从挑战赛看阿里云RASP防御优势与云上最佳实践

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心漏洞修复资源包免费试用,100次1年
云安全中心 防病毒版,最高20核 3个月
简介: 2023年2月16日到23日,第二届阿里云RASP挑战赛顺利举办,来自全球的205位顶级白帽子与独立安全研究员,共发起模拟攻防400万次,累计触发防护检测3000万次。

2023年2月16日到23日,第二届阿里云RASP挑战赛顺利举办,来自全球的205位顶级白帽子与独立安全研究员,共发起模拟攻防400万次,累计触发防护检测3000万次。


本次挑战赛环境比第一届增加了不少特殊性:

新增表达式注入、log4j漏洞环境,保留上届 fastjson与java原生反序列化漏洞环境,基本涵盖所有主流0day漏洞场景。

不再采取邀请制,而是面向全球白帽选手公开招募挑战者。

采取公有云默认防护规则、半白盒靶机环境,完全没有任何增加任何额外加固措施,旨在检验生产环境下RASP的真实防御水准。


在本次挑战赛当中,阿里云RASP实现了99.9981%的拦截率,反序列漏洞0绕过,表达式注入仅一位白帽子达成RCE目标。



RASP区别于其他安全工具的解题思路


传统安全工具大致分为两类,一类基于流量,如web应用防火墙;另一类是基于主机行为,如CWPP。这两种防护手段已经形成一套比较成熟的方案,并广泛应用,但在面对一些特殊问题时也暴露出不足。


市面上的很多流量安全产品,检测手段多基于内置规则,而规则往往来自于已知威胁,这就导致其面对未知的威胁时,存在被绕过的可能。同时由于其被防护应⽤的多样性,往往容易造成大量误报。


主机安全产品,检测手段多基于主机的行为(如文件操作,注册表操作等),在实际应用中由于对业务场景的妥协,往往很多操作没办法识别和拦截,导致其容易产生漏报。


RASP,很好的补充了上述不足。


其主要是基于应用行为和上下文请求进行检测,可以预见的是,攻击者的攻击行为最终将会落到文件读写、数据库读写、命令执行等危险操作上,因此在应用中对上述危险功能点进行插桩,再结合请求上下⽂即可精准识别恶意的攻击⾏为,对于未知的0day漏洞也能够很好的拦截阻断。


参与此次挑战赛的白帽选手皓月表示

RASP将防御逻辑注入到应用当中,与应用结合为一体,能实时分析和检测攻击行为,使应用具备了一种自我保护能力。目前的防护效果RASP+WAF是最优选, 合则两利,分则两败。

皓月


选手白帽yemoli表示

RASP防御技术在⼀定程度上来说收敛了攻击⾯,将漏洞利⽤⾏为拦截在最后⼀环。

yemoli


云上大规模实践带来RASP新转机


RASP并不是一项新技术,2014年,Gartner就将RASP列为应用安全的关键趋势,但一直没有大规模落地应用。主要原因在于,传统IT环境下,任何安全产品相较于已有的IDC环境都是外来物种,在接入和使用时需要对原有系统或架构做改动,从而带来一些难以避免的问题:



云的出现,为解决上述问题带来了转机。


由于从云上原生的安全能力与云底座深度融合,是云自身携带的安全基因型产物,可以彻底解决安全接入侵入性强问题,云上大规模实践也为解决稳定性问题提供了有利条件。


阿里自身最佳实践,从2015年开始部署自研的RASP工具,多年实践已完成在生产网的大规模部署,并且经历了生产网超大流量业务的实战检验,在性能、稳定性和安全性(自我保护)控制方面实现最佳表现。


阿里云RASP工具出炉


目前,云上用户可以通过阿里云云安全中心,快速开通RASP模块,亲自体验云上RASP的防御实力。



如果您有RASP测试需求,也可以钉钉扫码联系我们



*特别致谢:知名白帽皓月、yemoli对本文亦有贡献

相关文章
|
6月前
|
云安全 机器学习/深度学习 安全
云端防御战线:云计算安全与网络防护策略
【2月更文挑战第30天】 在数字转型的浪潮中,云计算已成为企业IT架构的核心。然而,随着云服务应用的普及,网络安全威胁也随之增加。本文将深入探讨云计算环境中面临的安全挑战,并剖析如何通过一系列先进的技术手段和策略来加强数据保护,确保信息资产的安全。我们将讨论包括加密技术、身份认证、入侵检测系统、安全事件管理等在内的多种安全措施,并分析这些措施如何协同工作以形成一个多层次的防御体系。
|
3月前
|
存储 安全 网络安全
云上防御:云计算中的网络安全实践与策略
【8月更文挑战第31天】在数字时代的浪潮中,云计算已成为企业信息技术架构的心脏。随之而来的网络安全挑战也日益严峻,如何在云端构建坚不可摧的安全防线成为业界关注的焦点。本文将深入探讨云计算环境下的网络安全措施,从基础的数据加密到复杂的入侵检测系统,提供代码示例和实践策略,旨在为读者揭开云计算安全的神秘面纱,并提供实用的安全工具和解决方案。
|
4月前
|
云安全 监控 安全
云安全服务的选择与部署:技术深度解析
【7月更文挑战第27天】云安全服务的选择与部署是企业保障云上资产安全的重要环节。通过明确安全需求、评估安全风险、了解服务提供商以及考虑成本效益等因素选择合适的云安全服务;遵循创建账户、配置安全策略、部署安全服务和监控响应等流程进行部署;并采用多层防御策略、定期安全审计与漏洞扫描、加强安全意识培训和持续优化安全策略等最佳实践提高安全防护能力。希望本文能为企业在云安全服务的选择与部署方面提供有益的参考。
|
3月前
|
存储 监控 安全
云端防御战线:云计算环境下的网络安全策略与实践
【7月更文挑战第53天】 随着企业数字化转型的不断深入,云计算已成为支撑现代业务架构的关键平台。然而,云服务的广泛应用也带来了前所未有的安全挑战。本文聚焦于云计算环境中的网络安全问题,详细探讨了云服务模型(IaaS、PaaS、SaaS)在面临数据泄露、非法访问、服务中断等威胁时的防护措施。同时,分析了信息安全管理的最佳实践,包括加密技术、身份认证、访问控制及合规性监管等方面,旨在为读者提供一套全面的云计算安全防护指南。
|
6月前
|
监控 安全 网络安全
云端防御策略:融合云服务与网络安全的未来之道
【5月更文挑战第29天】 在数字化时代,云计算已成为企业运营的核心动力,然而伴随其发展,网络安全问题亦成为不可忽视的挑战。本文旨在探讨如何通过融合先进的云服务技术和网络安全策略,构建一个既高效又安全的信息技术环境。文章首先概述了云计算的基本概念及其带来的变革,随后深入分析了网络安全面临的威胁以及应对这些威胁的关键技术,最终提出了一种综合性的云端防御模型,以期为企业提供指导性的网络安全解决方案。
|
弹性计算 安全 网络协议
01-基础设施安全-2-DDOS防护-ACA-01-产品功能与核心价值(二)
01-基础设施安全-2-DDOS防护-ACA-01-产品功能与核心价值(二)
|
域名解析 人工智能 安全
01-基础设施安全-2-DDOS防护-ACA-01-产品功能与核心价值(三)
01-基础设施安全-2-DDOS防护-ACA-01-产品功能与核心价值(三)
129 0
|
6月前
|
Kubernetes Cloud Native 安全
云原生技术专题 | 解密2023年云原生的安全优化升级,告别高危漏洞、与数据泄露说“再见”(安全管控篇)
2023年,我们见证了科技领域的蓬勃发展,每一次技术革新都为我们带来了广阔的发展前景。作为后端开发者,我们深受其影响,不断迈向未来。 随着数字化浪潮的席卷,各种架构设计理念相互交汇,共同塑造了一个充满竞争和创新的技术时代。微服务、云原生、Serverless、事件驱动、中台、容灾等多样化的架构思想,都在竞相定义未来技术的标准。然而,哪种将成为引领时代的主流趋势,仍是一个未知数。尽管如此,种种迹象表明,云原生的主题正在逐渐深入人心。让我们一起分析和探讨云原生技术和架构安全体系的升级和改良,以期发现新的技术趋势和见解。
549 1
云原生技术专题  |  解密2023年云原生的安全优化升级,告别高危漏洞、与数据泄露说“再见”(安全管控篇)
|
安全 网络协议 网络安全
01-基础设施安全-2-DDOS防护-ACA-01-产品功能与核心价值(一)
01-基础设施安全-2-DDOS防护-ACA-01-产品功能与核心价值(一)
140 1
|
云安全 监控 安全
大型攻防演练,云防火墙最佳实践
自1949年世界上第一种计算机病毒——约翰·冯·诺依曼提出的一种可自我复制的程序设计问世,到1990年世界上第一款网络防火墙产品出现,经过几十年的发展,攻防对抗已经进入白热化阶段。
407 0
大型攻防演练,云防火墙最佳实践