專題一:【安天攻防演練專題】防守要點與解決方案專題五:【安天攻防演習專題】運用文件分析提升威脅發現
專題七:【安天攻防演練專題】WEB 在線實時主動防禦
本期為【安天攻防演練專題】系列的第八期,將分享在攻防演練期間 Antiy RASP 如何幫助 WEB 業務系統擁有「威脅自免疫」能力,同時與傳統 WEB 網站安全防護產品協作,有效實現「雙重防護」。
在攻防演練場景中,為了保障應用程序安全,通常會部署多種安全防護產品,其中最為常見的是的基於流量檢測類的安全設備,例如 WAF 產品。該類產品就像是給業務系統戴上了「口罩」,可在應用外側提供防禦,並對流量進行過濾清洗,但應用本身對「威脅」是缺少感知的。這種防禦方式,雖然對於攻擊方的掃描行為或者是攻擊嘗試,都能進行識別和發現,但在龐大的流量告警場景下,對於中間是否穿插有攻擊成功的請求,就需要有安全專家根據響應包以及經驗來進行二次的研判分析,甚至進一步定位到業務系統現場,在主機層面進行排查。更極端的情況是,若遇到高水平攻擊者使用針對性的混淆、變形手段,甚至是 0Day 漏洞攻擊來繞過流量安全設備,此時的攻擊行為就更難被發現了,就只能依靠主機層面的防護措施或一些後續通用流量特徵來識別了。歸根結底,「口罩」模式的防禦方法,畢竟不是應用本身的一部分;而能及時感知和確認自身遭遇「威脅攻擊」的最佳「位置」,還是應用本身。安天應用威脅自免疫(以下簡稱:Antiy RASP)作為應用運行時的自我防禦工具,可以在應用內部對攻擊進行識別與防禦,即為業務系統增加自我防護與免疫能力的一劑「疫苗」。
圖1WAF + Antiy RASP 對應用系統的雙重防護模式示意在攻防演練前,為應用系統注入 Antiy RASP,可在傳統「口罩」模式防禦基礎上補充自我免疫「威脅」的能力,形成雙重防護模式,切實有效地阻止「遠程命令執行」、「上傳 WebShell 」等重症的發作。Antiy RASP 與應用緊密結合,在關鍵函數執行前進行安全檢測,為應用自身賦能安全防護能力,低誤報,高檢出地智能攔截各類已知及未知漏洞,並提供漏洞成因管理、報警通知、安全檢查等多種能力。具有高性能、高兼容性,部署便捷的特性。
可在無定製化的情況下,支持 HTTPS 業務、自加密請求場景的防禦。針對高水平、變形繞過的攻擊,甚至 0day 漏洞攻擊,Antiy RASP 可基於行為特徵進行有效檢測,並精準定位漏洞詳情。
問題1:攻防演練期間,陳舊、缺乏維護的業務系統是被攻擊的重點目標,但又要保證其正常運行,怎麼辦?
Antiy RASP:為陳舊的應用系統嵌入最新的安全檢測代碼,在不影響業務的正常運行的前提下,提供安全防護。問題2:攻防演練期間出現了 0Day 漏洞,高水平的攻擊者可能繞過防禦設備,在相關對策還不完善的情況下,該如何有效防禦?Antiy RASP:基於行為特徵的通用漏洞檢測算法,可作為應對 0Day 漏洞的兜底手段,極大提高應用安全防護能力的短板。問題3:應用系統的數據使用了加密數據傳輸,未做定製化的流量安全設備無法解密則無法防禦?
Antiy RASP:因注入位置的特性,使其可以對解密後、格式化後的數據進行研判分析,精準識別攻擊者的意圖,而不受混淆繞過、加密請求的干擾。問題4:如何在應急處置過程中得分,以最快的速度獲得漏洞定位與修復能力,以及業務整改恢復能力?
Antiy RASP:在成功實現攻擊防禦後,可以知曉惡意行為是如何產生,漏洞是如何造成的。不僅可以幫助後續修復,也可支撐及時為同類應用修復與響應。問題5:1day 漏洞詳情公布了,如何快速自查應用依賴是否在受影響清單中?Antiy RASP:通過組件管理功能,可確認應用依賴的版本信息。
Antiy RASP 採用探針 + 平台管理的方式,平台支持 SaaS 化部署和私有化部署兩種方式。SaaS 化部署:只需在安天垂直響應服務平台上申請開通後,創建對應的企業租戶即可使用。私有化部署:支持容器化、非容器化多種部署方式;適用於探針無法出網的情況。2. 探針(Agent):嵌入到應用內部,為應用提供安全防護能力JAVA 語言支持 Windows / Linux,JDK7-17,OracleJDK / OpenJDK ,Tomcat / Spring Boot / Jboss / PHP /…等環境的任意組合。PHP 語言支持 Linux 環境下5.4、5.5、5.6、7.0、7.1、7.2、7.3、7.4版本。同時,提供一鍵安裝腳本(程序)和安裝鏡像,可在不重啟應用的情況下,動態注入到需要被保護的主機進程、Docker 容器、Kubernetes 集群。並支持引擎熱更新。
使用 Hook 技術對各類關鍵函數進行監測,根據用戶輸入、已知規則等對函數調用進行污點追蹤和快速檢查,自動攔截風險調用並提示運維和開發人員。支持攔截48種類型攻擊(JAVA 語言23類、PHP 語言25類),覆蓋絕大多數常見漏洞。每次攻擊事件均會詳盡地記錄相關信息,包括全部的用戶輸入、完整的請求信息、觸發的漏洞類型、格式化後的攻擊 Payload 、觸發漏洞時應用的瞬時堆棧信息、涉及的資產信息,並提供修復建議。幫助開發人員快速準確定位並修復漏洞。應用依賴庫信息統一展示,方便定位是否存在供應鏈污染問題。通過瀏覽器的安全特性,通過輸出指定響應頭實現對應用的加固。檢查應用程序安全運行所需的相關配置,包括弱口令檢測、默認配置檢測、安全運維項檢測等。
下期為【安天攻防專題】系列的第九期,將分享在攻防演練場景中,如何運用應急處置工具箱實現安全運維的日常檢查和快速開展應急處置與分析取證。
留言列表