信息技術的高速發展所帶來的機遇與風險并存，Web應用、API網關逐漸成為黑客入侵的主要入口。數據顯示，2021年，超八成網絡攻擊都是針對應用層面的漏洞展開的，除了企業自研代碼本身的缺陷外，通過軟件供應鏈引入的缺陷是攻擊者的新“寵兒”。例如2021年末的“核彈級”Apache Log4j 2的RCE漏洞，幾乎波及了 90% 的Java應用。針對越發隱避、多變的攻擊手段，傳統基于流量特征分析的網絡安全防護設備已經顯得“力不從心”，企業安全團隊已經疲于應對各類0day漏洞，和為不斷新增的漏洞打補丁、增加安防設備規則。

　　因此，現代應用需要安全防護“左移”，推動安全戰略從“傳統基于邊界防護的安全”向“面向應用現代化的內生安全”模式轉變。

　　運行時應用程序自我保護（Runtime Application Self-Protection, RASP）作為降低應用風險的一項關鍵技術，通過應用程序運行時的內部數據來發現和攔截攻擊，對解決上述行業痛點，助力企業數字化轉型，推動實現產品創新、供應鏈優化、業務模式創新和提升用戶體驗具有重要作用，故發布本期牛品推薦——懸鏡安全：云鯊 RASP 自適應威脅免疫平臺。

　　標簽

　　01

　　運行時安全切面、0day防御、DevSecOps、應用出廠安全內建、第三方組件安全防護、應用安全自防御

　　用戶痛點

　　02

　　一、非法攻擊識別難度大

　　不同應用程序漏洞類別不同，攻擊者會采用特定的攻擊加以利用，相同的HTTP請求對于不同的程序來說可謂是“甲之蜜糖乙之砒霜 ”，這使得基于傳統規則的安全防護產品難以滿足用戶日益增長的多場景、多類別漏洞識別需求。

　　二、傳輸協議多元化

　　現代應用程序使用的格式和協議復雜，需要面對諸如 JSON、XML、序列化對象和自定義二進制等多種格式。請求指令不僅只有HTTP，還包括WebSocket等在內的個性化協議，傳統的WAF難以對傳輸協議做到完全支持。

　　三、實際應用場景多樣化

　　軟件行業發展迅速，容器、IaaS、PaaS、虛擬和彈性環境激增。在不同環境下，快速部署應用程序和API成為用戶的核心要求；DevOps大行其道也進一步加快了集成、部署和交付的速度，因此，需要獨立部署的WAF存在“致命”弱點，即不能滿足用戶實用場景下的靈活性需求。

　　四、供應鏈安全威脅嚴峻

　　當下，軟件開發不再是閉門造車，開發過程會引入大量的第三方組件和代碼。但這一發展變化也增加了安全隱患，第三方組件多由社區維護，魚龍混雜，安全漏洞往往不能被及時發現和修復，供應鏈安全威脅日益嚴峻。

　　五、傳統防御措施效果差

　　傳統WAF會在網絡流量到達應用程序服務器之前對其進行分析，完全獨立于應用程序進行工作。這種“在門外處理”的方式，無法真正核實請求的合法性，漏殺錯殺成為常態，因此管理員只能使其處于“日志模式”。

　　故而企業組織亟需一款能夠依據應用程序運行時上下文、從應用程序內部視角出發、不依賴流量特征分析、基于行為特征分析的應用安全威脅自我免疫平臺。

　　解決方案

　　03

　　一、云鯊RASP介紹

　　懸鏡的云鯊RASP是一款自適應威脅免疫平臺，基于運行時情景感知技術可以精準識別應用運行時存在的漏洞，并進行深度風險分析，保障軟件安全運行。

　　同時，云鯊RASP提供IAST以及Runtime-SCA 解決方案，從研發、測試再到生產使用同一探針通過不同模式即可實現不同場景的用戶需求。例如在研發、測試階段，將產品切換到IAST模式，即可提供高精度的應用安全測試結果和第三方組件的依賴清單、已知漏洞、許可證等信息；在生產環節，將產品轉換為RASP模式，即可為應用程序提供0day漏洞防護。探針與應用系統的兼容性已經在測試流程中通過驗證。

　　二、云鯊RASP部署架構

　　云鯊RASP部署架構

　　如上圖所示，云鯊RASP采用B/S架構部署，主要包括Agent、 Agent Server和Web Server三個組件，XShark Agent處理并收集上報應用程序運行時數據；Agent Server進行 Agent統一管控和數據預處理；Web Server 提供可視化操作界面以及數據分析與展示。所有組件均可集群化部署，并支持高可用。

　　防護案例

　　04

　　以Apache Log4j 2 RCE漏洞為例，介紹云鯊RASP如何防御0Day漏洞。如下圖所示，Log4j 2漏洞利用過程包括5個步驟：

　　Step1：攻擊者首先通過瀏覽器、Postman等工具構造包含 ${jndi:xxxx} 的惡意請求包；

　　Step2：Java應用程序接收到該請求，并通過Log4j-core-2.x進行日志記錄；

　　Step3：Log4j 2在處理日志時，發現了${}包裹的JNDI請求，于是直接解析該請求，向攻擊者事先準備好的服務器發送請求；

　　Step4：攻擊者事先準備好的服務器中包含了惡意代碼，當接收到請求時會將惡意代碼通過響應返回給請求者；

　　Step5：Log4j 2反射并解析該惡意代碼，最終導致被攻擊。

　　在傳統的流量側防御設備中，通常是在步驟1階段進行流量關鍵字匹配。但由于0Day漏洞沒有相關特征規則，很難進行預測性的防御，通常只能在收集到威脅情報后做應急補丁響應。云鯊RASP工作在應用運行環境中，可以同時覆蓋到企業的自研代碼、第三方組件以及Web應用容器。當攻擊發生時，能結合應用程序上下文進行精準攔截。在上述步驟3中，“應用程序沒有對用戶輸入的參數做額外校驗就直接向外部服務器發起了請求”這個行為將會觸發云鯊RASP防護規則，并上報SSRF（服務端請求偽造）攻擊事件。另外，在步驟5中，應用程序直接通過反射執行來自外部服務器的代碼，若其中包含敏感命令或敏感文件的訪問，這個行為將會觸發云鯊RASP反射型命令執行規則，并進行攔截和告警。

　　云鯊RASP檢測漏洞的原理是從應用程序運行時環境出發，基于特殊行為進行分析判斷，不依賴請求特征。不論請求結構如何變形，只要最后觸發到敏感操作，就會被檢測到，因此可以防御0Day漏洞。

　　盡管云鯊RASP相對于傳統的邊界防護設備有一定的優勢，但應用運行時環境的插樁是一把雙刃劍，在為應用程序提供保護的同時，也會占用一定的系統開銷。因此云鯊RASP不適合進行復雜的計算和分析任務，目前階段仍無法完全替代傳統的邊界防護設備。所以當下更好的方案是RASP與傳統邊界防護設備相互補充，形成全方位的保護體系。

　　產品特點

　　05

　　一、用戶友好，縮減成本

　　云鯊RASP采用AI檢測引擎、應用攻擊漏洞免疫算法、運行時安全切面調度算法以及縱深流量學習算法等技術，并結合應用程序上下文情景分析能力，將主動防御能力運用到實際業務場景之中。用戶在日常使用時，無需配置流量檢測規則、沒有學習過程、也無需設定黑名單，進一步為企業安全團隊節省產品運行維護成本。

　　二、內生安全，檢測精準

　　云鯊RASP的探針以附加形式與應用程序一起運行，無需額外修改現有代碼邏輯，并從應用內部視角出發，結合應用運行時上下文，精準研判真正的風險行為，提供兼具業務透視和業務代碼解耦的內生主動安全防御能力。

　　三、兼容性強，無縫銜接

　　云鯊RASP兼容Java、Python、PHP等主流開發語言，部署上能兼容物理機、虛擬機、微服務、容器化以及云原生等技術，能與多種開發運行環境實現無縫接入。

　　四、應用場景豐富

　　云鯊RASP覆蓋面廣，可廣泛應用于包括但不僅限于金融、能源、電商、泛互聯網、汽車制造等行業的DevSecOps敏捷安全體系建設、軟件供應鏈風險治理等體系場景。

　　典型應用場景

　　06

　　以下從安全運營、企業Web防護、應用安全、攻防演練4個方面進行典型應用說明。

　　一、安全運營：

　　在敏捷開發運營環境下，云鯊RASP可以為不同團隊提供定制化界面，在不同團隊間共享同一數據源，實現企業研發、運維、安全團隊之間的通力合作，降低溝通成本。例如，當項目要求快速迭代時，應用上線前可能來不及修復所有漏洞。為了項目交付和業務安全上線，安全團隊可以通過云鯊RASP的“熱補丁”技術，修補應用的缺陷和安全漏洞；

　　云鯊RASP安全運營

　　運維/持續交付：云鯊內嵌了詳盡的探針部署指南，運維人員可以根據企業內業務部署模式和架構，選擇合適的方案進行部署；

　　安全運營團隊：云鯊RASP不依賴流量特征，而是基于特定行為進行分析，進一步降低誤報，同使防護規則更加精簡高效；

　　研發團隊：云鯊RASP結果報告中不僅包括攻擊事件的完整URL，還包括函數調用棧、相關代碼文件，以及行號，可協助開發人員精準定位缺陷位置。同時，云鯊RASP提供完整的漏洞知識庫，包括缺陷產生的原因、危害、防治方法以及源代碼示例，可協助研發人員快速修復問題。

　　二、企業Web防護：

　　在企業Web應用日常防護中，云鯊RASP可以區分不同的業務場景，提供數據分析能力，并可自動繪制圖表呈現應用程序的風險詳情。

　　三、應用安全：

　　當應用安全遭遇威脅時，在應用安全遭遇威脅時，云鯊RASP可以將自身安全保護代碼嵌入到運行中服務器的應用程序上，通過對訪問應用系統的每一段代碼進行檢測，實時檢測所有的應用請求并有效阻斷安全攻擊，最終實現應用系統的自我保護，確保應用系統的安全運行。

　　四、攻防演練：

　　在攻防演練場景中，由于當前藍方陣營武器庫大多運行在網絡層、傳輸層和應用層，因此難以針對業務場景制定規則，存在誤報、漏報問題。云鯊RASP可以在不依賴請求特征的情況下，在應用內部進行分析，精準截獲真正具有風險的操作。并且對于“偽裝”、“變種”的攻擊手段依然能夠保證有效性。

　　用戶反饋

　　07

　　做好DevSecOps敏捷安全體系建設，配套工具鏈技術的支撐非常重要。懸鏡云鯊RASP自適應威脅免疫平臺作為一種新興應用安全防護解決方案，在落地實踐過程中體現出了高檢出率、低誤報率及柔和嵌入現有DevOps體系等創新性，可為業務系統提供出廠安全內建。

　　——某金融行業客戶

　　云鯊RASP解決了外采第三方應用的安全問題，無需修改代碼、無需配置復雜規則，同時也能覆蓋開源組件的安全。

　　——某政企行業客戶

　　懸鏡安全“代碼疫苗”技術讓應用安全測試（AST）、軟件成份分析（SCA） 和運行時應用自我保護（RASP） 通過一個探針全部完成，極大簡化了 DevOps 工具鏈集成難度，讓應用的構建和發布更加的安全、快速。

　　——某互聯網行業客戶

　　安全牛評

　　盡管開發流程的安全管控、黑白盒測試等安全左移方案在逐漸使應用程序變得健壯，但經驗證明，無論上線前的測試再怎樣充分都經不住時間考驗，都會隨著技術演進暴露出各種脆弱性，特別是利用應用開發引擎漏洞的提權攻擊已成為高級威脅攻擊的殺手锏。但應用程序的生命周期不會隨漏洞的出現而終止，應用程序在運行時需要更細粒度的安全防護。RASP通過對應用開發引擎的行為分析，透視應用運行中指令解析和接口調用時的漏洞利用風險，從空間維度看確實可以彌補傳統WEB應用防護向下檢測能力的不足，同時又填補了應用軟件架構開發中的一個安全空白區。