如何高效运维Rasp是企业快速漏洞响应的关键

        前不久InfoQ发布了关于往年开源在企业开发中占用的比重，可见对于开源的使用和依赖比重逐年在升高，而由于开源的特性，软件安全问题也是无可避免的，所以2022年开源软件的安全依然是一个重要的话题。

        刚过去的2021令大家难以忘却的噩梦可能当数log4j2漏洞了，快速在业界引起了轩然大波，面对这种核弹级漏洞，无论是甲方还是乙方企业都以自己的奇招最终抵抗过去，可其中暴露了一个非常本质的问题，在面对这种0 Day漏洞的攻击时，95%的企业最终只能选择连夜加班、默默升级。可幸的是，去年在这波战斗中，也看到有少数企业开始使用Rasp技术来临时抵御这种漏洞的攻击，给企业减少了损失，也给升级大军争取了可贵的时间。

        对于Rasp这种疫苗式一键注入的防御技术，相信安全届的同仁也是熟悉的很，Rasp和应用同机部署，动态注入应用中，起到了对应用监测、阻断漏洞、升级补丁的效果，对于log4j2这种漏洞的抵御当然不在话下。

        而今天要给大家带来的在面对大规模物理机、虚拟机甚至Docker的量达数万甚至数十万数量级的时候，应该如何高效运维Rasp来达到对于漏洞的实时监测和防御的效果。

        JRasp团队就此问题深度调研分析了当前漏洞攻击频出的常态下，企业应该具备怎样的自保手段才能进行有效止损，尤其在业务线复杂、服务规模大、机器数量多的环境下，如何有效运维甚至在自动化运维显得极其关键。下面是JRasp团队在对于Rasp在线上环境中如何高效运维搭建的一套运维监控系统：

主机层监控：

策略下发：

攻击感知：

以一个实际RCE漏洞为例：

• Step1：启动一个实际带有漏洞的Java服务，可以看到主机上的进程信息以及详情信息，还可以从接入状态观察到进程还没有被注入

• Step2：创建一个新策略，来开启JRasp监控,然后下发策略到这台主机,策略下发成功后，可以从接入状态看到主机上进程已经开启监控

• Step3: 触发RCE攻击，观察攻击感知, 可以看到攻击IP，网络请求以及应用堆栈等信息：

最后，非常欢迎有兴趣、有想法、有合作意向的同学随时来提意见、讨论。

或者添加管理员微信号sear244进群。