12月15日,第十二届电信和互联网行业网络安全年会在安徽合肥成功召开。工信部网络安全管理局一级巡视员(正局长级)闫宏强、中国通信企业协会会长郭浩、中国信息通信研究院副院长魏亮、及中国联通、中国移动、中国电信公司相关领导出席。本届年会以“筑牢数字安全屏障,推进新型工业化”为主题,集主论坛、专场分论坛、竞赛闭幕、成果展示等活动于一体,涵盖网络安全领域政策导向、前沿分享、成果发布、交流合作等丰富内容。此外,会议期间同步举办了行业网络安全创新成果展,集中展现了全行业的网络安全新理念、新技术、新应用。爱加密作为国内知名的移动信息安全综合服务提供商受邀出席参会。爱加密技术专家杨平以《安全威胁可见可控实践探索》为题发表了专题演讲。
目前安全验证领域拥有5大核心痛点。
· 全面排查难覆盖:在事前开展主动防御识别防护短板失效点困难,每次发生事件或演练才暴露问题,仍是头痛医头的被动模式
· 人工检查有局限性:基于人工的各类检查评估手段或带较强主观意识,或验证评估周期长,检查出的问题带有一定概率性,不适合持续性常态化开展。
· 运营资源不足:安全运营工作需要耗费大量人力成本,资源配置上无法满足高强的共发放对抗,运营工作仍大量依赖乙方且难以开展有效评价。
· 运营指导不足:难以明确安全运营优先级与必要性,推动内部整改难度也较大。安全运营水位线没有指导,无法准确意识到自身的安全防护所处水平。
· 量化度量困难:安全工作难以量化体现价值,无法解答公司对安全能力可视化的需求,也无法开展基于度量的治理。
BAS是改善安全运营效果的最佳切入点,可实现对防御系统的常态化验证。爱加密认为BAS在安全运营中的应自动化实现“三化”要求,基于此研发企业安全运营解决之道——爱加密安全有效性验证平台,产品通过平台持续跟踪和更新,快速上线热点高危漏洞利用和攻击验证场景用例,对全局安全措施实现全覆盖的自动化验持续验证,确保安全防护措施有效且处于稳定状态。
爱加密安全验证平台基于模拟攻击技术实践,模拟黑客或攻击队实施的网络攻击,通过构造不同的模拟攻击验证场景,对已部署安全设备和策略开展持续性、有效性安全验证。通过在不同网络域单独部署验证机和靶机,实现无害化的开展持续的攻击验证,形成自动化规则策略验证闭环,实现安全防护、检测等安全设备的有效性验证,确保网络安全配置、安全设备、安全策略等按照预期运行。
爱加密为某著名股份制公司进行月度安全有效性验证。根据设备验证工作计划,每月通过内网的验证机对内网的靶机发起模拟攻击,根据安全设备的日志生成闭环的验证结果。运营团队基于验证输出报告对失效策略制定变更计划进行调优,现已形成完整的持续运营优化工作流程,安全有效性提升83%!
在应用侧安全防护方面,传统WEB边界防护存在的不足,如无法有效抵挡0day攻击;误报率过高,造成运营干扰;无法解决内部业务攻击;历史漏洞难以修复.
RASP全称为Runtime application self-protection,即运行时应用自我保护。可像“疫苗”一样注入到应用程序里面,与应用程序融为一体,使应用程序在运行时实现自我安全保护,并且安装过程无需修改任何应用程序自身代码,仅需简单配置即可实现自我防护机制。弥补了当前“边界防护”技术体系的不足,为应用系统的安全防护提供了创新性的解决方案,防御能力得以本质提升。
爱加密RASP产品将安全保护代码嵌入到运行中的应用程序,并与应用程序同时启动,监听与应用程序交换的重要节点,覆盖所有应用程序的访问行为,从而实时监测并拦截漏洞攻击行为。可以抵御传统WAF无法识别的攻击,如针对未知漏洞和业务逻辑漏洞的利用攻击。
从下图中可以看到,请求参数ids的值中ids的参数值并不包含任何攻击的Payload,传统的WEB防护产品无法识别该攻击行为,但触发了爱加密RASP的SQL零规则检测,从而断定该接口存在SQL注入漏洞。
这是⼀个非常典型的SQL注入案例,我们通常在处理 where in 查询的时候会因为无法直接使用SQL预编译而选择了拼接SQL的方式来实现业务,从而也就导致了SQL注入的产生。
在2023HW期间,爱加密RASP成功为客户抵御某业务系统JeecgBoot SSTI 0day攻击,攻击告警日志如下:
技术组经过分析RASP防御日志发现该漏洞是⼀个未公开的JeecgBoot 0day,请求类型是 application/json ,请求的主体中包含了恶意的攻击参数,如下图。至12月,已为该客户部署23个系统(222个Agent,其中在线Agent215个,离线Agent7个)。共产生监测数据44967条(护网期间360条),5个应用系统自身漏洞(已确认)。
爱加密技术专家杨平老师的演讲结束后,众多与会领导与行业专家前来沟通技术问题,爱加密成功为行业网络安全保障能力建设工作奉献了自己的力量。
作为国内知名的信息安全综合服务提供商,爱加密拥有十余年技术积累及丰富的行业服务经验。数次获得部委认可斩获重量级奖项,深度参与网信办、工信部、公安部、市监局等单位牵头的网络安全类工作,并已成为CNNVD、CNVD、CAPPVD、CNCERT技术支撑单位。未来将不断开拓创新,进一步发挥核心技术优势、行业权威优势、安全服务优势等,帮助企业提升安全防护能力。END
爱加密
爱加密是全球专业的移动信息安全服务提供商,专注于移动应用安全、大数据及物联网安全。品牌官网:www.ijiami.cn;服务电话: 4000-618-110