从挑战赛看阿里云RASP防御优势与云上最佳实践

本文涉及的产品
云安全中心 免费版,不限时长
简介: 拦截率99.9981%,反序列漏洞0绕过

2023年2月16日到23日,第二届阿里云RASP挑战赛顺利举办,来自全球的205位顶级白帽子与独立安全研究员,共发起模拟攻防400万次,累计触发防护检测3000万次。

本次挑战赛环境比第一届增加了不少特殊性:

  • 新增表达式注入、log4j漏洞环境,保留上届 fastjson与java原生反序列化漏洞环境,基本涵盖所有主流0day漏洞场景。
  • 不再采取邀请制,而是面向全球白帽选手公开招募挑战者。
  • 采取公有云默认防护规则、半白盒靶机环境,完全没有任何增加任何额外加固措施,旨在检验生产环境下RASP的真实防御水准。

在本次挑战赛当中,阿里云RASP实现了99.9981%的拦截率,反序列漏洞0绕过,表达式注入仅一位白帽子达成RCE目标。

RASP区别于其他安全工具的解题思路

传统安全工具大致分为两类,一类基于流量,如web应用防火墙;另一类是基于主机行为,如CWPP。这两种防护手段已经形成一套比较成熟的方案,并广泛应用,但在面对一些特殊问题时也暴露出不足。

市面上的很多流量安全产品,检测手段多基于内置规则,而规则往往来自于已知威胁,这就导致其面对未知的威胁时,存在被绕过的可能。同时由于其被防护应⽤的多样性,往往容易造成大量误报。

主机安全产品,检测手段多基于主机的行为(如文件操作,注册表操作等),在实际应用中由于对业务场景的妥协,往往很多操作没办法识别和拦截,导致其容易产生漏报。

RASP,很好的补充了上述不足。

其主要是基于应用行为和上下文请求进行检测,可以预见的是,攻击者的攻击行为最终将会落到文件读写、数据库读写、命令执行等危险操作上,因此在应用中对上述危险功能点进行插桩,再结合请求上下⽂即可精准识别恶意的攻击⾏为,对于未知的0day漏洞也能够很好的拦截阻断。

参与此次挑战赛的白帽选手皓月表示
RASP将防御逻辑注入到应用当中,与应用结合为一体,能实时分析和检测攻击行为,使应用具备了一种自我保护能力。目前的防护效果RASP+WAF是最优选, 合则两利,分则两败。

选手白帽yemoli表示
RASP防御技术在⼀定程度上来说收敛了攻击⾯,将漏洞利⽤⾏为拦截在最后⼀环。

云上大规模实践带来RASP新转机

RASP并不是一项新技术,2014年,Gartner就将RASP列为应用安全的关键趋势,但一直没有大规模落地应用。主要原因在于,传统IT环境下,任何安全产品相较于已有的IDC环境都是外来物种,在接入和使用时需要对原有系统或架构做改动,从而带来一些难以避免的问题:

image.png

云的出现,为解决上述问题带来了转机。

由于从云上原生的安全能力与云底座深度融合,是云自身携带的安全基因型产物,可以彻底解决安全接入侵入性强问题,云上大规模实践也为解决稳定性问题提供了有利条件。

阿里自身最佳实践,从2015年开始部署自研的RASP工具,多年实践已完成在生产网的大规模部署,并且经历了生产网超大流量业务的实战检验,在性能、稳定性和安全性(自我保护)控制方面实现最佳表现。

阿里云RASP工具出炉

目前,云上用户可以通过阿里云云安全中心,快速开通RASP模块,亲自体验云上RASP的防御实力。

image.png

如果您有RASP测试需求,也可以钉钉扫码联系我们
image.png

*特别致谢:知名白帽皓月、yemoli对本文亦有贡献

相关文章
|
19天前
|
弹性计算 Java 关系型数据库
最佳实践:阿里云倚天ECS在千寻位置时空智能服务的规模化应用
当前,千寻已有上千台倚天ECS实例在支撑线上核心业务。
|
19天前
|
弹性计算 运维 Java
最佳实践:阿里云倚天ECS在千寻位置时空智能服务的规模化应用
阿里云、平头哥及安谋科技联合举办的飞天技术沙龙探讨了倚天Arm架构在业务创新中的应用。活动中,千寻位置运维专家分享了将核心业务迁移到倚天处理器ECS实例的成功案例,强调了倚天处理器的高能效比和降本增效优势。迁移过程涉及操作系统、CICD系统和监控系统的适配,以及业务系统的性能测试。目前,千寻已迁移了上千台ECS实例到倚天处理器,实现了成本和效率的显著提升。未来计划继续扩展倚天处理器在核心业务和K8S中的应用。
|
23天前
|
监控 Cloud Native 安全
【阿里云云原生专栏】云原生下的API管理:阿里云API Gateway的应用场景与优势
【5月更文挑战第23天】阿里云API Gateway是高性能的API托管服务,适用于微服务API聚合、安全管理及流量控制。它提供统一入口、多种认证方式和流量控制策略,确保服务稳定性。具备高度可扩展性、丰富插件生态和简化API生命周期管理等特点。通过简单步骤,如创建API、配置后端服务、设置认证和发布,即可快速上手。作为云原生时代的API管理解决方案,阿里云API Gateway助力企业高效、安全地管理API,推动业务创新和数字化转型。
39 1
|
23天前
|
Kubernetes Cloud Native Devops
【阿里云云原生专栏】DevOps与云原生的融合:阿里云CI/CD流水线最佳实践
【5月更文挑战第23天】阿里云融合DevOps与云原生技术,提供高效CI/CD解决方案,助力企业提升研发效能。通过云效平台,集成代码管理、构建服务、容器服务、持续部署及监控日志组件,实现自动化研发流程。案例中,应用从GitHub构建到Kubernetes部署,全程无缝衔接。借助阿里云,企业能快速构建适应云原生的DevOps体系,以应对复杂需求和提升市场竞争力。
70 1
|
26天前
|
存储 弹性计算 监控
【阿里云弹性计算】阿里云ECS全面解析:弹性计算服务的核心优势与应用场景
【5月更文挑战第20天】阿里云ECS是提供可伸缩计算能力的云服务,支持多种规格实例,满足不同需求。其核心优势包括灵活性、高性能、高可用性、安全性和易用性。适用场景包括网站托管、大数据处理、游戏多媒体应用及测试开发环境。通过Python示例代码展示了如何创建ECS实例,助力企业专注业务发展,简化基础设施管理。
66 5
|
1月前
|
弹性计算 人工智能 小程序
阿里云:云工开物优势详解
阿里云推出“云工开物”高校计划,为中国在校生免费提供云服务器,降低学习门槛,激发创新潜能。通过实战项目和创新挑战赛,学生可掌握前沿技术,对接产业前沿。该计划还提供技能认证和就业支持,助力学生职业发展,构建从学习到创新再到就业的完整路径,培育未来科技人才。
|
1月前
|
弹性计算 运维 安全
阿里云服务器的特性与优势
阿里云ECS是安全、灵活且高性价比的云计算服务,提供多样化产品如x86和ARM实例、裸金属服务器、专有宿主机。它支持全球多地域部署,具备纵向和横向弹性扩展能力,保证99.975%至99.995%的实例及数据可靠性。用户友好的界面和一键部署功能使得管理简便,同时集成多种安全服务和硬件加密。ECS提供包年包月、按量付费等计费模式,结合优惠机制帮助降低成本。
59 0
|
1月前
|
机器学习/深度学习 弹性计算 人工智能
什么是阿里云GPU云服务器?GPU云服务器产品优势及应用场景介绍
GPU云服务器是阿里云的云服务器ECS产品之一,是提供 GPU 算力的弹性计算服务,具有超强的计算能力,服务于深度学习、科学计算、图形可视化、视频处理多种应用场景。本文为大家介绍阿里云GPU云服务器产品优势、应用场景以及阿里云GPU云服务器实例规格有哪些。
什么是阿里云GPU云服务器?GPU云服务器产品优势及应用场景介绍
|
1月前
|
消息中间件 NoSQL Kafka
云原生最佳实践系列 5:基于函数计算 FC 实现阿里云 Kafka 消息内容控制 MongoDB DML 操作
该方案描述了一个大数据ETL流程,其中阿里云Kafka消息根据内容触发函数计算(FC)函数,执行针对MongoDB的增、删、改操作。
|
1月前
|
弹性计算 缓存 Kubernetes
什么是阿里云弹性容器实例?弹性容器实例优势及应用场景介绍
弹性容器实例是阿里云的云服务器产品,使用弹性容器实例之后,用户无需管理底层 ECS 服务器,只需要提供打包好的镜像,即可运行容器,与阿里云容器服务无缝对接并仅为容器实际运行消耗的资源付费。本文介绍了阿里云弹性容器实例的、功能特性、产品优势及应用场景。
什么是阿里云弹性容器实例?弹性容器实例优势及应用场景介绍

热门文章

最新文章