本期為【安天攻防演練專(zhuān)題】系列的第八期，將分享分享在攻防演練期間 Antiy RASP 如何幫助 WEB 業(yè)務(wù)系統(tǒng)擁有“威脅自免疫”能力，同時(shí)與傳統(tǒng) WEB 網(wǎng)站安全防護(hù)產(chǎn)品協(xié)作，有效實(shí)現(xiàn)“雙重防護(hù)”。

在攻防演練場(chǎng)景中，為了保障應(yīng)用程序安全，通常會(huì)部署多種安全防護(hù)產(chǎn)品，其中最為常見(jiàn)的是的基于流量檢測(cè)類(lèi)的安全設(shè)備，例如 WAF 產(chǎn)品。該類(lèi)產(chǎn)品就像是給業(yè)務(wù)系統(tǒng)戴上了“口罩”，可在應(yīng)用外側(cè)提供防御，并對(duì)流量進(jìn)行過(guò)濾清洗，但應(yīng)用本身對(duì)“威脅”是缺少感知的。這種防御方式，雖然對(duì)于攻擊方的掃描行為或者是攻擊嘗試，都能進(jìn)行識(shí)別和發(fā)現(xiàn)，但在龐大的流量告警場(chǎng)景下，對(duì)于中間是否穿插有攻擊成功的請(qǐng)求，就需要有安全專(zhuān)家根據(jù)響應(yīng)包以及經(jīng)驗(yàn)來(lái)進(jìn)行二次的研判分析，甚至進(jìn)一步定位到業(yè)務(wù)系統(tǒng)現(xiàn)場(chǎng)，在主機(jī)層面進(jìn)行排查。更極端的情況是，若遇到高水平攻擊者使用針對(duì)性的混淆、變形手段，甚至是 0Day 漏洞攻擊來(lái)繞過(guò)流量安全設(shè)備，此時(shí)的攻擊行為就更難被發(fā)現(xiàn)了，就只能依靠主機(jī)層面的防護(hù)措施或一些后續(xù)通用流量特征來(lái)識(shí)別了。歸根結(jié)底，“口罩”模式的防御方法，畢竟不是應(yīng)用本身的一部分；而能及時(shí)感知和確認(rèn)自身遭遇“威脅攻擊”的最佳“位置”，還是應(yīng)用本身。安天應(yīng)用威脅自免疫（以下簡(jiǎn)稱(chēng)：Antiy RASP）作為應(yīng)用運(yùn)行時(shí)的自我防御工具，可以在應(yīng)用內(nèi)部對(duì)攻擊進(jìn)行識(shí)別與防御，即為業(yè)務(wù)系統(tǒng)增加自我防護(hù)與免疫能力的一劑“疫苗”。

圖1 WAF + Antiy RASP 對(duì)應(yīng)用系統(tǒng)的雙重防護(hù)模式示意

在攻防演練前，為應(yīng)用系統(tǒng)注入 Antiy RASP，可在傳統(tǒng)“口罩”模式防御基礎(chǔ)上補(bǔ)充自我免疫“威脅”的能力，形成雙重防護(hù)模式，切實(shí)有效地阻止“遠(yuǎn)程命令執(zhí)行”、“上傳 WebShell ”等重癥的發(fā)作。

1.Antiy RASP 設(shè)計(jì)原理

Antiy RASP 與應(yīng)用緊密結(jié)合，在關(guān)鍵函數(shù)執(zhí)行前進(jìn)行安全檢測(cè)，為應(yīng)用自身賦能安全防護(hù)能力，低誤報(bào)，高檢出地智能攔截各類(lèi)已知及未知漏洞，并提供漏洞成因管理、報(bào)警通知、安全檢查等多種能力。具有高性能、高兼容性，部署便捷的特性。

圖2 Antiy RASP 設(shè)計(jì)原理示意圖

可在無(wú)定制化的情況下，支持 HTTPS 業(yè)務(wù)、自加密請(qǐng)求場(chǎng)景的防御。針對(duì)高水平、變形繞過(guò)的攻擊，甚至 0day 漏洞攻擊，Antiy RASP 可基于行為特征進(jìn)行有效檢測(cè)，并精準(zhǔn)定位漏洞詳情。

2.五大攻防演練場(chǎng)景價(jià)值（Q&A）

問(wèn)題1：攻防演練期間，陳舊、缺乏維護(hù)的業(yè)務(wù)系統(tǒng)是被攻擊的重點(diǎn)目標(biāo)，但又要保證其正常運(yùn)行，怎么辦？

Antiy RASP：為陳舊的應(yīng)用系統(tǒng)嵌入最新的安全檢測(cè)代碼，在不影響業(yè)務(wù)的正常運(yùn)行的前提下，提供安全防護(hù)。

問(wèn)題2：攻防演練期間出現(xiàn)了 0Day 漏洞，高水平的攻擊者可能繞過(guò)防御設(shè)備，在相關(guān)對(duì)策還不完善的情況下，該如何有效防御？

Antiy RASP：基于行為特征的通用漏洞檢測(cè)算法，可作為應(yīng)對(duì) 0Day 漏洞的兜底手段，極大提高應(yīng)用安全防護(hù)能力的短板。

問(wèn)題3：應(yīng)用系統(tǒng)的數(shù)據(jù)使用了加密數(shù)據(jù)傳輸，未做定制化的流量安全設(shè)備無(wú)法解密則無(wú)法防御？

Antiy RASP：因注入位置的特性，使其可以對(duì)解密后、格式化后的數(shù)據(jù)進(jìn)行研判分析，精準(zhǔn)識(shí)別攻擊者的意圖，而不受混淆繞過(guò)、加密請(qǐng)求的干擾。

問(wèn)題4：如何在應(yīng)急處置過(guò)程中得分，以最快的速度獲得漏洞定位與修復(fù)能力，以及業(yè)務(wù)整改恢復(fù)能力？

Antiy RASP：在成功實(shí)現(xiàn)攻擊防御后，可以知曉惡意行為是如何產(chǎn)生，漏洞是如何造成的。不僅可以幫助后續(xù)修復(fù)，也可支撐及時(shí)為同類(lèi)應(yīng)用修復(fù)與響應(yīng)。

問(wèn)題5：1day 漏洞詳情公布了，如何快速自查應(yīng)用依賴(lài)是否在受影響清單中？

Antiy RASP：通過(guò)組件管理功能，可確認(rèn)應(yīng)用依賴(lài)的版本信息。

3.有效適配演練場(chǎng)景

Antiy RASP 采用探針 + 平臺(tái)管理的方式，平臺(tái)支持 SaaS 化部署和私有化部署兩種方式。

1. 管理平臺(tái)：提供探針的統(tǒng)一管理

SaaS 化部署：只需在安天垂直響應(yīng)服務(wù)平臺(tái)上申請(qǐng)開(kāi)通后，創(chuàng)建對(duì)應(yīng)的企業(yè)租戶(hù)即可使用。

私有化部署：支持容器化、非容器化多種部署方式；適用于探針無(wú)法出網(wǎng)的情況。

2. 探針（Agent）：嵌入到應(yīng)用內(nèi)部，為應(yīng)用提供安全防護(hù)能力

JAVA 語(yǔ)言支持 Windows / Linux，JDK7-17，OracleJDK / OpenJDK ，Tomcat / Spring Boot / Jboss / PHP /…等環(huán)境的任意組合。

PHP 語(yǔ)言支持 Linux 環(huán)境下5.4、5.5、5.6、7.0、7.1、7.2、7.3、7.4版本。

同時(shí)，提供一鍵安裝腳本（程序）和安裝鏡像，可在不重啟應(yīng)用的情況下，動(dòng)態(tài)注入到需要被保護(hù)的主機(jī)進(jìn)程、Docker 容器、Kubernetes 集群。并支持引擎熱更新。

4.重點(diǎn)能力支撐演練需求

1. 智能攔截各類(lèi)已知及未知漏洞

使用 Hook 技術(shù)對(duì)各類(lèi)關(guān)鍵函數(shù)進(jìn)行監(jiān)測(cè)，根據(jù)用戶(hù)輸入、已知規(guī)則等對(duì)函數(shù)調(diào)用進(jìn)行污點(diǎn)追蹤和快速檢查，自動(dòng)攔截風(fēng)險(xiǎn)調(diào)用并提示運(yùn)維和開(kāi)發(fā)人員。支持?jǐn)r截48種類(lèi)型攻擊（JAVA 語(yǔ)言23類(lèi)、PHP 語(yǔ)言25類(lèi)），覆蓋絕大多數(shù)常見(jiàn)漏洞。

2. 可追溯到具體漏洞點(diǎn)

每次攻擊事件均會(huì)詳盡地記錄相關(guān)信息，包括全部的用戶(hù)輸入、完整的請(qǐng)求信息、觸發(fā)的漏洞類(lèi)型、格式化后的攻擊 Payload 、觸發(fā)漏洞時(shí)應(yīng)用的瞬時(shí)堆棧信息、涉及的資產(chǎn)信息，并提供修復(fù)建議。幫助開(kāi)發(fā)人員快速準(zhǔn)確定位并修復(fù)漏洞。

3. 組件管理

應(yīng)用依賴(lài)庫(kù)信息統(tǒng)一展示，方便定位是否存在供應(yīng)鏈污染問(wèn)題。

4. 應(yīng)用加固與安全檢查

通過(guò)瀏覽器的安全特性，通過(guò)輸出指定響應(yīng)頭實(shí)現(xiàn)對(duì)應(yīng)用的加固。

檢查應(yīng)用程序安全運(yùn)行所需的相關(guān)配置，包括弱口令檢測(cè)、默認(rèn)配置檢測(cè)、安全運(yùn)維項(xiàng)檢測(cè)等。

下期預(yù)告

下期為【安天攻防專(zhuān)題】系列的第九期，將分享在攻防演練場(chǎng)景中，如何運(yùn)用應(yīng)急處置工具箱實(shí)現(xiàn)安全運(yùn)維的日常檢查和快速開(kāi)展應(yīng)急處置與分析取證。。