电信和互联网行业网络安全年会召开，爱加密奉上深度技术演讲

12月15日，第十二届电信和互联网行业网络安全年会在安徽合肥成功召开。工信部网络安全管理局一级巡视员（正局长级）闫宏强、中国通信企业协会会长郭浩、中国信息通信研究院副院长魏亮、及中国联通、中国移动、中国电信公司相关领导出席。

本届年会以“筑牢数字安全屏障，推进新型工业化”为主题，集主论坛、专场分论坛、竞赛闭幕、成果展示等活动于一体，涵盖网络安全领域政策导向、前沿分享、成果发布、交流合作等丰富内容。此外，会议期间同步举办了行业网络安全创新成果展，集中展现了全行业的网络安全新理念、新技术、新应用。爱加密作为国内知名的移动信息安全综合服务提供商受邀出席参会。爱加密技术专家杨平以《安全威胁可见可控实践探索》为题发表了专题演讲。

爱加密安全验证平台基于模拟攻击技术实践，模拟黑客或攻击队实施的网络攻击，通过构造不同的模拟攻击验证场景，对已部署安全设备和策略开展持续性、有效性安全验证。通过在不同网络域单独部署验证机和靶机，实现无害化的开展持续的攻击验证，形成自动化规则策略验证闭环，实现安全防护、检测等安全设备的有效性验证，确保网络安全配置、安全设备、安全策略等按照预期运行。

爱加密为某著名股份制公司进行月度安全有效性验证。根据设备验证工作计划，每月通过内网的验证机对内网的靶机发起模拟攻击，根据安全设备的日志生成闭环的验证结果。运营团队基于验证输出报告对失效策略制定变更计划进行调优，现已形成完整的持续运营优化工作流程，安全有效性提升83%！

在应用侧安全防护方面，传统WEB边界防护存在的不足，如无法有效抵挡0day攻击；误报率过高，造成运营干扰；无法解决内部业务攻击；历史漏洞难以修复.

RASP全称为Runtime application self-protection，即运行时应用自我保护。可像“疫苗”一样注入到应用程序里面，与应用程序融为一体，使应用程序在运行时实现自我安全保护，并且安装过程无需修改任何应用程序自身代码，仅需简单配置即可实现自我防护机制。弥补了当前“边界防护”技术体系的不足，为应用系统的安全防护提供了创新性的解决方案，防御能力得以本质提升。

爱加密RASP产品将安全保护代码嵌入到运行中的应用程序，并与应用程序同时启动，监听与应用程序交换的重要节点，覆盖所有应用程序的访问行为，从而实时监测并拦截漏洞攻击行为。可以抵御传统WAF无法识别的攻击，如针对未知漏洞和业务逻辑漏洞的利用攻击。 

从下图中可以看到，请求参数ids的值中ids的参数值并不包含任何攻击的Payload，传统的WEB防护产品无法识别该攻击行为，但触发了爱加密RASP的SQL零规则检测，从而断定该接口存在SQL注入漏洞。

这是⼀个非常典型的SQL注入案例，我们通常在处理 where in 查询的时候会因为无法直接使用SQL预编译而选择了拼接SQL的方式来实现业务，从而也就导致了SQL注入的产生。

在2023HW期间，爱加密RASP成功为客户抵御某业务系统JeecgBoot SSTI 0day攻击，攻击告警日志如下：

技术组经过分析RASP防御日志发现该漏洞是⼀个未公开的JeecgBoot 0day，请求类型是 application/json ，请求的主体中包含了恶意的攻击参数，如下图。至12月，已为该客户部署23个系统（222个Agent，其中在线Agent215个，离线Agent7个）。共产生监测数据44967条（护网期间360条），5个应用系统自身漏洞（已确认）。

爱加密技术专家杨平老师的演讲结束后，众多与会领导与行业专家前来沟通技术问题，爱加密成功为行业网络安全保障能力建设工作奉献了自己的力量。

作为国内知名的信息安全综合服务提供商，爱加密拥有十余年技术积累及丰富的行业服务经验。数次获得部委认可斩获重量级奖项，深度参与网信办、工信部、公安部、市监局等单位牵头的网络安全类工作，并已成为CNNVD、CNVD、CAPPVD、CNCERT技术支撑单位。未来将不断开拓创新，进一步发挥核心技术优势、行业权威优势、安全服务优势等，帮助企业提升安全防护能力。

爱加密

爱加密是全球专业的移动信息安全服务提供商,专注于移动应用安全、大数据及物联网安全。