内生安全免疫,代码疫苗核心技术剖析
发布时间:2022-06-08 14:41:01 所属栏目:安全 来源:互联网
导读:代码疫苗技术,是一种能够通过运行时插桩技术进行应用漏洞检测及安全防护的新一代安全技术,其所涵盖的IAST技术与RASP技术,已连续数年被Gartner列在十大安全技术之内。 在不久前的【TTALK】系列活动第七期中,我们特别邀请到了悬镜安全CTO宁戈做客直播间,
|
代码疫苗技术,是一种能够通过运行时插桩技术进行应用漏洞检测及安全防护的新一代安全技术,其所涵盖的IAST技术与RASP技术,已连续数年被Gartner列在十大安全技术之内。 在不久前的【T·TALK】系列活动第七期中,我们特别邀请到了悬镜安全CTO宁戈做客直播间,为大家分享代码疫苗技术的原理、实现及落地实践经验。【T·TALK】也将这期分享的精彩内容进行了整理,希望能为读者带来一些启发: 代码疫苗概念 近年来,在技术创新的驱动下,软件技术上下游产业的演替不断加速。开发模式、应用架构、服务器与基础设施的升级,使得应用软件的开发流程变得愈发复杂。与此同时,伴随着软件复杂度的提升,软件安全所面临的问题与挑战也在持续增加。 代码疫苗技术,是一种能够通过运行时插桩技术进行软件运行时风险自发现及威胁自免疫的新一代安全技术,其核心内涵主要包含四个方面: 无需代码安全专家逐行分析源代码 无需对原有代码逻辑进行修改调整 无需维护复杂流量过滤策略及规则 不会忽略应用程序中超90%由第三方组件引入的风险 与医学届对疫苗的定义相似,代码疫苗技术并不是传统的外挂式安全,其侧重点是从开发源头侧规避安全风险,并为应用搭建更加有效的内生积极防御体系。而帮助代码疫苗技术实现这一目标的两个核心,则是基于单探针插桩的IAST技术与RASP技术。 代码疫苗技术原理 无论IAST技术还是RASP技术,都依赖运行时插桩进行实现。运行时插桩是在应用层通过应用启动后,替换函数体或在函数前后插入检测代码来实现的。通过插桩代码,可以快速获得应用运行在关键点的数据信息。 需要注意的是,由于不同语言间存在运行时的环境差异,因此不同语言实现插桩的方式也会有所区别。以Java为例,由于Java拥有Instrument的特性,因此在类加载的过程中,需要对所关注的关键类与方法的字节码进行修改,才能够达到插入检测逻辑的目的。 IAST从概念角度可分为广义与狭义两种。广义的IAST包含流量学习和日志分析模式,通过对镜像流量及日志等数据进行重放及分析,以达到检测目的。此外,广义的IAST对研发测试等使用人员完全透明,无流程侵入,不依赖应用编程语言。 污点传播阶段,主要目标为跟踪污点数据的传播过程。由于外部数据在进入应用程序时已被污点标记,因此当被标记数据进行运算或字符串拼接及其他操作后,所产生的新数据也将会携带污点标记。 RASP能够获取运行时的上下文数据。在这其中,第一类数据是HTTP请求及响应数据与各式RPC协议,例如dubbo的请求与响应数据,以及gRPC等各式RPC框架。 第二类是所关注函数的执行数据,包括动态运行时,函数所接收到的完整参数、调用函数的对象实例以及函数执行的返回值。通过获取运行时过程中函数整体执行的状态,便能够判断运行函数执行过程中是否存在所关注的数据。 第三类则是函数执行过程中的调用栈。获取完整的函数调用栈,一方面便于研发进行漏洞分析与攻击分析。另一方面,也可以通过函数调用栈分析攻击者的行为。常用的一些反序列化的攻击手段,都可以通过函数调用栈进行分析。第四类是应用配置信息。获取应用的各类安全配置、代码内属性配置等信息,可以完整得知该应用是否执行了安全策略。 第一类也是最常规的是规则方式,对获取的参数或者HTTP请求综合进行规则匹配。 第二类是RASP的亮点功能,就是基于词法的分析。由于RASP所获取的数据更加全面,因此RASP能够针对完整的输入如SQL、命令执行等信息数据进行词法分析,以判断关键函数执行点上的数据是否存在异常。 第三类是行为及运行堆栈检测,主要用来检测敏感函数的执行。例如当WebShell植入系统后,会通过变形混淆绕过检测,但在执行系统命令或文件操作的过程中,其必定会调用底层运行时的API,此时通过行为及运行堆栈分析,便能够得知执行调用的函数或函数调用栈。 (编辑:常州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
