护网场景下的RASP应用实践

随着大数据、物联网和云计算的迅速发展，加之国际形势日益紧张导致的网络攻击频率和复杂度不断增加，网络安全逐渐成为国家安全的新挑战。应对这一挑战，“护网行动”应运而生。

“护网行动”是国家为解决网络安全问题而采取的重要举措之一。随着我国对网络安全的重视不断提升，越来越多的单位积极参与到护网行动中，网络安全对抗演练也愈发贴近实际场景。各机构对网络安全的态度也从被动防御转变为业务保障的刚性需求。在“护网行动”的具体实践中，通常会将参与者分为攻防两方。进攻方会在一定时间内对防守方发动网络攻击，以检测防守方（包括各类企事业单位）存在的安全脆弱性。通过这种攻防对抗，企事业单位的网络、系统和设备的安全能力得到显著提升。

Gartner引入“Runtime application self-protection”一词，简称为RASP。它是一种新型应用安全保护技术，它将防护功能与应用程序融为一体，实时检测和阻断安全攻击，使应用程序具备自我保护能力，当应用程序遭受到实际攻击伤害，就可以自动对其进行防御，而不需要进行人工干预。RASP技术通过对应用程序运行时上下文的感知和对代码语义的深入分析，可以更准确地识别异常行为，避免误报和漏报。除了被动地检测攻击，RASP还能主动阻断潜在的威胁。识别恶意行为并立即采取措施，防止攻击者利用已知或未知漏洞进行攻击。相对于传统的Web应用安全产品，RASP防护聚焦真实的已知、未知的安全威胁，弥补传统边界安全产品的先天性防护不足问题，实时监测响应和修复，提供更智能、主动、综合和全面的防护。

用户痛点

一、非法攻击识别难度大

不同应用程序漏洞类别不同，攻击者会采用特定的攻击加以利用，相同的HTTP请求对于不同的程序来说可谓是“甲之蜜糖乙之砒霜 ”，这使得基于传统规则的安全防护产品难以满足用户日益增长的多场景、多类别漏洞识别需求。

二、传输协议多元化

现代应用程序使用的格式和协议复杂，需要面对诸如 JSON、XML、序列化对象和自定义二进制等多种格式。请求指令不仅只有HTTP，还包括WebSocket等在内的个性化协议，传统的WAF难以对传输协议做到完全支持。

三、实际应用场景多样化

软件行业发展迅速，容器、IaaS、PaaS、虚拟和弹性环境激增。在不同环境下，快速部署应用程序和API成为用户的核心要求；DevOps大行其道也进一步加快了集成、部署和交付的速度，因此，需要独立部署的WAF存在“致命”弱点，即不能满足用户实用场景下的灵活性需求。

四、供应链安全威胁严峻

当下，软件开发不再是闭门造车，开发过程会引入大量的第三方组件和代码。但这一发展变化也增加了安全隐患，第三方组件多由社区维护，鱼龙混杂，安全漏洞往往不能被及时发现和修复，供应链安全威胁日益严峻。

五、传统防御措施效果差

传统WAF会在网络流量到达应用程序服务器之前对其进行分析，完全独立于应用程序进行工作。这种“在门外处理”的方式，无法真正核实请求的合法性，漏杀错杀成为常态，因此管理员只能使其处于“日志模式”。

故而企业组织亟需一款能够依据应用程序运行时上下文、从应用程序内部视角出发、不依赖流量特征分析、基于行为特征分析的应用安全威胁自我免疫平台。

解决方案

一、云鲨RASP介绍

悬镜的云鲨RASPhttps://rasp.xmirror.cn/是一款自适应威胁免疫平台，基于运行时情景感知技术可以精准识别应用运行时存在的漏洞，并进行深度风险分析，保障软件安全运行。

同时，云鲨RASP提供IAST以及Runtime-SCA 解决方案，从研发、测试再到生产使用同一探针通过不同模式即可实现不同场景的用户需求。例如在研发、测试阶段，将产品切换到IAST模式，即可提供高精度的应用安全测试结果和第三方组件的依赖清单、已知漏洞、许可证等信息；在生产环节，将产品转换为RASP模式，即可为应用程序提供0day漏洞防护。探针与应用系统的兼容性已经在测试流程中通过验证。

二、云鲨RASP部署架构

云鲨RASP部署架构

如上图所示，云鲨RASP采用B/S架构部署，主要包括Agent、 Agent Server和Web Server三个组件，XShark Agent处理并收集上报应用程序运行时数据；Agent Server进行 Agent统一管控和数据预处理；Web Server 提供可视化操作界面以及数据分析与展示。所有组件均可集群化部署，并支持高可用。

防护案例

以Apache Log4j 2 RCE漏洞为例，介绍云鲨RASP如何防御0Day漏洞。如下图所示，Log4j 2漏洞利用过程包括5个步骤：

Step1：攻击者首先通过浏览器、Postman等工具构造包含 ${jndi:xxxx} 的恶意请求包；

Step2：Java应用程序接收到该请求，并通过Log4j-core-2.x进行日志记录；

Step3：Log4j 2在处理日志时，发现了${}包裹的JNDI请求，于是直接解析该请求，向攻击者事先准备好的服务器发送请求；

Step4：攻击者事先准备好的服务器中包含了恶意代码，当接收到请求时会将恶意代码通过响应返回给请求者；

Step5：Log4j 2反射并解析该恶意代码，最终导致被攻击。

在传统的流量侧防御设备中，通常是在步骤1阶段进行流量关键字匹配。但由于0Day漏洞没有相关特征规则，很难进行预测性的防御，通常只能在收集到威胁情报后做应急补丁响应。云鲨RASP工作在应用运行环境中，可以同时覆盖到企业的自研代码、第三方组件以及Web应用容器。当攻击发生时，能结合应用程序上下文进行精准拦截。在上述步骤3中，“应用程序没有对用户输入的参数做额外校验就直接向外部服务器发起了请求”这个行为将会触发云鲨RASP防护规则，并上报SSRF(服务端请求伪造)攻击事件。另外，在步骤5中，应用程序直接通过反射执行来自外部服务器的代码，若其中包含敏感命令或敏感文件的访问，这个行为将会触发云鲨RASP反射型命令执行规则，并进行拦截和告警。

云鲨RASP检测漏洞的原理是从应用程序运行时环境出发，基于特殊行为进行分析判断，不依赖请求特征。不论请求结构如何变形，只要最后触发到敏感操作，就会被检测到，因此可以防御0Day漏洞。

尽管云鲨RASP相对于传统的边界防护设备有一定的优势，但应用运行时环境的插桩是一把双刃剑，在为应用程序提供保护的同时，也会占用一定的系统开销。因此云鲨RASP不适合进行复杂的计算和分析任务，目前阶段仍无法完全替代传统的边界防护设备。所以当下更好的方案是RASP与传统边界防护设备相互补充，形成全方位的保护体系。

产品特点

一、用户友好，缩减成本

云鲨RASP采用AI检测引擎、应用攻击漏洞免疫算法、运行时安全切面调度算法以及纵深流量学习算法等技术，并结合应用程序上下文情景分析能力，将主动防御能力运用到实际业务场景之中。用户在日常使用时，无需配置流量检测规则、没有学习过程、也无需设定黑名单，进一步为企业安全团队节省产品运行维护成本。

二、内生安全，检测精准

云鲨RASP的探针以附加形式与应用程序一起运行，无需额外修改现有代码逻辑，并从应用内部视角出发，结合应用运行时上下文，精准研判真正的风险行为，提供兼具业务透视和业务代码解耦的内生主动安全防御能力。

三、兼容性强，无缝衔接

云鲨RASP兼容Java、Python、PHP等主流开发语言，部署上能兼容物理机、虚拟机、微服务、容器化以及云原生等技术，能与多种开发运行环境实现无缝接入。

四、应用场景丰富

云鲨RASP覆盖面广，可广泛应用于包括但不仅限于金融、能源、电商、泛互联网、汽车制造等行业的DevSecOps敏捷安全体系建设、软件供应链风险治理等体系场景。

典型应用场景

以下从安全运营、企业Web防护、应用安全、攻防演练4个方面进行典型应用说明。

一、安全运营：

在敏捷开发运营环境下，云鲨RASP可以为不同团队提供定制化界面，在不同团队间共享同一数据源，实现企业研发、运维、安全团队之间的通力合作，降低沟通成本。例如，当项目要求快速迭代时，应用上线前可能来不及修复所有漏洞。为了项目交付和业务安全上线，安全团队可以通过云鲨RASP的“热补丁”技术，修补应用的缺陷和安全漏洞；

云鲨RASP安全运营

运维/持续交付：云鲨内嵌了详尽的探针部署指南，运维人员可以根据企业内业务部署模式和架构，选择合适的方案进行部署；

安全运营团队：云鲨RASP不依赖流量特征，而是基于特定行为进行分析，进一步降低误报，同使防护规则更加精简高效；

研发团队：云鲨RASP结果报告中不仅包括攻击事件的完整URL，还包括函数调用栈、相关代码文件，以及行号，可协助开发人员精准定位缺陷位置。同时，云鲨RASP提供完整的漏洞知识库，包括缺陷产生的原因、危害、防治方法以及源代码示例，可协助研发人员快速修复问题。

二、企业Web防护：

在企业Web应用日常防护中，云鲨RASP可以区分不同的业务场景，提供数据分析能力，并可自动绘制图表呈现应用程序的风险详情。

三、应用安全：

当应用安全遭遇威胁时，在应用安全遭遇威胁时，云鲨RASP可以将自身安全保护代码嵌入到运行中服务器的应用程序上，通过对访问应用系统的每一段代码进行检测，实时检测所有的应用请求并有效阻断安全攻击，最终实现应用系统的自我保护，确保应用系统的安全运行。

四、攻防演练：

在攻防演练场景中，由于当前蓝方阵营武器库大多运行在网络层、传输层和应用层，因此难以针对业务场景制定规则，存在误报、漏报问题。云鲨RASP可以在不依赖请求特征的情况下，在应用内部进行分析，精准截获真正具有风险的操作。并且对于“伪装”、“变种”的攻击手段依然能够保证有效性。