从挑战赛看阿里云RASP防御优势与云上最佳实践

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心漏洞修复资源包免费试用,100次1年
云安全基线管理CSPM免费试用,1000次1年
简介: 2023年2月16日到23日,第二届阿里云RASP挑战赛顺利举办,来自全球的205位顶级白帽子与独立安全研究员,共发起模拟攻防400万次,累计触发防护检测3000万次。

2023年2月16日到23日,第二届阿里云RASP挑战赛顺利举办,来自全球的205位顶级白帽子与独立安全研究员,共发起模拟攻防400万次,累计触发防护检测3000万次。


本次挑战赛环境比第一届增加了不少特殊性:

新增表达式注入、log4j漏洞环境,保留上届 fastjson与java原生反序列化漏洞环境,基本涵盖所有主流0day漏洞场景。

不再采取邀请制,而是面向全球白帽选手公开招募挑战者。

采取公有云默认防护规则、半白盒靶机环境,完全没有任何增加任何额外加固措施,旨在检验生产环境下RASP的真实防御水准。


在本次挑战赛当中,阿里云RASP实现了99.9981%的拦截率,反序列漏洞0绕过,表达式注入仅一位白帽子达成RCE目标。



RASP区别于其他安全工具的解题思路


传统安全工具大致分为两类,一类基于流量,如web应用防火墙;另一类是基于主机行为,如CWPP。这两种防护手段已经形成一套比较成熟的方案,并广泛应用,但在面对一些特殊问题时也暴露出不足。


市面上的很多流量安全产品,检测手段多基于内置规则,而规则往往来自于已知威胁,这就导致其面对未知的威胁时,存在被绕过的可能。同时由于其被防护应⽤的多样性,往往容易造成大量误报。


主机安全产品,检测手段多基于主机的行为(如文件操作,注册表操作等),在实际应用中由于对业务场景的妥协,往往很多操作没办法识别和拦截,导致其容易产生漏报。


RASP,很好的补充了上述不足。


其主要是基于应用行为和上下文请求进行检测,可以预见的是,攻击者的攻击行为最终将会落到文件读写、数据库读写、命令执行等危险操作上,因此在应用中对上述危险功能点进行插桩,再结合请求上下⽂即可精准识别恶意的攻击⾏为,对于未知的0day漏洞也能够很好的拦截阻断。


参与此次挑战赛的白帽选手皓月表示

RASP将防御逻辑注入到应用当中,与应用结合为一体,能实时分析和检测攻击行为,使应用具备了一种自我保护能力。目前的防护效果RASP+WAF是最优选, 合则两利,分则两败。

皓月


选手白帽yemoli表示

RASP防御技术在⼀定程度上来说收敛了攻击⾯,将漏洞利⽤⾏为拦截在最后⼀环。

yemoli


云上大规模实践带来RASP新转机


RASP并不是一项新技术,2014年,Gartner就将RASP列为应用安全的关键趋势,但一直没有大规模落地应用。主要原因在于,传统IT环境下,任何安全产品相较于已有的IDC环境都是外来物种,在接入和使用时需要对原有系统或架构做改动,从而带来一些难以避免的问题:



云的出现,为解决上述问题带来了转机。


由于从云上原生的安全能力与云底座深度融合,是云自身携带的安全基因型产物,可以彻底解决安全接入侵入性强问题,云上大规模实践也为解决稳定性问题提供了有利条件。


阿里自身最佳实践,从2015年开始部署自研的RASP工具,多年实践已完成在生产网的大规模部署,并且经历了生产网超大流量业务的实战检验,在性能、稳定性和安全性(自我保护)控制方面实现最佳表现。


阿里云RASP工具出炉


目前,云上用户可以通过阿里云云安全中心,快速开通RASP模块,亲自体验云上RASP的防御实力。



如果您有RASP测试需求,也可以钉钉扫码联系我们



*特别致谢:知名白帽皓月、yemoli对本文亦有贡献

相关文章
|
6月前
|
监控 安全 网络安全
云端防御策略:融合云服务与网络安全的未来之道
【5月更文挑战第29天】 在数字化时代,云计算已成为企业运营的核心动力,然而伴随其发展,网络安全问题亦成为不可忽视的挑战。本文旨在探讨如何通过融合先进的云服务技术和网络安全策略,构建一个既高效又安全的信息技术环境。文章首先概述了云计算的基本概念及其带来的变革,随后深入分析了网络安全面临的威胁以及应对这些威胁的关键技术,最终提出了一种综合性的云端防御模型,以期为企业提供指导性的网络安全解决方案。
|
弹性计算 安全 网络协议
01-基础设施安全-2-DDOS防护-ACA-01-产品功能与核心价值(二)
01-基础设施安全-2-DDOS防护-ACA-01-产品功能与核心价值(二)
|
域名解析 人工智能 安全
01-基础设施安全-2-DDOS防护-ACA-01-产品功能与核心价值(三)
01-基础设施安全-2-DDOS防护-ACA-01-产品功能与核心价值(三)
125 0
|
6月前
|
Kubernetes Cloud Native 安全
云原生技术专题 | 解密2023年云原生的安全优化升级,告别高危漏洞、与数据泄露说“再见”(安全管控篇)
2023年,我们见证了科技领域的蓬勃发展,每一次技术革新都为我们带来了广阔的发展前景。作为后端开发者,我们深受其影响,不断迈向未来。 随着数字化浪潮的席卷,各种架构设计理念相互交汇,共同塑造了一个充满竞争和创新的技术时代。微服务、云原生、Serverless、事件驱动、中台、容灾等多样化的架构思想,都在竞相定义未来技术的标准。然而,哪种将成为引领时代的主流趋势,仍是一个未知数。尽管如此,种种迹象表明,云原生的主题正在逐渐深入人心。让我们一起分析和探讨云原生技术和架构安全体系的升级和改良,以期发现新的技术趋势和见解。
533 1
云原生技术专题  |  解密2023年云原生的安全优化升级,告别高危漏洞、与数据泄露说“再见”(安全管控篇)
|
安全 网络协议 网络安全
01-基础设施安全-2-DDOS防护-ACA-01-产品功能与核心价值(一)
01-基础设施安全-2-DDOS防护-ACA-01-产品功能与核心价值(一)
135 1
|
云安全 监控 安全
大型攻防演练,云防火墙最佳实践
自1949年世界上第一种计算机病毒——约翰·冯·诺依曼提出的一种可自我复制的程序设计问世,到1990年世界上第一款网络防火墙产品出现,经过几十年的发展,攻防对抗已经进入白热化阶段。
403 0
大型攻防演练,云防火墙最佳实践
|
云安全 存储 安全
深度阿里云云主机智能纵深防御体系首次揭秘
阿里云云主机智能纵深防御体系。通过对海量网络攻防数据的深度解析与过滤,结合中心化决策系统,实现了高检测率和低误报率,攻击水位下降90%。
6373 2
深度阿里云云主机智能纵深防御体系首次揭秘
|
运维 监控 安全
云上数据防护新思路,DSPM来袭
本文主要介绍数据也需要安全态势管理。
434 0
云上数据防护新思路,DSPM来袭
|
云安全 存储 安全
深度 | 阿里云·云主机智能纵深防御体系首次揭秘
深度 | 阿里云·云主机智能纵深防御体系首次揭秘
363 0
|
安全 网络安全
《云上大型赛事保障白皮书》——第五章 安全设计与安全防护——5.2 云上大型赛事安全防护——5.2.1 安全攻防演练(上)
《云上大型赛事保障白皮书》——第五章 安全设计与安全防护——5.2 云上大型赛事安全防护——5.2.1 安全攻防演练(上)
105 0