近日,中国信息协会信息安全业余委员会、PCSA 平安能力者联盟和虚浮实验室在京独特举办了“往年的拂晓静悄悄”暨《硝烟后的茶歇》第四期分享会,聚焦往年年度攻防演练外表平静、实则暗潮涌动的新趋势。
在此次分享会上,悬镜平安产品经理陈超进行了“平安内生自免疫力的摸索之路”主题分享,剖析了古代数字化利用面临的危险挑战,引出了以 RASP 技术为外围的代码疫苗技术及其利用场景,并分享了该项技术进攻重大未知破绽的实战案例。
图 1 悬镜陈超在分享会现场发表主题演讲
构筑利用平安内生自免疫力
陈超指出,混源开发已成为古代数字化利用次要开发方式,对利用的平安内生自免疫能力的全面审查应思考从第三方开源组件缺点及后门、自研代码通用破绽、自研代码业务逻辑破绽、潜藏恶意代码等维度综合剖析。
代码疫苗技术,正是一种可能通过运行时插桩技术晋升利用在运行时的危险自发现及威逼自免疫能力的新一代平安技术,无需代码平安专家逐行剖析源代码、无需对原有代码逻辑进行批改调整、无需保护简单流量过滤策略及规定并且不会疏忽应用程序中超 90% 由开源组件引入的危险。
在 HW 场景下,对于利用破绽攻打响应和歹意流量溯源剖析的平安工作始终被视作重点,然而在理论事件处理过程中仍存在微小的技术挑战。代码疫苗外围之一的 RASP 技术,作为新一代突破性的应用层踊跃进攻技术,可在东西向 Web 流量自动化检测进攻中起到关键作用,买通利用平安防护与治理的“最初一公里”。
图 2 悬镜云鲨分布式 RASP 部署图
RASP 踊跃进攻重大未知破绽相较于 WAF 和 EDR,RASP 鉴于其深刻利用运行时的环境外部、剖析与理解数据流及事件流的个性,在对 0day 等重大未知破绽、开源组件破绽、内存马等 Webshell 利用以及歹意异样行为利用的进攻上具备显著的技术劣势。
陈超重点以 RASP 对 Log4j2.x 近程代码执行破绽的防护为例,活泼具象地梳理了 RASP 的防护流程。RASP 无论是在利用向攻击者服务器发送相似于 SSRF 的写日志申请时,还是在攻击者进行 JNDI 注入时,抑或是在攻击者进行命令执行时,都能够进行拦挡。总而言之,所有的攻打伎俩最终都能够演绎为敏感命令执行、敏感文件读写、敏感数据库操作等异样行为操作,而这些会被代码疫苗技术精准辨认和阻断。
此外,当呈现重大破绽短时间难以修复的情况时,RASP 还能够通过动静下发热补丁,在不中断业务的同时为利用零碎提供长期防护,为破绽修复争取贵重的工夫。
早在前年由悬镜平安主办的首届 DevSecOps 麻利平安大会(DSO 2021)上,悬镜创始人兼 CEO 子芽就精准预言 RASP 技术会在往年的重要平安流动中大放异彩。事实也证实了悬镜敏锐的市场洞察和前瞻性的策略思考。悬镜始终专一于原创专利级代码疫苗技术,利用“单探针”的深度交融,实现数字化利用全生命周期的检测防护一体化,不仅帮忙各行业用户实现“平安左移”,从开发源头进行危险治理,还助力企业构筑新一代踊跃进攻体系,实现“麻利右移”即平安经营麻利化。
更多对于云鲨,尽在官网 https://rasp.xmirror.cn/