本文深入探讨了RASP技术在应对网络安全挑战,特别是HW场景中的应用。通过分析技术挑战,指出传统纵深防御体系的不足,如应用漏洞管理、东西向流量监控等。RASP技术在东西向流量检测防御实践中,能实现攻击流量内容可见、程序内部上下文分析、微服务调用链路追踪和攻击入侵响应。它作为积极防御体系的一部分,与EDR技术协同,提升应用层面的安全防护能力。
当今网络安全攻防较量已进入深水区,纵深防御体系已经成为基础。在HW场景下,关于应用漏洞攻击响应和恶意流量溯源分析的安全工作一直被视作重点,但是在实际事件处理过程中仍存在巨大的技术挑战。RASP技术作为新一代突破性的应用层积极防御技术,可在东西向Web流量自动化检测防御中起到关键作用。
1.技术挑战分析
1.1 HW场景
HW场景工作阶段可分为HW前、HW中、HW后。防守方在前期主要开展已有资产清点、漏洞风险检查、主动加固、环境隔离等工作;在中期主要进行检测防御、监控告警、事件响应、问题修复、同步情报等;在后期主要进行HW工作总结、问题处置、体系优化等。
实战中,攻击方主要会集中寻找突破点,往往聚焦在应用漏洞、0day漏洞的准备上。而对于防守方,存在技术挑战之处除了在于如何快速进行漏洞攻击响应外,也包括事后进行攻击路径溯源、事中进行攻击流量精准分析和防御。
1.2 纵深防御
安全建设是一场动态化、持久化的运动,纵深防御体系将安全建设变得更加系统化,旨在变被动为主动,基于木桶理论,从物理层到应用层提供层层防御机制。常规纵深防御有以下三处短板:
1)应用漏洞止步于漏扫,缺乏漏洞及时修复和0day漏洞免疫的机制;
2)东西向流量检测交由主机EDR和容器安全产品的微隔离技术,对于微服务间RPC协议及加密流量内容无法监测,并且无法追踪其在程序内的真实行为;
3)云原生环境下,内外网边界逐渐模糊,会暴露更多的API应用且微服务之间的访问调用关系更加复杂。
2.RASP东西向流量
检测防御实践应用
关于流量访问的模式,南北向流量通常指外部客户端对内部服务器的访问流量,东西向流量通常指内部环境下不同服务器间的访问流量。
图1 主机间的南北向流量和东西向流量说明
在以往传统纵深防御体系里,通过EDR主机微隔离技术来跟踪描绘主机之间的流量访问关系如下图所示:
最低0.47元/天 解锁文章
500
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
