12月15日，第十二届电信和互联网行业网络安全年会在安徽合肥成功召开。工信部网络安全管理局一级巡视员（正局长级）闫宏强、中国通信企业协会会长郭浩、中国信息通信研究院副院长魏亮、及中国联通、中国移动、中国电信公司相关领导出席。本届年会以“筑牢数字安全屏障，推进新型工业化”为主题，集主论坛、专场分论坛、竞赛闭幕、成果展示等活动于一体，涵盖网络安全领域政策导向、前沿分享、成果发布、交流合作等丰富内容。此外，会议期间同步举办了行业网络安全创新成果展，集中展现了全行业的网络安全新理念、新技术、新应用。爱加密作为国内知名的移动信息安全综合服务提供商受邀出席参会。爱加密技术专家杨平以《安全威胁可见可控实践探索》为题发表了专题演讲。

目前安全验证领域拥有5大核心痛点。

· 全面排查难覆盖：在事前开展主动防御识别防护短板失效点困难，每次发生事件或演练才暴露问题，仍是头痛医头的被动模式

· 人工检查有局限性：基于人工的各类检查评估手段或带较强主观意识，或验证评估周期长，检查出的问题带有一定概率性，不适合持续性常态化开展。

· 运营资源不足：安全运营工作需要耗费大量人力成本，资源配置上无法满足高强的共发放对抗，运营工作仍大量依赖乙方且难以开展有效评价。

· 运营指导不足：难以明确安全运营优先级与必要性，推动内部整改难度也较大。安全运营水位线没有指导，无法准确意识到自身的安全防护所处水平。

· 量化度量困难：安全工作难以量化体现价值，无法解答公司对安全能力可视化的需求，也无法开展基于度量的治理。

BAS是改善安全运营效果的最佳切入点，可实现对防御系统的常态化验证。爱加密认为BAS在安全运营中的应自动化实现“三化”要求，基于此研发企业安全运营解决之道——爱加密安全有效性验证平台，产品通过平台持续跟踪和更新，快速上线热点高危漏洞利用和攻击验证场景用例，对全局安全措施实现全覆盖的自动化验持续验证，确保安全防护措施有效且处于稳定状态。

爱加密安全验证平台基于模拟攻击技术实践，模拟黑客或攻击队实施的网络攻击，通过构造不同的模拟攻击验证场景，对已部署安全设备和策略开展持续性、有效性安全验证。通过在不同网络域单独部署验证机和靶机，实现无害化的开展持续的攻击验证，形成自动化规则策略验证闭环，实现安全防护、检测等安全设备的有效性验证，确保网络安全配置、安全设备、安全策略等按照预期运行。

爱加密为某著名股份制公司进行月度安全有效性验证。根据设备验证工作计划，每月通过内网的验证机对内网的靶机发起模拟攻击，根据安全设备的日志生成闭环的验证结果。运营团队基于验证输出报告对失效策略制定变更计划进行调优，现已形成完整的持续运营优化工作流程，安全有效性提升83%！

在应用侧安全防护方面，传统WEB边界防护存在的不足，如无法有效抵挡0day攻击；误报率过高，造成运营干扰；无法解决内部业务攻击；历史漏洞难以修复.

RASP全称为Runtime application self-protection，即运行时应用自我保护。可像“疫苗”一样注入到应用程序里面，与应用程序融为一体，使应用程序在运行时实现自我安全保护，并且安装过程无需修改任何应用程序自身代码，仅需简单配置即可实现自我防护机制。弥补了当前“边界防护”技术体系的不足，为应用系统的安全防护提供了创新性的解决方案，防御能力得以本质提升。

爱加密RASP产品将安全保护代码嵌入到运行中的应用程序，并与应用程序同时启动，监听与应用程序交换的重要节点，覆盖所有应用程序的访问行为，从而实时监测并拦截漏洞攻击行为。可以抵御传统WAF无法识别的攻击，如针对未知漏洞和业务逻辑漏洞的利用攻击。

从下图中可以看到，请求参数ids的值中ids的参数值并不包含任何攻击的Payload，传统的WEB防护产品无法识别该攻击行为，但触发了爱加密RASP的SQL零规则检测，从而断定该接口存在SQL注入漏洞。

这是⼀个非常典型的SQL注入案例，我们通常在处理 where in 查询的时候会因为无法直接使用SQL预编译而选择了拼接SQL的方式来实现业务，从而也就导致了SQL注入的产生。

在2023HW期间，爱加密RASP成功为客户抵御某业务系统JeecgBoot SSTI 0day攻击，攻击告警日志如下：

技术组经过分析RASP防御日志发现该漏洞是⼀个未公开的JeecgBoot 0day，请求类型是 application/json ，请求的主体中包含了恶意的攻击参数，如下图。至12月，已为该客户部署23个系统（222个Agent，其中在线Agent215个，离线Agent7个）。共产生监测数据44967条（护网期间360条），5个应用系统自身漏洞（已确认）。

爱加密技术专家杨平老师的演讲结束后，众多与会领导与行业专家前来沟通技术问题，爱加密成功为行业网络安全保障能力建设工作奉献了自己的力量。

作为国内知名的信息安全综合服务提供商，爱加密拥有十余年技术积累及丰富的行业服务经验。数次获得部委认可斩获重量级奖项，深度参与网信办、工信部、公安部、市监局等单位牵头的网络安全类工作，并已成为CNNVD、CNVD、CAPPVD、CNCERT技术支撑单位。未来将不断开拓创新，进一步发挥核心技术优势、行业权威优势、安全服务优势等，帮助企业提升安全防护能力。END

爱加密

爱加密是全球专业的移动信息安全服务提供商,专注于移动应用安全、大数据及物联网安全。品牌官网：www.ijiami.cn；服务电话： 4000-618-110