當今網絡安全攻防較量已進入深水區,縱深防禦體系已經成為基礎。在HW場景下,關于應用漏洞攻擊響應和惡意流量溯源分析的安全工作一直被視作重點,但是在實際事件處理過程中仍存在巨大的技術挑戰。RASP技術作為新一代突破性的應用層積極防禦技術,可在東西向Web流量自動化檢測防禦中起到關鍵作用。
1 技術挑戰分析
1.1 HW場景
HW場景工作階段可分為HW前、HW中、HW後。防守方在前期主要開展已有資産清點、漏洞風險檢查、主動加強、環境隔離等工作;在中期主要進行檢測防禦、監控告警、事件響應、問題修複、同步情報等;在後期主要進行HW工作總結、問題處置、體系優化等。
實戰中,攻擊方主要會集中尋找突破點,往往聚焦在應用漏洞、0day漏洞的準備上。而對于防守方,存在技術挑戰之處除了在于如何快速進行漏洞攻擊響應外,也包括事後進行攻擊路徑溯源、事中進行攻擊流量精準分析和防禦。
1.2 縱深防禦
安全建設是一場動态化、持久化的運動,縱深防禦體系将安全建設變得更加系統化,旨在變被動為主動,基于木桶理論,從實體層到應用層提供層層防禦機制。正常縱深防禦有以下三處短闆:
1)應用漏洞止步于漏掃,缺乏漏洞及時修複和0day漏洞免疫的機制;
2)東西向流量檢測交由主機EDR和容器安全産品的微隔離技術,對于微服務間RPC協定及加密流量内容無法監測,并且無法追蹤其在程式内的真實行為;
3)雲原生環境下,内外網邊界逐漸模糊,會暴露更多的API應用且微服務之間的通路調用關系更加複雜。
2 RASP東西向流量檢測防禦實踐應用
關于流量通路的模式,南北向流量通常指外部用戶端對内部伺服器的通路流量,東西向流量通常指内部環境下不同伺服器間的通路流量。
圖1 主機間的南北向流量和東西向流量說明
在以往傳統縱深防禦體系裡,通過EDR主機微隔離技術來跟蹤描繪主機之間的流量通路關系如下圖所示:
圖2 主機東西向流量監控
随着容器化架構的普及,南北向流量和東西向流量新增了應用容器間的通路場景,如下:
圖3 容器架構下南北向流量和東西向流量說明
但從入侵風險真實性判斷和執行操作完整性審查的角度看,主機和容器間的流量監控還無法分析到具體應用程式解析請求後的真實執行情況。RASP技術則很好地補充了對應用容器内部程式間的流量通路和程式内部上下文執行過程的監控資訊。
2.1 攻擊流量内容可見
RASP基于其技術原理,可從某個Web應用或微服務應用擷取到請求并分析其資料内容和函數執行過程。相對于網絡邊界裝置對于加密流量無法審計的問題,RASP可從應用程式内部擷取到完整解密後的請求資料。
圖4 HTTP請求資料内容
并且,傳統安全裝置主要以HTTP/HTTPS流量分析為主,随着雲原生技術的發展,微服務架構普及,以及各類API接口逐漸轉為各類RPC接口協定(如Dubbo、二開RPC架構協定等)。傳統安全裝置幾乎不對這類流量進行監控和解析,通過RASP技術則可模拟企業RPC協定解析過程進行适配,解決該類型流量内容無法可視的問題。
圖5 Dubbo架構協定請求資料内容
2.2 程式内部上下文分析
審計東西向流量的目的是為了觀察應用間是否存在惡意操作。由于傳統安全技術的限制,當應用程式接收到請求後無法審計内部具體函數操作。而RASP可跟蹤程式執行上下文資訊,延展了東西向流量到應用程式内部的行為可視能力。
圖6 東西向流量及代碼執行過程跟蹤
從外部入侵攻擊的結果看,最終執行并達到攻擊目的的位置,往往是程式對資源通路過程中存在缺陷的位置,如資料庫通路、指令執行、網絡請求、檔案操作等。通過對程式内部函數堆棧及函數變量進行審查,可為安全人員補充應用層面的安全營運資料及可供審計的内容,包括具體通路的webshell後門、惡意指令、SQL注入語句、敏感資料内容及存儲方式等。
2.3 微服務調用鍊路追蹤
随着分布式、微服務架構、多語言、前後端分離模式的應用普及,溯源微服務間的攻擊入侵路徑存在難度。通過追蹤機制,則可便捷地關聯入侵請求所經過的微服務應用,提供精準的溯源資料。
圖7 微服務鍊路追蹤過程
使用者通過浏覽器發出HTTP請求,HTTP應用内部處理請求時由Dubbo服務消費方調用服務提供方觸發一次Dubbo RPC調用,再逐層傳回給使用者層。在這次操作過程中,若在Dubbo服務提供方檢測到漏洞資訊,希望可以向上溯源,找到觸發本次Dubbo調用漏洞的源頭調用資訊,如:HTTP GET/user/xmirror。進而溯源繪制調用鍊路路徑,如下效果:
圖8 溯源鍊路路徑
2.4 攻擊入侵響應和防護
縱深防禦體系的最終目的是保障業務本身安全性。RASP技術原理核心在于可對最終應用進行輸入流量檢測,并在代碼函數級别對變量進行檢查跟蹤、過程污點分析、惡意執行阻斷,在應用漏洞和流量行為分析上具有明顯優勢。
經常暴露且危害較大的應用漏洞,大多存在于開源軟體和第三方元件。黑客可以通過源碼分析發現其中的漏洞,進而當發現攻擊目标使用該開源軟體或第三方元件時,便可以發起0day攻擊。常态化安全營運下,對應用漏洞的修複或者補償措施通常會采用如下三種方式:
1)更新更新有漏洞的元件。這是主流推薦的修複方式,但為了不影響業務,這種方式需要有較長評估測試周期。如果是0day漏洞,可能官方還未提供更新版本或者更新檔;如果是老舊系統,存在版本已經停止維護的情況。
2)使用漏洞情報中的臨時修複方案。這屬于非官方修複方式,可能存在某些二次開發應用不适用情況,且如果涉及修改源碼,需要有同時具備安全和研發能力的人員儲備,不适合小型團隊。
3)添加防禦攻擊流量的WAF政策。WAF屬于邊界防護,應用資産覆寫面廣,易于操作。但如果規則政策嚴苛,容易造成無關應用流量的誤攔截,影響正常業務請求。
漏洞在被發現并被攻擊者利用産生危害時,被定義為一次完整的風險入侵事件。也就是說,如果應用存在漏洞,但攻擊者無法利用該漏洞進行下一步操作,則該漏洞風險就不産生危害。RASP的基本原理是利用HOOK技術,通過替換函數體或在函數前後插入檢測代碼,實作在風險操作執行時進行阻斷等。
圖9 對Java中JDBC executeQuery方法插樁效果
對于一些經常爆發漏洞的開源軟體和第三方元件而言,漏洞存在位置和利用方法可能不同,但是在進行利用時,執行到應用代碼底層,往往都會聚集到一些“敏感”函數上,如反序列化、資料庫執行、指令執行、檔案操作、響應傳回等相關函數。如果通過RASP技術對這些底層“敏感”函數調用做一定識别阻斷,即可免疫大部分0day攻擊。甚至在攻擊利用時,如同WAF一般,對攻擊請求流量進行過濾,但RASP相對WAF的優勢在于更加具有顆粒度(可設定對某個應用程序生效)且流量内容透明。是以,從此類實踐應用出發,RASP天然可作為漏洞熱修複和免疫0day漏洞的應用安全疫苗。
3.攻防角度下積極防禦體系的協同
以EDR技術為例,其作為傳統縱深防禦體系下主機安全層面防禦方案,特點是采用自适應安全體系的架構,覆寫防禦、監控、回溯和預測這四項關鍵能力,各項安全能力以智能、內建和關聯的方式應對各類攻擊。
圖10 傳統EDR部署圖
一般而言,EDR主要在主機層面提供資産清點、風險發現、入侵檢測、安全基線、病毒清除等安全營運能力,對于應用微服務相關以及記憶體馬都無力覆寫,對于反序列化攻擊、代碼注入等攻擊類型也難以防禦。但是在與懸鏡雲鲨RASP協同關聯後,可在應用層面建立積極防禦能力,并切實回報東西向流量防護效果。
圖11 懸鏡雲鲨分布式RASP部署圖
從攻防角度看,應用層面積極防禦的建立可促進縱深防禦體系更加深入,推進業務應用實質性安全落地,主要包含以下方面:
1)應用資産管理:借助插樁節點推廣覆寫,可梳理微服務應用IP、URL位址、API接口、第三方元件等,并繪制資産關聯圖譜;
2)運作時入侵檢測:基于應用污點分析和上下文分析技術,實時檢測應用漏洞利用、webshell通路執行、記憶體馬執行等,并實時預警高危元件風險,定位具體應用;
3)攻擊威脅疫苗:免疫通用Web應用漏洞及第三方元件安全漏洞,并對EDR難以防禦的反序列化、代碼執行等攻擊進行更加有效的阻斷;
4)應用安全基線:符合性應用層基線配置檢測,覆寫中間件、單應用、微服務等;
5)敏感資料審查:基于可擷取應用内部資料輸入、操作、内容的先天技術優勢,可針對業務側關注的個人資訊、業務資料等敏感資訊進行合規審查,必要時進行輸出阻斷和過濾;
6)應用熱更新檔:對已上線的重要應用系統,當出現重大漏洞短時間難以修複時,可以動态下發熱更新檔進行修複,在不中斷業務的同時為應用系統提供臨時防護,為漏洞修複争取寶貴的時間;
7)東西向流量分析:以微服務架構作為基礎,除了對應用間流量和東西向流量描繪,更能深入呈現應用程式内部具體執行操作,為安全營運提供從網絡層到應用内部真實執行過程資料,分析攻擊鍊路。
因而可以認為,主機層EDR技術和應用層RASP技術并不存在應用場景的沖突。RASP技術創造性實作了數字化應用釋出的出廠免疫,不僅帶來了對于未知入侵風險的直接防禦能力提升,也将東西向流量的智能檢測防禦技術進行了延伸。EDR和RASP兩種技術的關聯,可天然作為積極防禦體系下互相配合協作的夥伴,打通應用防護與治理的最後“一公裡”。