在网络安全的世界里,攻击与防御的较量从未停歇。
一场无声的“战争”即将在网络空间悄然打响,它就是被业内称为“HVV行动”的全国网络性网络安全攻防实战演练,旨在通过构建“攻防对抗、实战演练”的方式,检验我国关键基础设施的安全防护能力。每年的这个时刻,都是攻防双方激烈博弈,尤为紧张的时刻。在去年的HVV行动中,攻击者展现出前所未有的攻击组合拳——从云原生架构的权限逃逸,到AI生成的代码混淆检测、邮件钓鱼,再到供应链漏洞的精准投毒......网络安全防线正面临多维度的撕裂。
而面对攻方日益精进的攻击手段,传统的安全防护工具开始显得力不从心,未知漏洞的防御真空、应急响应的人手困局、告警疲劳与误报泥潭......纵使守方有蜜罐、WAF、IDS/IPS等诸多防护工具,仍然有绕过技术、防护范围限制等安全防护能力的缺失。当传统防护手段捉襟见肘,运行时应用自我保护(RASP)技术凭借颠覆性的防护逻辑正成为HVV新宠,也正是因为RASP技术的出现,攻防演练正在经历一场从“被动防御”到“共生免疫”的革命性转变。
1
守方的“被动防御”困境
从现状看,攻防对抗是“敌在明,我在暗”,攻击方的自动化和武器化程度要远超防守方,而对于防守方,完全猜想不到攻击者会从哪个地方发起攻击,采用什么样的攻击手段,比较薄弱的防守面是否已经暴露,自身的数据是否已经泄露等诸多问题。
攻击关注点
在过去,攻防中守方为了牢固防线安全运营团队会部署安全防护工具、制定安全解决方案对防线进行实施保护。包括防火墙、IPS/ IDS、漏洞检测解决方案、嗅探、安全信息和事件管理(SIEM)系统,期望通过持续不断的检测分析数据活动,改善安全事件的检测。
然而,防火墙、IPS/ IDS基于流量检测的机制,容易造成攻击绕过;而且攻击者会通过渗透对服务器、操作系统和容器的加固应用程序平台进行攻击,势必会造成严重后果。特别是,如果存在漏洞,则利用漏洞会更容易完成攻击行为。而且整个攻击的进程,攻击者会有预谋、有步骤的进攻,这都对防守方造成很大的困扰。
2
破局,云鲨RASP五大核心化解困境
作为国家级网络攻防实战演练的重要参与者,悬镜安全旗下核心产品云鲨RASP,是悬镜第四代DevSecOps数字供应链安全管理体系中运营环节的积极防御平台,凭借轻量级“AI智能代码疫苗“技术,通过插桩专利级AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术,将防护逻辑与防护功能注入应用程序,深入应用运行时的环境内部,无需人工干预,使应用拥有威胁自免疫能力。
当应用程序开始运行时,RASP可以通过分析与了解数据流及事件流,检测和防护无法预见的安全威胁与攻击事件,尤其在0Day等未知漏洞防御、东西向流量防护、软件供应链投毒免疫等方面,拥有绝对的核心优势,是企业实现“敏捷右移,安全运营敏捷化”的必要性能力,也是企业构筑下一代积极防御体系所不可或缺的核心能力。
同时,在攻防演练等场景中,大部分用户已经在流量、终端、主机等维度逐渐形成了NDR、EDR乃至HDR(主机检测与响应)等检测与响应能力,有效提升安全检测的覆盖度与应急响应时效。作为更加贴近业务侧的检测与响应能力,ADR(应用检测与响应)以RASP为主要安全能力切入点,采集应用运行环境与应用内部的用户输入、上下文信息、访问行为等流量数据并上传至分析管理平台,辅助悬镜安全全球首个数字供应链安全情报预警平台捕捉的威胁情报关联分析后,以自动化策略或人工响应处置安全事件的解决方案,能够有效补全其他“DR”在业务侧的不足。
在实战演练中,率先部署和运营ADR能帮助用户抢占对抗先机。演练前梳理应用资产,收敛潜在攻击暴露面;演练中持续检测与分析,实现有效防御与溯源;演练后结合上下文,全面提高应用安全等级。
01
|AI智能威胁发现
传统边界防御产品对应用内部逻辑一无所知,云鲨RASP可智能获取来自应用程序体系结构和运行时的丰富信息,结合上下文感知异常行为,全面发现各类已知及未知威胁,包括 OWASP Web/API应用代码漏洞、第三方开源组件漏洞、各类组件反序列化、WebShell及内存马等,误报率更低、检测更精准,更能代码级定位漏洞源头,极大提升修复效率。
02
|组件级资产测绘
结合运行时SCA技术,在应用运行过程中实时获取所调用的第三方组件信息,包括组件名称、版本、路径等,并能获取到调用组件的具体方法、传入参数和返回值等运行时上下文数据,帮助企业全面准确地掌握应用中的第三方组件资产,为后续的组件管理、风险评估和合规审计等工作提供重要基础。
03
|攻击检测及溯源
对访问应用请求的每一段代码进行检测,实时监测非法操作和攻击行为,毫秒级告警攻击事件、阻断恶意攻击;通过分析被攻击应用程序与内网流量,还原攻击者的攻击路径与攻击手法、记录攻击特征,实现对未知攻击手段的狩猎。API防护可自动识别应用API资产,可视化展示全量接口,基于攻击数据统计生成AP接口风险等级,并可一键添加热补丁,及时修复API风险。
04
|风险修复
当线上应用发现漏洞后,通过平台下发热补丁, 云鲨 RASP Agent 可以在不中断业务的前提下为应用系统提供应急防护。云鲨 RASP 热修复补丁支持对请求流量特征、函数入参/返回值、函数调用栈特征进行判断,同时支持自由编辑表达式,用户可灵活创建及组合多个子补丁,面对APT高级威胁时构筑一道全面的防御墙。
05
|软件供应链投毒免疫
攻击不是随机发生的,而是有预谋、有组织的行为。软件供应链投毒事件屡见不鲜,一旦攻击者发现应用程序中引用了包含已知漏洞组件,就可能导致服务器被攻击或者敏感数据泄露,造成无法想象的严重后果。开源软件和第三方组件的漏洞在被利用时,执行到应用代码底层,往往都会聚集到一些“敏感”函数上,如反序列化、数据库执行、命令执行、文件操作、响应返回等相关函数,而云鲨RASP能对这些底层“敏感”函数调用进行识别阻断。
同时,云鲨RASP全面接入悬镜云脉XSBOM,依托悬镜安全团队强大的供应链管理监测能力和AI安全大数据云端分析能力,实时监控和分析全球数字供应链风险情报,及时获取断供、投毒、许可证变更新信息,自动识别组件和供应商的潜在安全风险,并精准预警可疑活动和新出现的威胁,结合企业组件资产地图,精准推送风险预警消息的同时生成相关热修复补丁,保障线上数字资产安全。
云鲨RASP全面接入悬镜云脉XSBOM
3
实战,云鲨RASP助力保险业用户
抵御百万次威胁攻击
自云鲨RASP发布以来,悬镜安全凭借丰富的探针使用经验,以及结合IAST探针进行迭代的All In One探针技术,不断为金融、教育、运营商等行业用户持续赋能。RASP作为传统防御体系中重要的补充,在各企业的实践中,都取得了优异的成效。
以某保险公司为例,企业内部应用逐渐微服务化,发布迭代速度较快,并且存在很多存量应用系统,已知但难以修复的安全问题较多。且对于日常运维、HVV过程中出现的应用本身的漏洞,传统的边界防御设备难以防御应用层面的攻击。该企业通过引入RASP应用自免疫平台,实现对现有存量应用系统安全加固,发布应用出厂免疫,并在安全运营工作中梳理应用资产、补充监控应用层入侵攻击,并提供有效阻断策略。
该企业在引入RASP后的两个月内,完成了探针的兼容性适配,并顺利从测试环境切换到生产环境。随后的半年时间内,企业内部的Java、Python等Web应用等环境的RASP覆盖率就达到了90%。同时,通过不断迭代的防护策略,悬镜云鲨RASP至今帮助企业发现了数百万次的威胁攻击,对威胁攻击进行了告警、阻断等处理,大大降低了企业面临的网络攻击威胁。在重保、HVV等演练期间,还凭借云鲨RASP的自动化热修复技术,帮助企业多次抵御了核心业务系统上不便修复的漏洞。
云鲨RASP作为AI智能代码疫苗内核驱动的新一代应用威胁自免疫平台,也是2025年中国信通院首批通过运行时应用程序自我保护(RASP)工具能力评估的平台,同时,根据中国信通院《中国DevOps现状调查报告》数据显示,悬镜云鲨RASP连续三年在同类工具中市场应用率第一。
随着HVV安全攻防演练的临近,悬镜安全深知每一次挑战都是检验与提升安全防御能力的宝贵机会,在此关键时刻,悬镜携手HVV产品云鲨RASP助力各组织机构在实战中铸就坚不可摧的数字盾牌,持续守护中国数字供应链安全。