京东云RASP云原生安全免疫技术详解

1. 技术背景

随着网络攻击事件整体呈上升趋势，应用作为网络入口承载着大量业务和流量，已成为安全重灾区。黑客借助自动化工具和安全漏洞对Web应用进行扫描探测和攻击，以达到窃取敏感数据或入侵服务器的目的。

典型案例：

Log4j2漏洞：近十年来最严重的漏洞，影响70%以上企业线上业务系统
Fastjson、Xstream等组件漏洞长期存在

2. 传统应用安全防护方案及其局限性

2.1 WAF(Web应用防火墙)

原理：分析HTTP/HTTPS流量，检查敏感字段，拦截恶意行为
局限性：
- 基于规则的检测容易被绕过
- 需要持续更新规则应对新漏洞

2.2 黑白盒扫描

SAST(白盒测试)：在软件开发生命周期早期发现源代码漏洞
DAST(黑盒测试)：发现运行中应用的安全漏洞
共同局限性：
- 无法解决已运行应用的安全问题
- 需要持续更新规则
- 属于事前扫描

3. RASP技术原理与优势

3.1 RASP定义

Runtime Application self-protection(运行时应用自我保护)，通过将防护引擎嵌入应用内部，使应用具备自我防护能力。

3.2 工作原理

从应用内部对关键函数操作的数据进行分析
即使原始请求经过加密和混淆，在应用内传播到底层函数时会以明文被截获
根据应用当前上下文精准识别攻击事件，实时阻断

3.3 技术优势

不依赖规则持续更新
减少误报和漏报
提供详细攻击链路信息(原始Payload、代码调用堆栈等)
可作为漏洞热修复和免疫0day漏洞的"安全疫苗"

3.4 防护机制

对底层"敏感"函数调用进行识别阻断：

反序列化
数据库执行
命令执行
文件操作
响应返回等

4. RASP架构设计

4.1 整体架构

探针模块
客户端模块
云端服务模块

4.2 探针模块实现

通过Instrumentation添加类转换器
在类加载前后对字节码进行操作，注入安全探针
过滤存在风险的关键类，插入检测逻辑
在JVM中执行，加入hook点
实时采集高风险行为并阻断

4.3 客户端模块功能

探针管理
模型管理
升级管理
异常监控

4.4 云端服务模块

日志处理服务：流式分析引擎处理上报日志
运营管控服务：管理RASP客户端
数据可视化平台：展示安全态势、事件、资产等

5. RASP应用场景

应用资产管理
- 梳理微服务应用IP、URL地址、API接口
- 绘制资产关联图谱
运行时入侵检测
- 基于污点分析和上下文分析技术
- 检测类型包括：
  - 远程命令执行
  - 恶意反序列化
  - 敏感信息泄露
  - OGNL注入
  - 内存马
  - XXE注入等
攻击威胁疫苗
- 免疫Web应用漏洞及第三方组件漏洞
- 防御0day漏洞
- 有效阻断反序列化、代码执行等攻击
应用安全基线
- 符合性应用层基线配置检测
- 覆盖中间件、单应用、微服务
敏感数据审查
- 针对个人信息、业务数据等敏感信息进行合规审查
- 检测未授权访问
- 支持输出阻断和过滤
应用热补丁
- 对已上线重要系统动态下发热补丁
- 不中断业务情况下提供临时防护
东西向流量分析
- 描绘微服务间流量
- 呈现应用程序内部具体执行操作
- 提供从网络层到应用内部的全链路数据

6. 实践案例

6.1 大促防护

经历多次双十一、618大促
高并发下性能几乎无影响
无误拦截事件

6.2 国家级攻防演习

有效抵御fastjson、shiro、反序列化、log4j等漏洞攻击
快速策略调整应对0day、Nday漏洞

6.3 安全运营实践

攻击告警分级分类
一键部署，灰度发布，可回滚
监控性能指标，快速响应故障

7. 技术总结

7.1 核心优势

无感知注入应用进程
深入了解应用上下文
减少误报漏报
不依赖规则更新
对0day漏洞免疫

7.2 在安全体系中的定位

纵深防御体系中的重要组成部分
现阶段保障应用安全的强有力方案

7.3 未来发展

持续迭代优化应对攻击技术演进
提高应用自身"免疫力"

8. 典型防护示例：Fastjson反序列化漏洞

8.1 攻击原理

寻找可造成代码执行的类
利用反序列化过程执行恶意方法

8.2 RASP防护机制

捕获所有由fastjson造成的：
- 代码执行
- 恶意文件上传
- 敏感文件读写等行为
基于行为分析而非特定代码匹配
直接阻断反序列化动作并告警

8.3 与传统WAF对比

WAF需要穷举可能被利用的类，易遗漏
RASP基于上下文和行为分析，难以绕过

京东云RASP云原生安全免疫技术详解 1. 技术背景随着网络攻击事件整体呈上升趋势，应用作为网络入口承载着大量业务和流量，已成为安全重灾区。黑客借助自动化工具和安全漏洞对Web应用进行扫描探测和攻击，以达到窃取敏感数据或入侵服务器的目的。典型案例： Log4j2漏洞：近十年来最严重的漏洞，影响70%以上企业线上业务系统 Fastjson、Xstream等组件漏洞长期存在 2. 传统应用安全防护方案及其局限性 2.1 WAF(Web应用防火墙) 原理：分析HTTP/HTTPS流量，检查敏感字段，拦截恶意行为局限性：基于规则的检测容易被绕过需要持续更新规则应对新漏洞 2.2 黑白盒扫描 SAST(白盒测试)：在软件开发生命周期早期发现源代码漏洞 DAST(黑盒测试)：发现运行中应用的安全漏洞共同局限性：无法解决已运行应用的安全问题需要持续更新规则属于事前扫描 3. RASP技术原理与优势 3.1 RASP定义 Runtime Application self-protection(运行时应用自我保护)，通过将防护引擎嵌入应用内部，使应用具备自我防护能力。 3.2 工作原理从应用内部对关键函数操作的数据进行分析即使原始请求经过加密和混淆，在应用内传播到底层函数时会以明文被截获根据应用当前上下文精准识别攻击事件，实时阻断 3.3 技术优势不依赖规则持续更新减少误报和漏报提供详细攻击链路信息(原始Payload、代码调用堆栈等) 可作为漏洞热修复和免疫0day漏洞的"安全疫苗" 3.4 防护机制对底层"敏感"函数调用进行识别阻断：反序列化数据库执行命令执行文件操作响应返回等 4. RASP架构设计 4.1 整体架构探针模块客户端模块云端服务模块 4.2 探针模块实现通过Instrumentation添加类转换器在类加载前后对字节码进行操作，注入安全探针过滤存在风险的关键类，插入检测逻辑在JVM中执行，加入hook点实时采集高风险行为并阻断 4.3 客户端模块功能探针管理模型管理升级管理异常监控 4.4 云端服务模块日志处理服务：流式分析引擎处理上报日志运营管控服务：管理RASP客户端数据可视化平台：展示安全态势、事件、资产等 5. RASP应用场景应用资产管理梳理微服务应用IP、URL地址、API接口绘制资产关联图谱运行时入侵检测基于污点分析和上下文分析技术检测类型包括：远程命令执行恶意反序列化敏感信息泄露 OGNL注入内存马 XXE注入等攻击威胁疫苗免疫Web应用漏洞及第三方组件漏洞防御0day漏洞有效阻断反序列化、代码执行等攻击应用安全基线符合性应用层基线配置检测覆盖中间件、单应用、微服务敏感数据审查针对个人信息、业务数据等敏感信息进行合规审查检测未授权访问支持输出阻断和过滤应用热补丁对已上线重要系统动态下发热补丁不中断业务情况下提供临时防护东西向流量分析描绘微服务间流量呈现应用程序内部具体执行操作提供从网络层到应用内部的全链路数据 6. 实践案例 6.1 大促防护经历多次双十一、618大促高并发下性能几乎无影响无误拦截事件 6.2 国家级攻防演习有效抵御fastjson、shiro、反序列化、log4j等漏洞攻击快速策略调整应对0day、Nday漏洞 6.3 安全运营实践攻击告警分级分类一键部署，灰度发布，可回滚监控性能指标，快速响应故障 7. 技术总结 7.1 核心优势无感知注入应用进程深入了解应用上下文减少误报漏报不依赖规则更新对0day漏洞免疫 7.2 在安全体系中的定位纵深防御体系中的重要组成部分现阶段保障应用安全的强有力方案 7.3 未来发展持续迭代优化应对攻击技术演进提高应用自身"免疫力" 8. 典型防护示例：Fastjson反序列化漏洞 8.1 攻击原理寻找可造成代码执行的类利用反序列化过程执行恶意方法 8.2 RASP防护机制捕获所有由fastjson造成的：代码执行恶意文件上传敏感文件读写等行为基于行为分析而非特定代码匹配直接阻断反序列化动作并告警 8.3 与传统WAF对比 WAF需要穷举可能被利用的类，易遗漏 RASP基于上下文和行为分析，难以绕过