青藤天睿•RASP应用安全防护新品正式发布
近日,以“为应用植入原生安全能力”为主题的青藤天睿•RASP应用安全防护新品发布会成功举办。会上,青藤天睿产品负责人李智炜对天睿的核心能力及应用场景做了深入解读。同时,本次发布会非常荣幸邀请到了中国信通院云计算与大数据研究所开源和软件安全部高级业务主管吴江伟,数世咨询创始人兼总经理李少鹏,分享和探讨攻防背景下的应用安全演变趋势与应对策略。
图1 青藤天睿•RASP应用安全防护新品发布会
应用安全面临严峻挑战
随着互联网技术与应用场景的飞速发展,应用程序已成为商业和生活中不可或缺的一部分。同时,这些发展趋势也对应用程序的安全性提出了更高的要求:
应用程序数量激增:随着更多的业务流程和客户服务迁移到线上,组织将开发和部署更多的应用程序来满足这些需求。
数据泄露事件频发:应用程序处理着大量重要数据,吸引越来越多的攻击者利用应用漏洞发起攻击,且攻击手段不断演进,导致数据泄露事件频发。
开源代码广泛使用:开源软件和第三方库的广泛使用,在带来开发便利的同时,也引入了更多潜在的应用安全风险。这些组件可能包含未被发现的安全漏洞,一旦被利用会影响到整个应用的安全。
云计算和微服务架构普及:云计算和微服务架构的采用使得应用的复杂性和分布式部署增加,不仅带来了新的安全挑战,也使得安全防护更加重要。
企业对业务系统的高要求:企业对业务连续性和服务可用性的要求不断提高,应用安全事件导致的服务中断,将给企业带来不可估量的经济损失。
为应对以上趋势与挑战,采取有效的安全措施加强应用安全防护已成为当务之急。青藤云安全基于多年技术创新优势及丰富的实战经验积累,自主研发出一款基于RASP技术的应用安全防护产品——天睿,为应用程序提供更智能、主动的全生命周期的动态安全防护解决方案。
为应用植入原生安全能力
为应用植入原生安全能力——青藤天睿,补足传统安全缺失的应用内部视角,通过插桩技术将主动防御能力融合至应用程序运行环境中,捕捉并拦截各种绕过流量检测的威胁攻击,如内存马、SQL注入、0day攻击等,让应用具备强大的自我防护能力,帮助企业发现和治理应用风险,保障应用运行时的安全。
图2 青藤天睿产品部署图
核心功能
0Day攻击防护:通常攻击检测是依赖已有规则,0day漏洞无相应规则所以容易绕过。RASP对攻击的检测是基于无规则的逻辑检测,能够接管并监控应用程序的底层调用,而攻击必然会产生后续动作,如数据库访问、命令执行等均无法绕过底层调用,所以RASP对已知攻击和未知0day攻击都能有效防护。
内存马防御:内存⻢攻击具备极高的隐蔽性和危害性,只有深⼊应⽤内部检测才能形成有效防御。⻘藤天睿针对内存⻢攻击提供三道防护屏障,在内存⻢的攻击路径上层层拦截,从而对意图注入及已注入的情形实现全面防护。
应用热补丁:针对漏洞修复成本⾼、影响⼤、难推进的问题,⻘藤天睿可在应⽤不重启的情况下,对运⾏中的应⽤提供补丁修复,并可对新爆发的漏洞随时更新相应修复能⼒,⾼效⽀持热点漏洞的应急响应。
弱密码检测:青藤天睿通过登录行为来监控弱密码登录情况,支持应用和中间件弱密码检测,可根据企业要求设置检测规则。登录过程被动识别弱⼝令,不主动扫描,所以不会引起账号锁定等问题,并可获取明⽂检测比对更加精准。
数据链路监测:青藤天睿能够获取应用完整的调用链路信息,得知API的数据传递链路,从而在数据追踪上发挥出众的代码定位效果;能够呈现应用内部微服务的拓扑信息,据此得知服务调用关系,发现调用风险;能够呈现不同应用之间的访问关系,发现异常访问连接。
组件清点检测:随着开源组件频发漏洞,应用的供应链安全问题备受关注,青藤天睿能够在应用运行时实时监控和发现组件库真实的调用情况,并获取例如组件库的版本信息,分析其存在的风险,提供完整的组件库安全治理能力,避免供应链攻击的发生。
产品优势
防护效果好:运行在应用程序内部,进行接口调用上的监控,相比边界拦截成功率高很多。
业务影响小:Agent动态安装卸载,无需业务重启,不影响其他服务进程,和业务代码不冲突。
适配兼容度高:适配所有Java版本,与其他Java Agent兼容性好,不影响系统已有功能。
模块扩展性强:插件各自独立,可以灵活扩展,具备动态开关机制,保障最小资源占用。
应用场景
RASP运行在应用程序内部,专注于应用层的安全场景,可以与HIDS、WAF等形成高质量纵深防御体系,尤其是在攻防演练、应用风险监测、恶意攻击防护、漏洞在线修复等场景中发挥重要作用。
攻防演练:攻防演练中,应用攻击是常用且高效的攻击手段,而大多传统安全工具无法检测容器微服务流量和加密流量,对触达应用的威胁无能为力。青藤天睿深入应用程序内部,提供东西向流量到内部调用的可视,有效拦截0day、内存马等各类攻击。
应用风险监测:开源组件漏洞频发,⻘藤天睿提供在应⽤运⾏过程中的实时⻛险监测能⼒,对应⽤中间件存在的漏洞进⾏准确识别,并能够发现应⽤弱密码等显著⻛险问题,提供完善的⻛险画像,指导⽤⼾完成⻛险问题确认和推进修复。
恶意攻击防护:传统⼊侵防护⽅案对未知攻击缺乏检测能⼒,尤其0day、内存⻢等难防护的攻击。青藤天睿对攻击的检测基于无规则的逻辑检测,对应用底层调⽤进⾏监控,让攻击⽆法绕过,并为安全⼈员提供详尽的攻击链路,⽅便漏洞定位及复现。
漏洞在线修复:老旧系统往往存在漏洞,很多没有相应补丁可直接修补,当新爆发的漏洞还未发布补丁,随时可能遭受黑客攻击,对于这些场景,青藤天睿的热补丁能力可通过特征匹配和深入漏洞利用原理屏蔽两种方式,有效进行漏洞应急防护。
如何选择合适的RASP
开发人员和IT团队正在努力将安全产品嵌入到工具和构建过程中,就像他们使用自动化工具来构建和测试产品功能一样,尽可能让安全策略自动化。
RASP正好可以满足这一要求,其完全集成到应用内部。它可以在应用运行的任何地方运行,并且随着应用的扩展而扩展——无论它是在裸机上运行、虚拟化还是在云中。RASP让安全软件表现得就像应用代码一样,真正为应用植入原生的安全能力。
安全团队正在寻找一种有效且更易于管理的应用安全工具来替代WAF,而开发团队的目标则是寻找那些可以完全嵌入到现有的应用构建和认证流程中的解决方案。当然,现有的WAF并没有被“完全替换”,但在云中或更敏捷的开发团队中使用的较少。
为了与开发流程协作,RASP解决方案需要像现代应用开发一样敏捷,通常从兼容的自动化能力开始。它需要通过在构建时捆绑到应用堆栈中与应用程序一起扩展。它应该“理解”应用程序并根据应用程序运行时定制其保护。尤其是那些正在努力实现“安全左移”的开发团队,会更希望在应用全生命周期(包括开发、预生产、生产环境)都能够获得安全可视化。
用户在选择RASP过程中,要结合组织自身发展情况来定,可以重点考察供应商以下几个方面能力。
有效性:RASP通过在应用上下文中运行来覆盖更广泛的应用威胁,并且可以运行在阻断模式和监控模式两种模式下工作。这一点在当前应用威胁的情况下尤为重要,例如通过SSRF(服务器端请求伪造)攻击Capital One云的事件。
应用感知:许多WAF提供“主动”的安全能力(白名单),但嵌入应用程序RASP提供了额外的安全可视性。此外,一些RASP平台通过识别可疑模块或代码行来协助开发人员。对于许多开发团队来说,更好的检测能力不如RASP精确定位脆弱代码重要。
API支持和自动化:像RASP这样的安全产品支持通过API提供完整的平台功能,使软件工程师能够在他们的原生环境中与RASP合作。
覆盖范围和语言支持:这仍然是RASP的最大问题,大多数RASP支持为像Java和.NET这样的核心平台提供全面支持;除此之外,对于Python、PHP等的支持仍然有些不够。我们建议将平台语言支持的广度作为RASP产品成熟度和产品选型重要标志。
预部署验证:在生产周期中越早发现错误,修复起来就越容易。与其依赖于应用部署后的漏洞扫描器和渗透测试人员,越来越多的应用安全测试是在预部署阶段进行的。当然,其他以应用为中心的工具也可以做到这一点,但RASP更容易构建到自动化测试中,通常可以确定应用程序的哪些部分存在漏洞,并且通常用于红队演习和预生产的“蓝/绿”部署场景中。
青藤天睿可以很好满足上述衡量指标,像“免疫血清”一样注入到应用程序内部,使应用程序在运行时实现自我安全保护,帮助用户实时检测和阻断已知与未知的安全攻击,为应用程序提供全生命周期的动态安全保护。