从挑战赛看阿里云RASP防御优势与云上最佳实践

简介: 2023年2月16日到23日,第二届阿里云RASP挑战赛顺利举办,来自全球的205位顶级白帽子与独立安全研究员,共发起模拟攻防400万次,累计触发防护检测3000万次。

2023年2月16日到23日,第二届阿里云RASP挑战赛顺利举办,来自全球的205位顶级白帽子与独立安全研究员,共发起模拟攻防400万次,累计触发防护检测3000万次。


本次挑战赛环境比第一届增加了不少特殊性:

新增表达式注入、log4j漏洞环境,保留上届 fastjson与java原生反序列化漏洞环境,基本涵盖所有主流0day漏洞场景。

不再采取邀请制,而是面向全球白帽选手公开招募挑战者。

采取公有云默认防护规则、半白盒靶机环境,完全没有任何增加任何额外加固措施,旨在检验生产环境下RASP的真实防御水准。


在本次挑战赛当中,阿里云RASP实现了99.9981%的拦截率,反序列漏洞0绕过,表达式注入仅一位白帽子达成RCE目标。



RASP区别于其他安全工具的解题思路


传统安全工具大致分为两类,一类基于流量,如web应用防火墙;另一类是基于主机行为,如CWPP。这两种防护手段已经形成一套比较成熟的方案,并广泛应用,但在面对一些特殊问题时也暴露出不足。


市面上的很多流量安全产品,检测手段多基于内置规则,而规则往往来自于已知威胁,这就导致其面对未知的威胁时,存在被绕过的可能。同时由于其被防护应⽤的多样性,往往容易造成大量误报。


主机安全产品,检测手段多基于主机的行为(如文件操作,注册表操作等),在实际应用中由于对业务场景的妥协,往往很多操作没办法识别和拦截,导致其容易产生漏报。


RASP,很好的补充了上述不足。


其主要是基于应用行为和上下文请求进行检测,可以预见的是,攻击者的攻击行为最终将会落到文件读写、数据库读写、命令执行等危险操作上,因此在应用中对上述危险功能点进行插桩,再结合请求上下⽂即可精准识别恶意的攻击⾏为,对于未知的0day漏洞也能够很好的拦截阻断。


参与此次挑战赛的白帽选手皓月表示

RASP将防御逻辑注入到应用当中,与应用结合为一体,能实时分析和检测攻击行为,使应用具备了一种自我保护能力。目前的防护效果RASP+WAF是最优选, 合则两利,分则两败。

皓月


选手白帽yemoli表示

RASP防御技术在⼀定程度上来说收敛了攻击⾯,将漏洞利⽤⾏为拦截在最后⼀环。

yemoli


云上大规模实践带来RASP新转机


RASP并不是一项新技术,2014年,Gartner就将RASP列为应用安全的关键趋势,但一直没有大规模落地应用。主要原因在于,传统IT环境下,任何安全产品相较于已有的IDC环境都是外来物种,在接入和使用时需要对原有系统或架构做改动,从而带来一些难以避免的问题:



云的出现,为解决上述问题带来了转机。


由于从云上原生的安全能力与云底座深度融合,是云自身携带的安全基因型产物,可以彻底解决安全接入侵入性强问题,云上大规模实践也为解决稳定性问题提供了有利条件。


阿里自身最佳实践,从2015年开始部署自研的RASP工具,多年实践已完成在生产网的大规模部署,并且经历了生产网超大流量业务的实战检验,在性能、稳定性和安全性(自我保护)控制方面实现最佳表现。


阿里云RASP工具出炉


目前,云上用户可以通过阿里云云安全中心,快速开通RASP模块,亲自体验云上RASP的防御实力。



如果您有RASP测试需求,也可以钉钉扫码联系我们



*特别致谢:知名白帽皓月、yemoli对本文亦有贡献

相关文章
|
API Python
局域网管理软件中的设备发现和自动添加代码示例
在局域网管理软件中,设备发现和自动添加是很重要的功能,能使管理员能够轻松地监视和管理网络上的各种设备。本文将介绍一些设备发现和自动添加的代码示例,以帮助开发人员更好地理解如何实现这些功能。
696 0
|
10月前
|
Kubernetes 供应链 安全
云原生环境下的容器安全与最佳实践
云原生时代,容器与 Kubernetes 成为企业应用核心基础设施,但安全挑战日益突出。本文探讨容器安全现状与对策,涵盖镜像安全、运行时防护、编排系统风险及供应链安全,提出最小权限、漏洞扫描、网络控制等最佳实践,并结合阿里云 ACK、ACR 等服务提供全链路解决方案,展望零信任、AI 安全与 DevSecOps 融合趋势。
476 5
|
12月前
|
JSON 安全 Android开发
微信红包秒抢神器下载软件真的有用吗?
微信红包秒抢的技术真相与Python模拟实现 大家好
|
自然语言处理 API 开发者
One API接入豆包
本文详细介绍如何将One API集成,以调用豆包模型。步骤涵盖火山引擎注册、实名认证、创建在线推理接入点及生成API Key,并在One API中配置相应渠道与模型映射关系。适用于希望利用豆包模型进行自然语言处理任务的开发者。关键词:火山引擎、在线推理、接入点、模型名称、API Key、字节跳动豆包、One API。如需进一步了解或遇到问题,欢迎留言交流。
3756 2
One API接入豆包
|
数据采集 算法 定位技术
商场电子导览:基于POI数据检索的技术实践
本文从技术角度解析商场电子导览屏如何依托POI 数据检索等技术,破解找店难、需求引导弱、信息触达差难题,商场电子导览屏依托POI数据检索、智能算法与信息联动技术,实现精准找店、需求引导与营销触达,提升用户体验与商业效率。
287 0
商场电子导览:基于POI数据检索的技术实践
|
SQL 数据库 数据库管理
逆天了!IDEA执行大文件SQL,效率甩 Navicat 几条街?
【10月更文挑战第1天】在数据库管理和开发领域,SQL文件的执行效率是衡量数据库管理工具性能的重要指标之一。近期,IDEA(IntelliJ IDEA)在执行大文件SQL方面的表现引起了广泛关注,其效率远超传统的数据库管理工具Navicat。本文将深入探讨这一现象背后的原因,并结合工作学习中的技术干货,为大家带来一些实用的建议和技巧。
659 1
|
SQL 安全 网络安全
Web应用防火墙(WAF)与数据库应用防火墙有什么区别?
Web应用防火墙(WAF)专注于Web应用系统和网站的应用层防护,可有效应对OWASP Top 10等常见攻击,防止SQL注入、CC攻击等。而数据库应用防火墙则位于应用服务器与数据库之间,提供数据库访问控制、攻击阻断、虚拟补丁等高级防护功能,直接保护数据库免受攻击。两者分别针对Web层和数据库层提供不同的安全保护。
572 4
|
IDE 测试技术 持续交付
单元测试功
【9月更文挑战第03天】
378 5
|
存储 Serverless Python
`quad()` 函数是 `scipy.integrate` 模块中的一个函数,用于计算一维函数的数值积分。其基本语法如下:
`quad()` 函数是 `scipy.integrate` 模块中的一个函数,用于计算一维函数的数值积分。其基本语法如下:
|
Web App开发 JavaScript 前端开发
js 调试—— 【控制台】debugger语句 、 命令行API
js 调试—— 【控制台】debugger语句 、 命令行API
838 0

热门文章

最新文章