在不久前举行的HVV攻防演练期间,青藤天睿RASP大展身手,相继捕获了3个来自不同软件供应商的0day漏洞,为用户的应用安全提供了保障,获得了广泛好评。
近日,青藤天睿产品负责人向采访人员详细讲述了青藤天睿RASP的“前世今生”,而这一切,还要从0day漏洞开始说起。
揭开0day漏洞的神秘面纱
0day漏洞,指的是那些尚未公开的、未知的且没有补丁的软件安全漏洞,攻击者可以利用这些漏洞发动突袭,给企业造成重大损失。在攻防战场上,0day漏洞是公认的极具破坏力的“大杀器”。
不过,0day漏洞并非一种不可捉摸的神秘存在。该负责人指出,其本质是攻击者在挖掘漏洞时选择了隐藏情报,而不在公开渠道披露。加上企业使用的商业软件较为普及,其信息基本上是公开的,因此攻击者可以轻而易举的拿到这些软件代码,用很低的成本去研究并发现它们的漏洞。而且,攻击者倾向于利用0day漏洞发动突袭,这种攻击方式难以被预测出来,所以企业用户往往会被打得措手不及。
在这个网络安全日益重要的今天,0day漏洞的频繁出现,给企业带来了前所未有的挑战:
以命令执行漏洞为例,由于0day漏洞没有已知的修复手段,攻击者可以利用这些漏洞直接控制企业内部的机器,进而渗透到企业内部网络,并横向拓展入侵面,导致更多机器被攻击者控制,或是被命令执行本不该执行的任务,或是被植入木马、投放勒索病毒,使业务受到严重干扰。再如SQL注入漏洞,攻击者能通过漏洞获取企业内部的敏感数据,甚至在暗网中出售这些数据,造成数据泄露,给企业带去不可估量的损失。
企业该如何防范0day漏洞?
企业必须认识到0day漏洞的危害,并采取多层次的安全防护措施,建设纵深的防御体系。
该负责人建议,企业应该在防御体系的第一层——网络层面进行拦截和检查,确保外部的恶意请求无法轻易侵入内部,进行破坏;在防御体系的第二层——主机层面部署安全监控工具,以便及时发现并响应主机安全事件;第三层是运行在主机上的应用程序层面,可以部署如WAF(Web应用防火墙)和RASP(运行时应用自我保护)等技术,以保护应用程序免受攻击。
“在防御体系的不同层级上都应该架设安全产品,让它们共同形成多层防护,这样才有可能去对抗0day漏洞这样的未知攻击。”该负责人强调。
青藤天睿到底怎么抓0day漏洞?
随着信息技术演进,攻击者的手段也在发生变化,逐渐研发出了超出以往安全工具检测范围的攻击方式,如直接运行在应用内存中的内存马,它不仅隐蔽性强,危害性也非常大。这也倒逼着安全解决方案供应商不断的去迭代、升级、研究新的技术去解决新兴的对抗问题。
正是在这样的背景下,青藤基于RASP技术进行了相应的实践落地。RASP可以通过插桩技术,即在应用程序内部植入监控代码,直接嵌入到应用程序内部。
该负责人指出,这个位置可以产生很多安全应用的方向,如在攻击防护层面,可以在应用内存里监控攻击、阻断攻击;在插桩的基础上,还可以同时收集应用内部传输的数据,包括应用表现出来的风险。
“在发现RASP技术有这么多可能性之后,我们就开始着重去研发这款产品了。“该负责人告诉采访人员。于是,经过三年的产品孵化,与种子客户的合作实践、打磨,在今年4月,基于RASP技术的应用安全产品青藤天睿正式发布了。
而青藤天睿之所以能够有效防护0day漏洞的攻击,是因为:通过在应用程序内部进行插桩时,RASP可以监控应用程序的所有底层调用接口,监控应用程序的所有行为。而0day漏洞需要利用应用程序里的代码来进行攻击,这个行为也离不开底层调用接口,所以也会被RASP监控到。RASP能够非常准确的告知用户:漏洞利用进来的入口路径是什么,调用相应的函数方法是什么,这样就可以准确的帮助用户去定位这个漏洞。所以即使RASP在之前并不知道任何关于这个漏洞的情况,它也能够在行为层面直接防护住漏洞的攻击。
“根据这个原理,RASP技术不仅能有效防护0day漏洞,还能防护很多WEB层面的常见攻击,包括OWASP Top Ten中列出的多种常见网络攻击类型。“该负责人补充到。
部署青藤天睿复杂吗?
对于企业用户来说,安全技术能否在企业内部稳定、持续、有效的运行至关重要,否则这种安全防护手段就等于不存在。为了降低RASP技术的实施成本,使其在企业业务中更好的运行,青藤最终选择以动态注入的方式为企业部署RASP。
该负责人解释到,这个原理就是利用代码语言原生开放出来的接口,可以在运行的过程中调用这个接口,把RASP相关的防护代码放到应用程序内,与应用程序一起运行。而且这个动态注入防护代码的过程不需要应用程序重启。无论应用程序是在初期运行阶段,还是已经运行了很长时间,都可以灵活的注入,对企业用户来说非常友好。
除了动态注入模式,青藤也提供了静态注入模式,这种情况需要企业自己在编写代码的过程中就加入青藤相应的代码,并且为它配置相应的启动参数。当业务启动时,就会自动加载相应的RASP防护模块了。而且,该功能需要在应用重启之后才能生效。
为了让青藤天睿更好的集成到企业现有的安全体系中,青藤也进行了很多探索,决定将其与原有的产品体系进行良好的整合。基于青藤在主机安全方面积累的产品,青藤把RASP模块与HIDS探针进行了相应的结合,使客户可以通过一个Agent直接开启RASP的能力,在应用内部直接上线这种安全防护。
“对于企业客户来说,如果安全体系中具备了HIDS和WAF产品,那么RASP就会在其中起到一个桥梁的作用。“该负责人解释到,因为WAF采集的流量信息和主机获取的主机操作系统层面的信息之间存在壁垒,不能一一对应,所以在过去的安全攻击追溯中,流量和主机层面的链条是断开的,这也导致了溯源的难度加大。引入RASP技术以后,它能够起到承上启下的作用,既能发现应用程序接收到流量之后表现出来的行为,也能知道这些行为最后在主机中表现成什么样。
“所以说,RASP技术能够真正帮助客户完成纵深的防护,同时在安全追溯上形成完整的链条,既能以桥梁的方式在安全体系中发挥重要的作用,也相当于是一个补足的角色,可以弥补企业的安全短板,让企业的安全体系整体达到一个新高度。“
该负责人还向企业用户建议,安全建设没有绝对的替代品,每个安全产品都会发挥自己独特的作用,在每个位置都设置一个“守门员“,才能形成相对完善的安全防护体系。企业可以大胆的拥抱新技术,毕竟安全不是为了维护企业的成本,它也会为企业创造出新的价值。而且,青藤的产品都是在种子客户中进行了广泛的实践和验证之后才去做真正的推广,已经属于成熟的状态了。目前青藤天睿已经得到了数十家金融企业和央企的采用和赞许。
青藤RASP的核心优势
不过,随着越来越多的企业用户意识到了RASP技术的价值,许多安全解决方案供应商也陆续推出了RASP技术相关的产品。该负责人告诉采访人员,在这一领域,青藤有自己独特的核心优势:
其一是青藤多年来在主机安全方面的积累,可以让RASP技术做得更加稳固。它可以和青藤产品万相、蜂巢直接融合,基于已经建设的安全产品,快速铺开RASP技术,在企业内部上线的成本是最低的,而且非常方便快捷。
其二是青藤对于RASP功能的探索并没有仅限于攻防层面,还包括挖掘RASP在解决应用风险和数据风险方面的能力和价值点,所以领先于其他仍处于研发阶段的厂商。
“我们会在这个领域不断尝试做一个先驱者。“该负责人强调。
(刘沙)
