【攻防演練專題】為業務系統注入“疫苗”

本期為【攻防演練專題】系列的第八期，將分享在攻防演練期間 Antiy RASP 如何幫助 WEB 業務系統擁有“威脅自免疫”能力，同時與傳統 WEB 網站安全防護產品協作，有效實現“雙重防護”。

在攻防演練場景中，為了保障應用程序安全，通常會部署多種安全防護產品，其中最為常見的是的基于流量檢測類的安全設備，例如 WAF 產品。該類產品就像是給業務系統戴上了“口罩”，可在應用外側提供防御，并對流量進行過濾清洗，但應用本身對“威脅”是缺少感知的。

這種防御方式，雖然對于攻擊方的掃描行為或者是攻擊嘗試，都能進行識別和發現，但在龐大的流量告警場景下，對于中間是否穿插有攻擊成功的請求，就需要有安全專家根據響應包以及經驗來進行二次的研判分析，甚至進一步定位到業務系統現場，在主機層面進行排查。更極端的情況是，若遇到高水平攻擊者使用針對性的混淆、變形手段，甚至是 0Day 漏洞攻擊來繞過流量安全設備，此時的攻擊行為就更難被發現了，就只能依靠主機層面的防護措施或一些后續通用流量特征來識別了。

歸根結底，“口罩”模式的防御方法，畢竟不是應用本身的一部分；而能及時感知和確認自身遭遇“威脅攻擊”的最佳“位置”，還是應用本身。

應用威脅自免疫（以下簡稱：Antiy RASP）作為應用運行時的自我防御工具，可以在應用內部對攻擊進行識別與防御，即為業務系統增加自我防護與免疫能力的一劑“疫苗”。

圖1 WAF + Antiy RASP 對應用系統的雙重防護模式示意

在攻防演練前，為應用系統注入 Antiy RASP，可在傳統“口罩”模式防御基礎上補充自我免疫“威脅”的能力，形成雙重防護模式，切實有效地阻止“遠程命令執行”、“上傳 WebShell ”等重癥的發作。

01、Antiy RASP 設計原理

Antiy RASP 與應用緊密結合，在關鍵函數執行前進行安全檢測，為應用自身賦能安全防護能力，低誤報，高檢出地智能攔截各類已知及未知漏洞，并提供漏洞成因管理、報警通知、安全檢查等多種能力。具有高性能、高兼容性，部署便捷的特性。

圖2 Antiy RASP 設計原理示意圖

可在無定制化的情況下，支持 HTTPS 業務、自加密請求場景的防御。針對高水平、變形繞過的攻擊，甚至 0day 漏洞攻擊，Antiy RASP 可基于行為特征進行有效檢測，并精準定位漏洞詳情。

02、五大攻防演練場景價值（Q&A）

問題1：攻防演練期間，陳舊、缺乏維護的業務系統是被攻擊的重點目標，但又要保證其正常運行，怎么辦？

Antiy RASP：為陳舊的應用系統嵌入最新的安全檢測代碼，在不影響業務的正常運行的前提下，提供安全防護。

問題2：攻防演練期間出現了 0Day 漏洞，高水平的攻擊者可能繞過防御設備，在相關對策還不完善的情況下，該如何有效防御？

Antiy RASP：基于行為特征的通用漏洞檢測算法，可作為應對 0Day 漏洞的兜底手段，極大提高應用安全防護能力的短板。

問題3：應用系統的數據使用了加密數據傳輸，未做定制化的流量安全設備無法解密則無法防御？

Antiy RASP：因注入位置的特性，使其可以對解密后、格式化后的數據進行研判分析，精準識別攻擊者的意圖，而不受混淆繞過、加密請求的干擾。

問題4：如何在應急處置過程中得分，以最快的速度獲得漏洞定位與修復能力，以及業務整改恢復能力？

Antiy RASP：在成功實現攻擊防御后，可以知曉惡意行為是如何產生，漏洞是如何造成的。不僅可以幫助后續修復，也可支撐及時為同類應用修復與響應。

問題5：1day 漏洞詳情公布了，如何快速自查應用依賴是否在受影響清單中？

Antiy RASP：通過組件管理功能，可確認應用依賴的版本信息。

03、有效適配演練場景

Antiy RASP 采用探針 + 平臺管理的方式，平臺支持 SaaS 化部署和私有化部署兩種方式。

1. 管理平臺：提供探針的統一管理

SaaS 化部署：只需在安天垂直響應服務平臺上申請開通后，創建對應的企業租戶即可使用。

私有化部署：支持容器化、非容器化多種部署方式；適用于探針無法出網的情況。

2. 探針（Agent）：嵌入到應用內部，為應用提供安全防護能力

JAVA 語言支持 Windows / Linux，JDK7-17，OracleJDK / OpenJDK ，Tomcat / Spring Boot / Jboss / PHP /…等環境的任意組合。

PHP 語言支持 Linux 環境下5.4、5.5、5.6、7.0、7.1、7.2、7.3、7.4版本。

同時，提供一鍵安裝腳本（程序）和安裝鏡像，可在不重啟應用的情況下，動態注入到需要被保護的主機進程、Docker 容器、Kubernetes 集群。并支持引擎熱更新。

04、重點能力支撐演練需求

1.  智能攔截各類已知及未知漏洞

使用 Hook 技術對各類關鍵函數進行監測，根據用戶輸入、已知規則等對函數調用進行污點追蹤和快速檢查，自動攔截風險調用并提示運維和開發人員。支持攔截48種類型攻擊（JAVA 語言23類、PHP 語言25類），覆蓋絕大多數常見漏洞。

2.  可追溯到具體漏洞點

每次攻擊事件均會詳盡地記錄相關信息，包括全部的用戶輸入、完整的請求信息、觸發的漏洞類型、格式化后的攻擊 Payload 、觸發漏洞時應用的瞬時堆棧信息、涉及的資產信息，并提供修復建議。幫助開發人員快速準確定位并修復漏洞。

3.  組件管理

應用依賴庫信息統一展示，方便定位是否存在供應鏈污染問題。

4.  應用加固與安全檢查

通過瀏覽器的安全特性，通過輸出指定響應頭實現對應用的加固。

檢查應用程序安全運行所需的相關配置，包括弱口令檢測、默認配置檢測、安全運維項檢測等。

原文來源：安天集團