电信和互联网行业网络安全年会召开,爱加密奉上深度技术演讲 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

电信和互联网行业网络安全年会召开,爱加密奉上深度技术演讲

爱加密 活动专区 2024-02-04 14:06:42
42008
收藏

导语:12月15日,第十二届电信和互联网行业网络安全年会在安徽合肥成功召开。

12月15日,第十二届电信和互联网行业网络安全年会在安徽合肥成功召开。工信部网络安全管理局一级巡视员(正局长级)闫宏强、中国通信企业协会会长郭浩、中国信息通信研究院副院长魏亮、及中国联通、中国移动、中国电信公司相关领导出席。

本届年会以“筑牢数字安全屏障,推进新型工业化”为主题,集主论坛、专场分论坛、竞赛闭幕、成果展示等活动于一体,涵盖网络安全领域政策导向、前沿分享、成果发布、交流合作等丰富内容。此外,会议期间同步举办了行业网络安全创新成果展,集中展现了全行业的网络安全新理念、新技术、新应用。爱加密作为国内知名的移动信息安全综合服务提供商受邀出席参会。爱加密技术专家杨平以《安全威胁可见可控实践探索》为题发表了专题演讲

image.png

爱加密安全验证平台基于模拟攻击技术实践,模拟黑客或攻击队实施的网络攻击,通过构造不同的模拟攻击验证场景,对已部署安全设备和策略开展持续性、有效性安全验证。通过在不同网络域单独部署验证机和靶机,实现无害化的开展持续的攻击验证,形成自动化规则策略验证闭环,实现安全防护、检测等安全设备的有效性验证,确保网络安全配置、安全设备、安全策略等按照预期运行。

image.png

爱加密为某著名股份制公司进行月度安全有效性验证。根据设备验证工作计划,每月通过内网的验证机对内网的靶机发起模拟攻击,根据安全设备的日志生成闭环的验证结果。运营团队基于验证输出报告对失效策略制定变更计划进行调优,现已形成完整的持续运营优化工作流程,安全有效性提升83%

image.png

在应用侧安全防护方面,传统WEB边界防护存在的不足,如无法有效抵挡0day攻击;误报率过高,造成运营干扰;无法解决内部业务攻击;历史漏洞难以修复.

image.png

RASP全称为Runtime application self-protection,即运行时应用自我保护。可像“疫苗”一样注入到应用程序里面,与应用程序融为一体,使应用程序在运行时实现自我安全保护,并且安装过程无需修改任何应用程序自身代码,仅需简单配置即可实现自我防护机制。弥补了当前“边界防护”技术体系的不足,为应用系统的安全防护提供了创新性的解决方案,防御能力得以本质提升。

image.png

爱加密RASP产品将安全保护代码嵌入到运行中的应用程序,并与应用程序同时启动,监听与应用程序交换的重要节点,覆盖所有应用程序的访问行为,从而实时监测并拦截漏洞攻击行为。可以抵御传统WAF无法识别的攻击,如针对未知漏洞和业务逻辑漏洞的利用攻击。 

image.png

从下图中可以看到,请求参数ids的值中ids的参数值并不包含任何攻击的Payload,传统的WEB防护产品无法识别该攻击行为,但触发了爱加密RASP的SQL零规则检测,从而断定该接口存在SQL注入漏洞。

image.png

这是⼀个非常典型的SQL注入案例,我们通常在处理 where in 查询的时候会因为无法直接使用SQL预编译而选择了拼接SQL的方式来实现业务,从而也就导致了SQL注入的产生。

image.png

在2023HW期间,爱加密RASP成功为客户抵御某业务系统JeecgBoot SSTI 0day攻击,攻击告警日志如下:

image.png

技术组经过分析RASP防御日志发现该漏洞是⼀个未公开的JeecgBoot 0day,请求类型是 application/json ,请求的主体中包含了恶意的攻击参数,如下图。至12月,已为该客户部署23个系统(222个Agent,其中在线Agent215个,离线Agent7个)。共产生监测数据44967条(护网期间360条),5个应用系统自身漏洞(已确认)。

image.png

爱加密技术专家杨平老师的演讲结束后,众多与会领导与行业专家前来沟通技术问题,爱加密成功为行业网络安全保障能力建设工作奉献了自己的力量。

image.png

作为国内知名的信息安全综合服务提供商,爱加密拥有十余年技术积累及丰富的行业服务经验。数次获得部委认可斩获重量级奖项,深度参与网信办、工信部、公安部、市监局等单位牵头的网络安全类工作,并已成为CNNVD、CNVD、CAPPVD、CNCERT技术支撑单位。未来将不断开拓创新,进一步发挥核心技术优势、行业权威优势、安全服务优势等,帮助企业提升安全防护能力。

爱加密

爱加密是全球专业的移动信息安全服务提供商,专注于移动应用安全、大数据及物联网安全。

image.png

如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务