi)建,、第三方組件安全防護(hù)、應(yīng)用安全自防御

　　用戶痛點(diǎn)

　　02

　　一,、非法攻擊識別難度大

　　不同應(yīng)用程序漏洞類別不同,，攻擊者會(huì)采用特定的攻擊加以利用，相同的HTTP請求對于不同的程序來說可謂是“甲之蜜糖乙之砒霜 ”，這使得基于傳統(tǒng)規(guī)則的安全防護(hù)產(chǎn)品難以滿足用戶日益增長的多場景,、多類別漏洞識別需求,。

　　二、傳輸協(xié)議多元化

　　現(xiàn)代應(yīng)用程序使用的格式和協(xié)議復(fù)雜,，需要面對諸如 JSON,、XML、序列化對象和自定義二進(jìn)制等多種格式,。請求指令不僅只有HTTP,，還包括WebSocket等在內(nèi)的個(gè)性化協(xié)議，傳統(tǒng)的WAF難以對傳輸協(xié)議做到完全支持,。

　　三,、實(shí)際應(yīng)用場景多樣化

　　軟件行業(yè)發(fā)展迅速，容器,、IaaS,、PaaS、虛擬和彈性環(huán)境激增,。在不同環(huán)境下,，快速部署應(yīng)用程序和API成為用戶的核心要求；DevOps大行其道也進(jìn)一步加快了集成,、部署和交付的速度,，因此，需要獨(dú)立部署的WAF存在“致命”弱點(diǎn),，即不能滿足用戶實(shí)用場景下的靈活性需求,。

　　四、供應(yīng)鏈安全威脅嚴(yán)峻

　　當(dāng)下,，軟件開發(fā)不再是閉門造車,，開發(fā)過程會(huì)引入大量的第三方組件和代碼。但這一發(fā)展變化也增加了安全隱患,，第三方組件多由社區(qū)維護(hù),，魚龍混雜，安全漏洞往往不能被及時(shí)發(fā)現(xiàn)和修復(fù),，供應(yīng)鏈安全威脅日益嚴(yán)峻,。

　　五、傳統(tǒng)防御措施效果差

　　傳統(tǒng)WAF會(huì)在網(wǎng)絡(luò)流量到達(dá)應(yīng)用程序服務(wù)器之前對其進(jìn)行分析,，完全獨(dú)立于應(yīng)用程序進(jìn)行工作,。這種“在門外處理”的方式，無法真正核實(shí)請求的合法性,，漏殺錯(cuò)殺成為常態(tài),，因此管理員只能使其處于“日志模式”,。

　　故而企業(yè)組織亟需一款能夠依據(jù)應(yīng)用程序運(yùn)行時(shí)上下文、從應(yīng)用程序內(nèi)部視角出發(fā),、不依賴流量特征分析,、基于行為特征分析的應(yīng)用安全威脅自我免疫平臺(tái)。

　　解決方案

　　03

　　一,、云鯊RASP介紹

　　懸鏡的云鯊RASP是一款自適應(yīng)威脅免疫平臺(tái),，基于運(yùn)行時(shí)情景感知技術(shù)可以精準(zhǔn)識別應(yīng)用運(yùn)行時(shí)存在的漏洞，并進(jìn)行深度風(fēng)險(xiǎn)分析,，保障軟件安全運(yùn)行,。

　　同時(shí)，云鯊RASP提供IAST以及Runtime-SCA 解決方案,，從研發(fā)、測試再到生產(chǎn)使用同一探針通過不同模式即可實(shí)現(xiàn)不同場景的用戶需求,。例如在研發(fā),、測試階段，將產(chǎn)品切換到IAST模式,，即可提供高精度的應(yīng)用安全測試結(jié)果和第三方組件的依賴清單,、已知漏洞、許可證等信息,；在生產(chǎn)環(huán)節(jié),，將產(chǎn)品轉(zhuǎn)換為RASP模式，即可為應(yīng)用程序提供0day漏洞防護(hù),。探針與應(yīng)用系統(tǒng)的兼容性已經(jīng)在測試流程中通過驗(yàn)證,。

　　二、云鯊RASP部署架構(gòu)

　　云鯊RASP部署架構(gòu)

　　如上圖所示,，云鯊RASP采用B/S架構(gòu)部署,，主要包括Agent、 Agent Server和Web Server三個(gè)組件,，XShark Agent處理并收集上報(bào)應(yīng)用程序運(yùn)行時(shí)數(shù)據(jù),；Agent Server進(jìn)行 Agent統(tǒng)一管控和數(shù)據(jù)預(yù)處理；Web Server 提供可視化操作界面以及數(shù)據(jù)分析與展示,。所有組件均可集群化部署,，并支持高可用。

　　防護(hù)案例

　　04

　　以Apache Log4j 2 RCE漏洞為例,，介紹云鯊RASP如何防御0Day漏洞,。如下圖所示，Log4j 2漏洞利用過程包括5個(gè)步驟：

　　Step1：攻擊者首先通過瀏覽器,、Postman等工具構(gòu)造包含 ${jndi:xxxx} 的惡意請求包,；

　　Step2：Java應(yīng)用程序接收到該請求,，并通過Log4j-core-2.x進(jìn)行日志記錄；

　　Step3：Log4j 2在處理日志時(shí),，發(fā)現(xiàn)了${}包裹的JNDI請求,，于是直接解析該請求，向攻擊者事先準(zhǔn)備好的服務(wù)器發(fā)送請求,；

　　Step4：攻擊者事先準(zhǔn)備好的服務(wù)器中包含了惡意代碼,，當(dāng)接收到請求時(shí)會(huì)將惡意代碼通過響應(yīng)返回給請求者；

　　Step5：Log4j 2反射并解析該惡意代碼,，最終導(dǎo)致被攻擊,。

　　在傳統(tǒng)的流量側(cè)防御設(shè)備中，通常是在步驟1階段進(jìn)行流量關(guān)鍵字匹配,。但由于0Day漏洞沒有相關(guān)特征規(guī)則,，很難進(jìn)行預(yù)測性的防御，通常只能在收集到威脅情報(bào)后做應(yīng)急補(bǔ)丁響應(yīng),。云鯊RASP工作在應(yīng)用運(yùn)行環(huán)境中,，可以同時(shí)覆蓋到企業(yè)的自研代碼、第三方組件以及Web應(yīng)用容器,。當(dāng)攻擊發(fā)生時(shí),，能結(jié)合應(yīng)用程序上下文進(jìn)行精準(zhǔn)攔截。在上述步驟3中,，“應(yīng)用程序沒有對用戶輸入的參數(shù)做額外校驗(yàn)就直接向外部服務(wù)器發(fā)起了請求”這個(gè)行為將會(huì)觸發(fā)云鯊RASP防護(hù)規(guī)則,，并上報(bào)SSRF（服務(wù)端請求偽造）攻擊事件。另外,，在步驟5中,，應(yīng)用程序直接通過反射執(zhí)行來自外部服務(wù)器的代碼，若其中包含敏感命令或敏感文件的訪問,，這個(gè)行為將會(huì)觸發(fā)云鯊RASP反射型命令執(zhí)行規(guī)則,，并進(jìn)行攔截和告警。

　　云鯊RASP檢測漏洞的原理是從應(yīng)用程序運(yùn)行時(shí)環(huán)境出發(fā),，基于特殊行為進(jìn)行分析判斷,，不依賴請求特征。不論請求結(jié)構(gòu)如何變形,，只要最后觸發(fā)到敏感操作,，就會(huì)被檢測到，因此可以防御0Day漏洞,。

　　盡管云鯊RASP相對于傳統(tǒng)的邊界防護(hù)設(shè)備有一定的優(yōu)勢,，但應(yīng)用運(yùn)行時(shí)環(huán)境的插樁是一把雙刃劍，在為應(yīng)用程序提供保護(hù)的同時(shí),，也會(huì)占用一定的系統(tǒng)開銷,。因此云鯊RASP不適合進(jìn)行復(fù)雜的計(jì)算和分析任務(wù),，目前階段仍無法完全替代傳統(tǒng)的邊界防護(hù)設(shè)備。所以當(dāng)下更好的方案是RASP與傳統(tǒng)邊界防護(hù)設(shè)備相互補(bǔ)充,，形成全方位的保護(hù)體系,。

　　產(chǎn)品特點(diǎn)

　　05

　　一、用戶友好,，縮減成本

　　云鯊RASP采用AI檢測引擎,、應(yīng)用攻擊漏洞免疫算法、運(yùn)行時(shí)安全切面調(diào)度算法以及縱深流量學(xué)習(xí)算法等技術(shù),，并結(jié)合應(yīng)用程序上下文情景分析能力,，將主動(dòng)防御能力運(yùn)用到實(shí)際業(yè)務(wù)場景之中。用戶在日常使用時(shí),，無需配置流量檢測規(guī)則,、沒有學(xué)習(xí)過程、也無需設(shè)定黑名單,，進(jìn)一步為企業(yè)安全團(tuán)隊(duì)節(jié)省產(chǎn)品運(yùn)行維護(hù)成本,。

　　二、內(nèi)生安全,，檢測精準(zhǔn)

　　云鯊RASP的探針以附加形式與應(yīng)用程序一起運(yùn)行，無需額外修改現(xiàn)有代碼邏輯,，并從應(yīng)用內(nèi)部視角出發(fā),，結(jié)合應(yīng)用運(yùn)行時(shí)上下文，精準(zhǔn)研判真正的風(fēng)險(xiǎn)行為,，提供兼具業(yè)務(wù)透視和業(yè)務(wù)代碼解耦的內(nèi)生主動(dòng)安全防御能力,。

　　三、兼容性強(qiáng),，無縫銜接

　　云鯊RASP兼容Java,、Python、PHP等主流開發(fā)語言,，部署上能兼容物理機(jī),、虛擬機(jī)、微服務(wù),、容器化以及云原生等技術(shù),，能與多種開發(fā)運(yùn)行環(huán)境實(shí)現(xiàn)無縫接入。

　　四,、應(yīng)用場景豐富

　　云鯊RASP覆蓋面廣,，可廣泛應(yīng)用于包括但不僅限于金融、能源,、電商,、泛互聯(lián)網(wǎng),、汽車制造等行業(yè)的DevSecOps敏捷安全體系建設(shè)、軟件供應(yīng)鏈風(fēng)險(xiǎn)治理等體系場景,。

　　典型應(yīng)用場景

　　06

　　以下從安全運(yùn)營,、企業(yè)Web防護(hù)、應(yīng)用安全,、攻防演練4個(gè)方面進(jìn)行典型應(yīng)用說明,。

　　一、安全運(yùn)營：

　　在敏捷開發(fā)運(yùn)營環(huán)境下,，云鯊RASP可以為不同團(tuán)隊(duì)提供定制化界面,，在不同團(tuán)隊(duì)間共享同一數(shù)據(jù)源，實(shí)現(xiàn)企業(yè)研發(fā),、運(yùn)維,、安全團(tuán)隊(duì)之間的通力合作，降低溝通成本,。例如,，當(dāng)項(xiàng)目要求快速迭代時(shí)，應(yīng)用上線前可能來不及修復(fù)所有漏洞,。為了項(xiàng)目交付和業(yè)務(wù)安全上線,，安全團(tuán)隊(duì)可以通過云鯊RASP的“熱補(bǔ)丁”技術(shù)，修補(bǔ)應(yīng)用的缺陷和安全漏洞,；

　　云鯊RASP安全運(yùn)營

　　運(yùn)維/持續(xù)交付：云鯊內(nèi)嵌了詳盡的探針部署指南,，運(yùn)維人員可以根據(jù)企業(yè)內(nèi)業(yè)務(wù)部署模式和架構(gòu)，選擇合適的方案進(jìn)行部署,；

　　安全運(yùn)營團(tuán)隊(duì)：云鯊RASP不依賴流量特征,，而是基于特定行為進(jìn)行分析，進(jìn)一步降低誤報(bào),，同使防護(hù)規(guī)則更加精簡高效,；

　　研發(fā)團(tuán)隊(duì)：云鯊RASP結(jié)果報(bào)告中不僅包括攻擊事件的完整URL，還包括函數(shù)調(diào)用棧,、相關(guān)代碼文件,，以及行號，可協(xié)助開發(fā)人員精準(zhǔn)定位缺陷位置,。同時(shí),，云鯊RASP提供完整的漏洞知識庫，包括缺陷產(chǎn)生的原因,、危害,、防治方法以及源代碼示例，可協(xié)助研發(fā)人員快速修復(fù)問題,。

　　二,、企業(yè)Web防護(hù)：

　　在企業(yè)Web應(yīng)用日常防護(hù)中,，云鯊RASP可以區(qū)分不同的業(yè)務(wù)場景，提供數(shù)據(jù)分析能力,，并可自動(dòng)繪制圖表呈現(xiàn)應(yīng)用程序的風(fēng)險(xiǎn)詳情,。

　　三、應(yīng)用安全：

　　當(dāng)應(yīng)用安全遭遇威脅時(shí),，在應(yīng)用安全遭遇威脅時(shí),，云鯊RASP可以將自身安全保護(hù)代碼嵌入到運(yùn)行中服務(wù)器的應(yīng)用程序上，通過對訪問應(yīng)用系統(tǒng)的每一段代碼進(jìn)行檢測,，實(shí)時(shí)檢測所有的應(yīng)用請求并有效阻斷安全攻擊,，最終實(shí)現(xiàn)應(yīng)用系統(tǒng)的自我保護(hù)，確保應(yīng)用系統(tǒng)的安全運(yùn)行,。

　　四,、攻防演練：

　　在攻防演練場景中，由于當(dāng)前藍(lán)方陣營武器庫大多運(yùn)行在網(wǎng)絡(luò)層,、傳輸層和應(yīng)用層,，因此難以針對業(yè)務(wù)場景制定規(guī)則，存在誤報(bào),、漏報(bào)問題,。云鯊RASP可以在不依賴請求特征的情況下，在應(yīng)用內(nèi)部進(jìn)行分析,，精準(zhǔn)截獲真正具有風(fēng)險(xiǎn)的操作,。并且對于“偽裝”、“變種”的攻擊手段依然能夠保證有效性,。

　　用戶反饋

　　07

　　做好DevSecOps敏捷安全體系建設(shè)，配套工具鏈技術(shù)的支撐非常重要,。懸鏡云鯊RASP自適應(yīng)威脅免疫平臺(tái)作為一種新興應(yīng)用安全防護(hù)解決方案,，在落地實(shí)踐過程中體現(xiàn)出了高檢出率、低誤報(bào)率及柔和嵌入現(xiàn)有DevOps體系等創(chuàng)新性,，可為業(yè)務(wù)系統(tǒng)提供出廠安全內(nèi)建,。

　　——某金融行業(yè)客戶

　　云鯊RASP解決了外采第三方應(yīng)用的安全問題，無需修改代碼,、無需配置復(fù)雜規(guī)則,，同時(shí)也能覆蓋開源組件的安全。

　　——某政企行業(yè)客戶

　　懸鏡安全“代碼疫苗”技術(shù)讓應(yīng)用安全測試（AST）,、軟件成份分析（SCA） 和運(yùn)行時(shí)應(yīng)用自我保護(hù)（RASP） 通過一個(gè)探針全部完成,，極大簡化了 DevOps 工具鏈集成難度，讓應(yīng)用的構(gòu)建和發(fā)布更加的安全,、快速,。

　　——某互聯(lián)網(wǎng)行業(yè)客戶

　　安全牛評

　　盡管開發(fā)流程的安全管控,、黑白盒測試等安全左移方案在逐漸使應(yīng)用程序變得健壯，但經(jīng)驗(yàn)證明,，無論上線前的測試再怎樣充分都經(jīng)不住時(shí)間考驗(yàn),，都會(huì)隨著技術(shù)演進(jìn)暴露出各種脆弱性，特別是利用應(yīng)用開發(fā)引擎漏洞的提權(quán)攻擊已成為高級威脅攻擊的殺手锏,。但應(yīng)用程序的生命周期不會(huì)隨漏洞的出現(xiàn)而終止,，應(yīng)用程序在運(yùn)行時(shí)需要更細(xì)粒度的安全防護(hù)。RASP通過對應(yīng)用開發(fā)引擎的行為分析,，透視應(yīng)用運(yùn)行中指令解析和接口調(diào)用時(shí)的漏洞利用風(fēng)險(xiǎn),，從空間維度看確實(shí)可以彌補(bǔ)傳統(tǒng)WEB應(yīng)用防護(hù)向下檢測能力的不足，同時(shí)又填補(bǔ)了應(yīng)用軟件架構(gòu)開發(fā)中的一個(gè)安全空白區(qū),。