攻防演练季应急自救指南—0Day/NDay来袭，传统防护失效下该如何破局

云上热点漏洞趋势洞察以及典型攻击手法拆解 目录Menu •在野TOP漏洞•喋喋不休的log4j•经久不衰的表达式漏洞•普通/不普通的SQL•很普通的命令执行 在野TOP漏洞利用 喋喋不休的log4j 喋喋不休的log4j 经久不衰的表达式漏洞 Confluence OGNL 通用公开的回显型命令执行payload (#context=#attr['struts.valueStack'].context).(#context.setMemberAccess(@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)).(@java.lang.Runtime@getRuntime().exec(‘id')) path = """/functionRouter"""data = "xxx"headers = {'spring.cloud.function.routing-expression': 'T(java.lang.Runtime).getRuntime().exec("/id")','Content-Type': 'application/x-www-form-urlencoded'} 经久不衰的表达式漏洞 各种绕过姿势 变化表达式字符串 变化利用方法 1.类名字符串拼接•Class.forName("java." + "lang.Runtime") 1.打断上下文 2.调用JNI 2.ASCII码拼接 •true.toString().charAt(0).toChars(106)[0].toString().concat(true.toString().charAt(0).toChars(97)[0].toString()).concat(true.toString().charAt(0).toChars(118)[0].toString…•j:106; a:97；v:118；a：97… 4.读写敏感文件•****.getFile('/etc/passwd'), 'UTF-8')•***.save('/etc/cron.d/1') 普通的SQL 不普通的SQL ①XX OA不普通的SQL注入 很普通的命令执行 BitbucketServer命令注入漏洞(CVE-2022-36804) 如何保障业务安全？ 腾讯云主机安全新解决方案 RASP2.0， 全方位防护NDay/0Day攻击 目录Menu •应用安全问题和解法•主机安全RASP2.0防御能力剖析•RASP2.0产品优势 应用安全问题和解法 应用面临的痛点问题 RASP为应用保驾护航 RASP（Runtime Application Self-Protection）是Gartner于2014年提出的新型应用安全技术，通过将防护程序集成到应用中，实时检测并自动阻断攻击，赋予应用自我防御能力，无需人工干预。 4大核心特点： 实时攻击检测： 程序运行过程中，持续监控所有行为，即时识别恶意活动，利用应用上下文降低误报率。 自动攻击阻断： 检测到威胁后，立即自动采取防御措施，无需人工干预，有效防止攻击造成实际损害。 深度应用集成： 防护程序直接注入应用代码中，与应用融为一体，不依赖外部设备。 RASP像疫苗一样，突破边界防护后，在应用内拦截攻击 自我防御能力： 赋予应用程序内在的主动防护机制，使其能够抵御0Day漏洞和未知威胁。 RASP+WAF：建立纵深安全防线 RASP2.0防御能力剖析 主机安全现有漏洞治理方案 03漏洞风险排查 01漏洞攻击检测 6W+漏洞库，覆盖应用漏洞、Web-CMS漏洞、Linux/Windows软件漏洞四大漏洞类型；0Day漏洞小时级更新； 在主机端对恶意攻击流量进行感知，实时监测恶意攻击行为，覆盖云上热点漏洞，支持南北向、东西向的攻击流量检测。 04漏洞自动修复 02 RASP1.0漏洞防御 纯自研创新免重启精准防御能力，不引入第三方组件，保障轻量稳定；支持200+漏洞专洞专防，覆盖99%+热点攻击威胁； 系统漏洞支持一键自动修复，提供多维漏洞信息&修复方案，助力优先级判断及漏洞处置。 从RASP1.0到RASP2.0有哪些升级来提升漏洞防御效果？ RASP2.0有哪些升级？ 新增33类常见通用攻击防御0Day原生免疫 专洞专防技术再升级热点漏洞24小时支持精准防御 无需改代码/重启服务，便可将探针注入到应用内部。从底层函数进行保护，不依赖规则的运营，原生阻断0Day漏洞、内存马攻击。 顶级实验室加持，支持200+热点漏洞精准防御，新爆热点漏洞24小时内支持专洞专防。穷举攻击特征，从应用内部拦截漏洞利用的关键动作，最大程度减少漏报、误报，准确度达99.999%。 百万主机验证性能有保障 百万主机实战验证，内存额外占用< 40MB，CPU占用＜1%，响应时间影响< 1毫秒，业务“0”侵扰。 自适应Hook，自动找全所有埋点 常规方案的痛点 RASP往往需要基于运行时环境中，各种中间件、数据库、第三方组件的类型和版本，进行兼容性Hook开发，工作量极大。 前置防御，在内存马注入时拦截 常规方案的痛点 多数厂商阻断内存马执行的恶意命令，但内存马的危害远不止于此。内存马在注入后，本质上获取了执行任意代码能力，可做的事有可能超出通用攻击范畴。 差异化能力 基于上下文，准确识别恶意行为 高检出，低误报 通用+精准，防护0Day+Nday攻击 覆盖常见通用攻击类型 细致打磨，有效阻断0Day攻击 33个通用攻击类型，每个类型涵盖多个场景，不留死角，全方位防护。 示例1：表达式注入支持的表达式引擎： •OGNL•SpEL•MVEL•JEXL2•JEXL3•BEANS•JXPATH•EL•…… 示例2：反序列化支持的场景： •JDK原生反序列化•JSON反序列化：Fastjson，Jackson•RPC反序列化：Hessian，Dubbo•XML反序列化：Xstream•加密场景反序列化：ApacheShiro•YAML反序列化：SnakeYAML•…… RASP2.0产品优势 免重启，业务不中断 一键开启&关闭 注入&升级都自动完成，不用重启或修改配置 开启防御功能后， 将自动检测对应资产上Java进程，并注入到进程中，实时监控漏洞攻击、内存马注入行为。 关闭防护后， 插件卸载，不对资产产生影响。 轻量Agent，业务“0”侵扰 友商设计不当引起安全风险案例： 案例1：某RASP插件使用Jackson DataBind库，并添加到Boot Class Search Path污染业务Class空间。DataBind库存在大量漏洞。 案例2：某RASP插件使用log4j库打日志，导致自身存在安全风险。 Agent体积小的作用： 腾讯云安全RASP2.0： •占用的内存低•加载速度快•引入的三方组件少•避免污染业务Class命名空间•减少供应链安全风险•减少自身安全风险 Java原生规则，不需要额外的JS引擎解析，延迟低。最小化引入第三方库，占用内存少，加载快。重命名包路径等方式，避免污染业务Class空间，风险低。 多重机制，保障业务稳定 多种防护模式可选3. Agent代码层保障1. 检测超时保障2. 标准/重保、检测/防御根据业务情况按需配置 Agent全局异常捕捉出现非预期情况不影响业务运行 对检测耗时打点统计耗时情况，标记超时记录 业务可用性保障6. 运行异常监控5. 告警白名单，快速处置误报性能阈值配置，在超出停止防护功能（满足时重新启动） 模拟靶场全天候运行持续验证能力和稳定性 记录运行时异常信息采集运行时各项指标及时发现和定位问题 覆盖面广，兼容各类业务模式 支持JDK1.6及以上版本支持主流Java应用框架一个Agent进程同时支持主机、容器内应用 百万主机验证，1.0版已获诸多客户认可 3、金融行业某头部商业银行-攻防演练案例： 1、出行行业某头部车企-漏洞治理案例： 背景：某银行部分系统在数据传输与存储时，使用Java序列化机制。攻击者利用Log4j2反序列化漏洞注入内存马，传统WAF、IDS因无法解析加密流量且无文件落地特征，未能有效拦截 背景：上云安全建设，历史存在万级主机&容器漏洞待治理，工作量极大 效果：建设漏洞日常推修&应急响应机制，借助漏洞自动修复&漏洞防御能力有效减少80%运维工作量 效果：通过部署RASP，在后续的强对抗攻防演练期间，成功拦截3次利用漏洞注入的加密内存马攻击 2、金融行业某头部寿险公司-漏洞治理案例： 背景：发现多起weblogic组件漏洞利用攻击事件，但系统老旧修复困难 效果：通过RASP漏洞防御能力，成功堵住攻击入口，同时保障业务持续性 产品实战演示 Thank you感谢观看！ 扫码添加“小助手”获数字化升级资料及1v1咨询服务