近年来,随着云计算技术的蓬勃发展,云原生已成为当下的潮流,为企业的IT基础设施、数字化应用架构带来了颠覆性的变革,越来越多的企业将技术和业务全部构建在云上,云原生应用正引领下一个应用时代。从安全的视角来看,云原生安全成为企业最关心的风险敞口之一,云原生应用安全防护面临诸多挑战,DevSecOps作为云原生安全建设的重要部分势在必行。
在这样的背景下,作为“代码疫苗技术”核心之一的RASP运行时应用自我保护技术逐渐火热起来,作为一项与应用强关联、强绑定的安全技术,RASP被视为天然适合云原生的最佳解决方案。
11月1日,悬镜安全正式上线了云鲨RASP SaaS(以下简称“云鲨SaaS”),凭借全球首个轻量级代码疫苗技术,赋能应用内生主动安全免疫能力,构筑下一代积极防御体系,筑牢企业核心资产防护“最后一公里”。
图1 扫描二维码,即刻免费体验
国内领先的代码疫苗技术 赋能RASP智能免疫未知威胁
悬镜首创的代码疫苗技术,核心是把安全检测和防护逻辑注入到运行时的数字化应用中,如同疫苗一般与应用融为一体,使其实现对风险的自发现和对威胁的自免疫。
运行时应用自我保护(RASP)这一概念由Gartner于2012年提出,并在2014年Gartner的应用安全报告里被列为应用安全领域的关键趋势。
RASP正是悬镜原创专利级代码疫苗技术的核心组成部分,基于运行时动态插桩的智能单探针技术可以获取、操作应用运行时的精准数据,进而实现检测防御相关的诸多功能,甚至能将多种能力组合、串联,形成一个统一的运行时安全探针。凭借轻量级代码疫苗技术,云鲨SaaS通过插桩专利级AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术,将防护逻辑与防护功能注入应用程序,深入应用运行时的环境内部,无需人工干预,使应用拥有威胁自免疫能力。当应用程序开始运行时,RASP可以通过分析与了解数据流及事件流,检测和防护无法预见的安全威胁与攻击事件,尤其在0Day等未知漏洞防御、东西向流量防护、软件供应链投毒免疫等方面,拥有绝对的核心优势。
1// 0Day漏洞防御
众所周知,在Log4j2.x漏洞事件中,RASP技术因其能够防御未知漏洞的特性,保护了大量企业免遭漏洞的侵扰,也因此一夜之间在整个IT行业中爆红。那为什么RASP能够防御0Day漏洞这一近乎无敌的大杀器呢?
几乎所有的攻击手段最终都可以归纳为敏感命令执行、敏感文件读写、敏感数据库操作等异常行为。以Log4j2.x漏洞为例,攻击者无论是利用它向外部服务器发送请求,还是进行JNDI注入,抑或是最后进行命令执行,云鲨SaaS都能针对以上敏感操作采取相应的阻断和防护动作。
图2 RASP防御Log4j2.x远程代码执行漏洞过程
2// 东西向流量防护
东西向流量通常指内部环境下不同应用服务器间的访问流量,随着微服务、云原生架构的普及,服务间调用频率将成倍增长,协议也不再局限于HTTP(s),基于RPC的Dubbo、gRPC等协议将逐渐成为主流。在这样的新场景下,传统边界基于流量特征进行匹配的防护方案很难满足企业应用安全防护的需要。
云鲨SaaS将对应用的安全防护位置从边界、主机维度聚焦到了应用内部。不论是从外部发起的南北向流量亦或是由内部产生的东西向流量对于注入到应用内的探针来说都是外部数据,并以应用内部视角对这些进入应用程序的数据进行分析,结合代码调用逻辑提供高精准、高效率、高业务理解度的防护动作。在延展了东西向流量防护的同时,为安全人员和研发人员提供了应用内部数据流转內视和缺陷溯源定位的安全运营数据。
3// 供应链投毒免疫
云原生时代,软件应用开发模式演变为开源主导,软件供应链投毒事件屡见不鲜,一旦被攻击者发现应用程序中引用了包含已知漏洞的组件,就可能导致服务器被攻击或者敏感数据泄漏,造成无法想象的严重后果。
开源软件和第三方组件的漏洞在被利用时,执行到应用代码底层,往往都会聚集到一些“敏感”函数上,如反序列化、数据库执行、命令执行、文件操作、响应返回等相关函数,而云鲨SaaS能对这些底层“敏感”函数调用进行识别阻断。即便漏洞出现,云鲨SaaS也可以动态下发热补丁进行修复,在不中断业务的同时为应用系统提供临时防护,为漏洞修复争取宝贵时间。
近十年核心技术沉淀 打造用户业务场景内安全闭环
作为DevSecOps敏捷安全领域的技术领导者和关键技术首创者,悬镜安全在引领行业关键技术演进方面承担了极其重要的角色。由悬镜安全打造的云鲨RASP自适应威胁免疫平台目前也走在RASP领域的国际前列。
图3 All in one,单探针实现应用安全检测防护一体化
悬镜安全是业内最先提出All in one“单探针”策略的厂商。通过一个探针来实现更多应用安全方面的可能性,将多种应用安全能力都融入到同一个探针之中,以单探针来贯穿整个应用的全生命周期,全流程地检测应用的安全态势。
通过近十年的底层能力积累、创新研发19+项国家专利级核心算法,悬镜安全已将智能代码疫苗技术的核心——函数级探针深钩在应用内存上下文之中,仅需安装一次,可支持IAST、RASP、SCA、API Fuzz、APM等应用安全检测响应能力,真正实现All in one,One for all。
关于“单探针”策略,悬镜安全CTO宁戈在安全419的一次专访中有过细致介绍,参考阅读:媒体专访 | 悬镜安全宁戈:做软件供应链安全领域的长期主义者
目前,悬镜安全这一“单探针”策略已经在云鲨RASP上实现了场景化的落地,持续赋能数百家行业头部用户。
以悬镜安全在金融行业的某标杆案例为例,用户在部署云鲨RASP后,通过单一的轻量级探针便将IAST、SCA、RASP等能力体系化地集成到自身的数字化应用开发流水线中。
每当遇到需要紧急上线的项目时,安全团队便能够很好地利用云鲨RASP提供的运行时安全防护与虚拟补丁功能,允许项目在存在安全漏洞的情况下打上虚拟补丁后快速上线,随后再在规定的时间内完成漏洞修复的技术债务,实现安全团队的无忧运营,并与开发团队之间达成共赢。
值得一提的是,云鲨RASP通过运行时插桩技术可以对已上线环境的漏洞下发代码级热补丁,让研发人员精准地看到漏洞所在位置,精确到代码的调用栈的检测结果也为研发人员下一步修复安全漏洞提供了极大的便利性。
面对当前用户最为关注的开源组件风险管理问题,云鲨RASP还融合了悬镜安全独有的OSS引擎,能够精准地识别应用系统实际运行过程中动态加载的第三方组件及依赖,对运行时的应用程序本身进行深度且更加有效的威胁分析,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险,更进一步地保障应用程序的安全运行,从RASP的角度出发,解决用户重点关切的开源治理难题。
坚持PLG产品创新驱动 为企业用户提供普惠性安全能力
悬镜安全创始人子芽对外多次强调,悬镜始终坚守PLG产品创新驱动价值增长的用户交付理念和安全普惠经营理念。通过SaaS化的交付形式让更多用户能够匹配自身的安全建设需求,是推动DevSecOps发展的关键动力之一。云鲨SaaS正是悬镜安全在云原生安全领域的重要战略布局。
众所周知,SaaS的交付形式对产品自身有着较高标准的要求,无论是探针的稳定性、安全策略的精准度,还是在RASP平台内置的安全处理流程方面的能力都面临着比较大的考验。本次云鲨SaaS的正式上线,实际上彰显的是悬镜云鲨RASP这一产品在成熟度和先进性方面的硬核实力。云鲨SaaS是一个持续性的防护工具,在安装探针之后,会持续地帮助用户进行安全监测,持续保护用户的应用安全。悬镜安全希望以SaaS的方式让更多用户能够开始使用RASP这一变革型技术。
图4 云鲨RASP SaaS后台首页截图
此外从云鲨SaaS的多处细节可以明显看到悬镜安全的精心思考和创新设计。
首先,针对部分企业由开发、测试和运维相关人员兼任安全工作的情况,云鲨SaaS为用户们准备了“保姆式”的安全引导说明,通过手把手的教学来指引用户按部就班地完成探针安装、事件分析等全流程操作,即便完全不懂安全,也能够迅速上手。
其次,用户自建安全防护策略的方式十分友好,只需要通过点选和简单的填写,就能够在产品中自动地生成一个代码级别的规则并下发到平台中,这极大降低了用户的操作门槛。
此外,云鲨SaaS还为用户开放了虚拟补丁功能。围绕这一功能,悬镜安全创建了社区,鼓励用户在社区内传播和分享自己的策略和规则。
在下一次0Day漏洞事件爆发时,可以设想这一场景:开启云鲨SaaS,观察相关的攻击行为是否被拦截,很快有着超强技术实力的用户就在社区中发布了防护策略,大家能够通过复制代码,将这条策略提取到云鲨SaaS私有空间里面,用于加固自身应用安全。
悬镜安全希望通过这样的方式,推动实现安全共建的愿景,将防御未知漏洞的能力以SaaS的形式交付到每一个用户手中。让开发、测试、运维相关人员也能够为安全负责,把安全团队从运营工作中解放出来,而将精力更多地放在漏洞发现、确认和修复工作中去,最终真正实现DevSecOps中责任分发、安全共担的理念。