从挑战赛看阿里云RASP防御优势与云上最佳实践

简介: 拦截率99.9981%,反序列漏洞0绕过

2023年2月16日到23日,第二届阿里云RASP挑战赛顺利举办,来自全球的205位顶级白帽子与独立安全研究员,共发起模拟攻防400万次,累计触发防护检测3000万次。

本次挑战赛环境比第一届增加了不少特殊性:

  • 新增表达式注入、log4j漏洞环境,保留上届 fastjson与java原生反序列化漏洞环境,基本涵盖所有主流0day漏洞场景。
  • 不再采取邀请制,而是面向全球白帽选手公开招募挑战者。
  • 采取公有云默认防护规则、半白盒靶机环境,完全没有任何增加任何额外加固措施,旨在检验生产环境下RASP的真实防御水准。

在本次挑战赛当中,阿里云RASP实现了99.9981%的拦截率,反序列漏洞0绕过,表达式注入仅一位白帽子达成RCE目标。

RASP区别于其他安全工具的解题思路

传统安全工具大致分为两类,一类基于流量,如web应用防火墙;另一类是基于主机行为,如CWPP。这两种防护手段已经形成一套比较成熟的方案,并广泛应用,但在面对一些特殊问题时也暴露出不足。

市面上的很多流量安全产品,检测手段多基于内置规则,而规则往往来自于已知威胁,这就导致其面对未知的威胁时,存在被绕过的可能。同时由于其被防护应⽤的多样性,往往容易造成大量误报。

主机安全产品,检测手段多基于主机的行为(如文件操作,注册表操作等),在实际应用中由于对业务场景的妥协,往往很多操作没办法识别和拦截,导致其容易产生漏报。

RASP,很好的补充了上述不足。

其主要是基于应用行为和上下文请求进行检测,可以预见的是,攻击者的攻击行为最终将会落到文件读写、数据库读写、命令执行等危险操作上,因此在应用中对上述危险功能点进行插桩,再结合请求上下⽂即可精准识别恶意的攻击⾏为,对于未知的0day漏洞也能够很好的拦截阻断。

参与此次挑战赛的白帽选手皓月表示
RASP将防御逻辑注入到应用当中,与应用结合为一体,能实时分析和检测攻击行为,使应用具备了一种自我保护能力。目前的防护效果RASP+WAF是最优选, 合则两利,分则两败。

选手白帽yemoli表示
RASP防御技术在⼀定程度上来说收敛了攻击⾯,将漏洞利⽤⾏为拦截在最后⼀环。

云上大规模实践带来RASP新转机

RASP并不是一项新技术,2014年,Gartner就将RASP列为应用安全的关键趋势,但一直没有大规模落地应用。主要原因在于,传统IT环境下,任何安全产品相较于已有的IDC环境都是外来物种,在接入和使用时需要对原有系统或架构做改动,从而带来一些难以避免的问题:

image.png

云的出现,为解决上述问题带来了转机。

由于从云上原生的安全能力与云底座深度融合,是云自身携带的安全基因型产物,可以彻底解决安全接入侵入性强问题,云上大规模实践也为解决稳定性问题提供了有利条件。

阿里自身最佳实践,从2015年开始部署自研的RASP工具,多年实践已完成在生产网的大规模部署,并且经历了生产网超大流量业务的实战检验,在性能、稳定性和安全性(自我保护)控制方面实现最佳表现。

阿里云RASP工具出炉

目前,云上用户可以通过阿里云云安全中心,快速开通RASP模块,亲自体验云上RASP的防御实力。

image.png

如果您有RASP测试需求,也可以钉钉扫码联系我们
image.png

*特别致谢:知名白帽皓月、yemoli对本文亦有贡献

相关文章
|
Kubernetes 安全 API
国内首个云上容器ATT&CK攻防矩阵发布,阿里云助力企业容器化安全落地
本文对云上容器ATT&CK攻防矩阵做了详细阐述,希望能帮助开发和运维人员了解容器的安全风险和落地安全实践。
16658 1
国内首个云上容器ATT&CK攻防矩阵发布,阿里云助力企业容器化安全落地
|
云安全 安全
第二届WEBSHELL伏魔挑战赛开启报名
舞台已备好,等你来战!
1389 0
第二届WEBSHELL伏魔挑战赛开启报名
|
7月前
|
人工智能 监控 安全
从数据发现到外发管控:安得终端DLP打造闭环数据防泄露方案
安得终端DLP系统构建覆盖数据全生命周期的防泄露体系,融合AI识别、智能分级、全通道管控与实时监控,实现敏感数据发现、保护、审计与响应一体化,助力企业精准防控终端数据泄露风险,保障业务合规与安全高效运转。(238字)
366 0
|
11月前
|
存储 Prometheus 监控
从入门到实战:一文掌握微服务监控系统 Prometheus + Grafana
随着微服务架构的发展,系统监控变得愈发重要。本文介绍如何利用 Prometheus 和 Grafana 构建高效的监控系统,涵盖数据采集、存储、可视化与告警机制,帮助开发者提升系统可观测性,及时发现故障并优化性能。内容涵盖 Prometheus 的核心组件、数据模型及部署方案,并结合 Grafana 实现可视化监控,适合初学者和进阶开发者参考实践。
1214 6
|
传感器 存储 Ubuntu
一步一步学会蓝牙开发之 ESP-IDF GATT Server 示例解析
学习蓝牙的 GATT 开发,我们从示例代码,一段代码一段代码进行详细分析说明
3500 2
一步一步学会蓝牙开发之 ESP-IDF GATT Server 示例解析
|
Kubernetes 负载均衡 安全
Cilium使用 (Cilium 3)
Cilium使用 (Cilium 3)
654 6
|
Kubernetes 安全 数据安全/隐私保护
云卓越架构:容器安全最佳实践
本次分享由阿里云智能集团解决方案架构师张玉峰主讲,主题为“云卓越架构:容器安全最佳实践”。内容涵盖容器安全的挑战、云原生容器安全架构及典型场景。首先分析了容器安全面临的问题,如镜像漏洞和权限管理。接着介绍了容器安全架构的五个维度:身份权限管理、配置安全检查、运行时防护、镜像安全检测及发布的安全管控。最后通过具体场景展示了容器身份与权限管理、密钥管理、运行时防入侵等最佳实践,强调了安全左移的重要性,确保从开发到运行的全生命周期安全覆盖。

热门文章

最新文章