安全防护左移,为业务系统“注入”主动安全免疫能力
2022-03-21
来源:安全牛
信息技术的高速发展所带来的机遇与风险并存,Web应用、API网关逐渐成为黑客入侵的主要入口。数据显示,2021年,超八成网络攻击都是针对应用层面的漏洞展开的,除了企业自研代码本身的缺陷外,通过软件供应链引入的缺陷是攻击者的新“宠儿”。例如2021年末的“核弹级”Apache Log4j 2的RCE漏洞,几乎波及了 90% 的Java应用。针对越发隐避、多变的攻击手段,传统基于流量特征分析的网络安全防护设备已经显得“力不从心”,企业安全团队已经疲于应对各类0day漏洞,和为不断新增的漏洞打补丁、增加安防设备规则。
因此,现代应用需要安全防护“左移”,推动安全战略从“传统基于边界防护的安全”向“面向应用现代化的内生安全”模式转变。
运行时应用程序自我保护(Runtime Application Self-Protection, RASP)作为降低应用风险的一项关键技术,通过应用程序运行时的内部数据来发现和拦截攻击,对解决上述行业痛点,助力企业数字化转型,推动实现产品创新、供应链优化、业务模式创新和提升用户体验具有重要作用,故发布本期牛品推荐——悬镜安全:云鲨 RASP 自适应威胁免疫平台。
标签
01
运行时安全切面、0day防御、DevSecOps、应用出厂安全内建、第三方组件安全防护、应用安全自防御
用户痛点
02
一、非法攻击识别难度大
不同应用程序漏洞类别不同,攻击者会采用特定的攻击加以利用,相同的HTTP请求对于不同的程序来说可谓是“甲之蜜糖乙之砒霜 ”,这使得基于传统规则的安全防护产品难以满足用户日益增长的多场景、多类别漏洞识别需求。
二、传输协议多元化
现代应用程序使用的格式和协议复杂,需要面对诸如 JSON、XML、序列化对象和自定义二进制等多种格式。请求指令不仅只有HTTP,还包括WebSocket等在内的个性化协议,传统的WAF难以对传输协议做到完全支持。
三、实际应用场景多样化
软件行业发展迅速,容器、IaaS、PaaS、虚拟和弹性环境激增。在不同环境下,快速部署应用程序和API成为用户的核心要求;DevOps大行其道也进一步加快了集成、部署和交付的速度,因此,需要独立部署的WAF存在“致命”弱点,即不能满足用户实用场景下的灵活性需求。
四、供应链安全威胁严峻
当下,软件开发不再是闭门造车,开发过程会引入大量的第三方组件和代码。但这一发展变化也增加了安全隐患,第三方组件多由社区维护,鱼龙混杂,安全漏洞往往不能被及时发现和修复,供应链安全威胁日益严峻。
五、传统防御措施效果差
传统WAF会在网络流量到达应用程序服务器之前对其进行分析,完全独立于应用程序进行工作。这种“在门外处理”的方式,无法真正核实请求的合法性,漏杀错杀成为常态,因此管理员只能使其处于“日志模式”。
故而企业组织亟需一款能够依据应用程序运行时上下文、从应用程序内部视角出发、不依赖流量特征分析、基于行为特征分析的应用安全威胁自我免疫平台。
解决方案
03
一、云鲨RASP介绍
悬镜的云鲨RASP是一款自适应威胁免疫平台,基于运行时情景感知技术可以精准识别应用运行时存在的漏洞,并进行深度风险分析,保障软件安全运行。
同时,云鲨RASP提供IAST以及Runtime-SCA 解决方案,从研发、测试再到生产使用同一探针通过不同模式即可实现不同场景的用户需求。例如在研发、测试阶段,将产品切换到IAST模式,即可提供高精度的应用安全测试结果和第三方组件的依赖清单、已知漏洞、许可证等信息;在生产环节,将产品转换为RASP模式,即可为应用程序提供0day漏洞防护。探针与应用系统的兼容性已经在测试流程中通过验证。
二、云鲨RASP部署架构
云鲨RASP部署架构
如上图所示,云鲨RASP采用B/S架构部署,主要包括Agent、 Agent Server和Web Server三个组件,XShark Agent处理并收集上报应用程序运行时数据;Agent Server进行 Agent统一管控和数据预处理;Web Server 提供可视化操作界面以及数据分析与展示。所有组件均可集群化部署,并支持高可用。
防护案例
04
以Apache Log4j 2 RCE漏洞为例,介绍云鲨RASP如何防御0Day漏洞。如下图所示,Log4j 2漏洞利用过程包括5个步骤:
Step1:攻击者首先通过浏览器、Postman等工具构造包含 ${jndi:xxxx} 的恶意请求包;
Step2:Java应用程序接收到该请求,并通过Log4j-core-2.x进行日志记录;
Step3:Log4j 2在处理日志时,发现了${}包裹的JNDI请求,于是直接解析该请求,向攻击者事先准备好的服务器发送请求;
Step4:攻击者事先准备好的服务器中包含了恶意代码,当接收到请求时会将恶意代码通过响应返回给请求者;
Step5:Log4j 2反射并解析该恶意代码,最终导致被攻击。
在传统的流量侧防御设备中,通常是在步骤1阶段进行流量关键字匹配。但由于0Day漏洞没有相关特征规则,很难进行预测性的防御,通常只能在收集到威胁情报后做应急补丁响应。云鲨RASP工作在应用运行环境中,可以同时覆盖到企业的自研代码、第三方组件以及Web应用容器。当攻击发生时,能结合应用程序上下文进行精准拦截。在上述步骤3中,“应用程序没有对用户输入的参数做额外校验就直接向外部服务器发起了请求”这个行为将会触发云鲨RASP防护规则,并上报SSRF(服务端请求伪造)攻击事件。另外,在步骤5中,应用程序直接通过反射执行来自外部服务器的代码,若其中包含敏感命令或敏感文件的访问,这个行为将会触发云鲨RASP反射型命令执行规则,并进行拦截和告警。
云鲨RASP检测漏洞的原理是从应用程序运行时环境出发,基于特殊行为进行分析判断,不依赖请求特征。不论请求结构如何变形,只要最后触发到敏感操作,就会被检测到,因此可以防御0Day漏洞。
尽管云鲨RASP相对于传统的边界防护设备有一定的优势,但应用运行时环境的插桩是一把双刃剑,在为应用程序提供保护的同时,也会占用一定的系统开销。因此云鲨RASP不适合进行复杂的计算和分析任务,目前阶段仍无法完全替代传统的边界防护设备。所以当下更好的方案是RASP与传统边界防护设备相互补充,形成全方位的保护体系。
产品特点
05
一、用户友好,缩减成本
云鲨RASP采用AI检测引擎、应用攻击漏洞免疫算法、运行时安全切面调度算法以及纵深流量学习算法等技术,并结合应用程序上下文情景分析能力,将主动防御能力运用到实际业务场景之中。用户在日常使用时,无需配置流量检测规则、没有学习过程、也无需设定黑名单,进一步为企业安全团队节省产品运行维护成本。
二、内生安全,检测精准
云鲨RASP的探针以附加形式与应用程序一起运行,无需额外修改现有代码逻辑,并从应用内部视角出发,结合应用运行时上下文,精准研判真正的风险行为,提供兼具业务透视和业务代码解耦的内生主动安全防御能力。
三、兼容性强,无缝衔接
云鲨RASP兼容Java、Python、PHP等主流开发语言,部署上能兼容物理机、虚拟机、微服务、容器化以及云原生等技术,能与多种开发运行环境实现无缝接入。
四、应用场景丰富
云鲨RASP覆盖面广,可广泛应用于包括但不仅限于金融、能源、电商、泛互联网、汽车制造等行业的DevSecOps敏捷安全体系建设、软件供应链风险治理等体系场景。
典型应用场景
06
以下从安全运营、企业Web防护、应用安全、攻防演练4个方面进行典型应用说明。
一、安全运营:
在敏捷开发运营环境下,云鲨RASP可以为不同团队提供定制化界面,在不同团队间共享同一数据源,实现企业研发、运维、安全团队之间的通力合作,降低沟通成本。例如,当项目要求快速迭代时,应用上线前可能来不及修复所有漏洞。为了项目交付和业务安全上线,安全团队可以通过云鲨RASP的“热补丁”技术,修补应用的缺陷和安全漏洞;
云鲨RASP安全运营
运维/持续交付:云鲨内嵌了详尽的探针部署指南,运维人员可以根据企业内业务部署模式和架构,选择合适的方案进行部署;
安全运营团队:云鲨RASP不依赖流量特征,而是基于特定行为进行分析,进一步降低误报,同使防护规则更加精简高效;
研发团队:云鲨RASP结果报告中不仅包括攻击事件的完整URL,还包括函数调用栈、相关代码文件,以及行号,可协助开发人员精准定位缺陷位置。同时,云鲨RASP提供完整的漏洞知识库,包括缺陷产生的原因、危害、防治方法以及源代码示例,可协助研发人员快速修复问题。
二、企业Web防护:
在企业Web应用日常防护中,云鲨RASP可以区分不同的业务场景,提供数据分析能力,并可自动绘制图表呈现应用程序的风险详情。
三、应用安全:
当应用安全遭遇威胁时,在应用安全遭遇威胁时,云鲨RASP可以将自身安全保护代码嵌入到运行中服务器的应用程序上,通过对访问应用系统的每一段代码进行检测,实时检测所有的应用请求并有效阻断安全攻击,最终实现应用系统的自我保护,确保应用系统的安全运行。
四、攻防演练:
在攻防演练场景中,由于当前蓝方阵营武器库大多运行在网络层、传输层和应用层,因此难以针对业务场景制定规则,存在误报、漏报问题。云鲨RASP可以在不依赖请求特征的情况下,在应用内部进行分析,精准截获真正具有风险的操作。并且对于“伪装”、“变种”的攻击手段依然能够保证有效性。
用户反馈
07
做好DevSecOps敏捷安全体系建设,配套工具链技术的支撑非常重要。悬镜云鲨RASP自适应威胁免疫平台作为一种新兴应用安全防护解决方案,在落地实践过程中体现出了高检出率、低误报率及柔和嵌入现有DevOps体系等创新性,可为业务系统提供出厂安全内建。
——某金融行业客户
云鲨RASP解决了外采第三方应用的安全问题,无需修改代码、无需配置复杂规则,同时也能覆盖开源组件的安全。
——某政企行业客户
悬镜安全“代码疫苗”技术让应用安全测试(AST)、软件成份分析(SCA) 和运行时应用自我保护(RASP) 通过一个探针全部完成,极大简化了 DevOps 工具链集成难度,让应用的构建和发布更加的安全、快速。
——某互联网行业客户
安全牛评
尽管开发流程的安全管控、黑白盒测试等安全左移方案在逐渐使应用程序变得健壮,但经验证明,无论上线前的测试再怎样充分都经不住时间考验,都会随着技术演进暴露出各种脆弱性,特别是利用应用开发引擎漏洞的提权攻击已成为高级威胁攻击的杀手锏。但应用程序的生命周期不会随漏洞的出现而终止,应用程序在运行时需要更细粒度的安全防护。RASP通过对应用开发引擎的行为分析,透视应用运行中指令解析和接口调用时的漏洞利用风险,从空间维度看确实可以弥补传统WEB应用防护向下检测能力的不足,同时又填补了应用软件架构开发中的一个安全空白区。