查看原文
其他

创业者说丨安百科技王青龙:Log4j2漏洞为RASP技术带来了一缕春风

藏青 安全419 2023-06-22

“我们现在一周内能看到的机会比去年一个月都多,很庆幸没有在风口来之前‘死掉’”,安百科技创始人王青龙在接受安全419的采访中谈到。


相比2020年的那次采访,王青龙显然更神采奕奕,从他言语间的风趣能看出他对安百科技以及RASP技术的信心。在这次采访中,他坦诚地谈起了很多较为“敏感”的话题,譬如关于自己在RASP技术领域的那些竞争对手、安百科技的裁员自救,以及关于自己此前为何多次拒绝融资等等。


Log4j 2漏洞事件 让RASP技术“一夜之间”夺得大量关注


2021年12月9日夜间,一条“Apache Log4j 2引发严重安全漏洞,疑似很多公司的服务器被扫描攻击”的消息骤然刷屏,一夜之间安全圈甚至整个互联网技术圈都经历了一场“大地震”——Apache Log4j2被曝出一个高危漏洞,危害堪比“永恒之蓝”,相信不少技术人员都在凌晨被叫醒去公司修复漏洞,经历了一个不眠之夜。


该漏洞事件在引起全球范围关于开源组件的安全治理讨论的同时,一项名为RASP(RASP 是 Runtime Application Self-Protection 的缩写,全称为“运行时应用程序自我保护”技术)的技术在业内的地位也得以水涨船高,一时风光无两。值得一提的是,安百科技正是国内RASP技术领域的最早践行者之一,毫无疑问,在Log4j2漏洞的席卷下,他们在技术圈内获得了大量关注。


王青龙告诉我们,在Log4j2漏洞爆发当夜,很多用户听闻漏洞事件后,也第一时间找到他们的技术专家询问针对性修复方案,“当时所给出的统一回复是,这个漏洞可以不用着急忙慌地修复,可以放到明天早上上班之后再来修复,甚至不想修也没问题。之所以会做出这样的回答,是在于安百科技的使命不是帮助用户修复所有的漏洞,而是适时地拦截每一次应用中的风险行为。”


这就是RASP技术能带给客户的价值所在——不同于那些基于流量特征的检测类产品,RASP 主要关注应用自身的行为,而非流量本身。简而言之,RASP不关注漏洞,只关注应用自身调用的请求,并阻止攻击者通过应用本身发出的一切高危操作请求。


RASP防御原理——安百科技


用技术语言来描述就是,RASP通过将自身注入到开发语言底层API中,完全地融入于Web服务,从而拥有了得天独厚的漏洞检测和防御条件,相较于传统的WAF拥有了更加精准、深层次的防御。RASP采用基于攻击行为分析的主动防御机制,严防文件读写、数据访问、命令执行等Web应用系统命脉,为Web应用安全筑建最后一道防线。


Log4j2漏洞的核心是其中一个JNDI存在注入缺陷,允许攻击者在正常的请求中附加一些恶意请求加载恶意应用,在这个过程中,RASP产品并不关注请求中的流量是否包含了恶意的 payload,而是关注 Log4j2 究竟使用 JNDI 功能去做了什么。如果进行正常的 JNDI 查询,就没有问题;但如果企图使用 JNDI 功能进行命令执行,就是一个显而易见的危险行为,那么就需要将其阻断。


王青龙介绍,在漏洞事件爆发后,阿里云发现该漏洞的安全研究团队在一篇技术文章中对RASP技术进行了说明和阐释,并对安百科技的灵蜥RASP平台进行了推荐。随后,该平台收到了许多企业用户的测试请求,就连行业主管单位的某位负责人也直接找到了王青龙,认真咨询了RASP技术在Log4j2漏洞防治方面的具体效果,并探讨了在更大范围内推广的可能性。


为此感到十分振奋的他说出本文开篇的那句话,“我们现在一周内能看到的机会比去年一个月都多,虽然说风口还没来,但也快了,我判断就在这一两年的时间。很庆幸没有在风口来之前‘死掉’。”



坚持深耕RASP技术 

力求真正解决用户应用安全的痛点


“从2014年开始,我们认定了要做RASP,虽然到今天来看是找准了一个好的创业方向,但中间这几年我也好几次怀疑自己,这条路走的到底对不对?为什么用户一听到我们介绍RASP就说‘暂时不考虑’?”


王青龙谈到,早在乌云的时候就发现,每天平台都会有白帽子发现大量的应用层漏洞,即使那些互联网企业们已经采购了许多防护产品,应用层中的漏洞依然无法避免,这个痼疾从系统层和网络层都无法根治。


在当时来看,除了通过白帽子去挖洞外,应用漏洞层出不穷的现象几乎已经无法改变了。但他却没有放弃,一直和自己的团队绞尽脑汁,想要根本上找到一种更成熟的解决方案。


从JDK1.5开始,Java新增了Instrumentation(Java Agent API)和JVMTI(JVM Tool Interface)功能,允许JVM在加载某个class文件之前对其字节码进行修改,同时也支持对已加载的class(类字节码)进行重新加载(Retransform)。利用这个机制能够将保护程序注入到应用程序中,与应用程序融为一体,能够拦截从应用程序到系统的所有调用,确保它们是安全的,并直接在应用程序内验证数据请求,这也是如APM性能监控类产品以及IAST类产品在国外开始兴起的背景。


“因为RASP的检测和保护功能是在应用程序运行的系统上运行的,所以相比其他应用安全产品,RASP有一个绝对性优势在于,基本上不会存在误报。如果出现警报,要么就是被攻击了,要么就是这个触发点上存在漏洞,从而导致报错。”


王青龙认为,当前业内的很多安全厂商的关注点仍然是新的漏洞以及第一时间出新的防护规则,但RASP技术则更加关注应用程序的开发语言本身,从安全的角度审视开发语言版本的变化以及其背后的逻辑,在每一个风险点上插上探针,跟随不安全指令并制止它。


“在这个攻击层出不穷的时代,我们并不关心单一漏洞类型。我们更关注,无论应用程序可能使用的每一个最简单的 API,还是到与操作系统底层打交道的最底层的链接库文件调用,我们做到了全量级别的监控与防御。无论用户代码如何扩展,都逃不过我们的防御逻辑。试想一下,跟出一个漏洞更新一个规则相比,RASP 的基于底层的行为进行防御显然能起到更好的效果,修修补补的防御措施,根本无法解决现在发生的问题。



近些年,我们团队技术人员和媒体不断地宣扬 RASP 技术,广大的 Java 安全研究人员逐渐接触并认识了这种技术。市面上的 RASP 产品也如春笋般冒了出来。但是排在客户担心列表首位的,永远不是 RASP 的防御能力,而是 RASP 对应用系统是否会带来影响。而这一问题,也是安百的团队在完成了能防 0 Day 的基础防御能力之后,在近几年主要攻破的难题,无论是 JDK 版本、中间件、组件版本、还是不同用户环境下的统一编码问题、还是面对同一漏洞组件不同版本的通用防御问题等,我们都踩过了无数无法预知的大坑,经历了客户真实环境的锤炼,而这是其他厂商甚至是出名的大厂所不具备的能力。”


但在他看来,这既是安百科技蹚过的坑,也是如今坚持继续做RASP的底气,很难再有一家安全厂商能够从头把这些细枝末节一一捡起来。



“自剪羽翼” 拒绝走入盲目融资的恶性循环


据我们此前了解,安百科技曾于2018年时完成数千万级别的A轮融资,但之后在资本市场再无后续融资动作。而王青龙在上一次采访时曾透露,在完成A轮融资后,团队规模迅速从最早的十几个人扩充到了100+人,仅一年后,又迅速进行了一次精简,从100+人的规模减员至30余人。针对这一过程中发生故事,我们也请王青龙分享了自己的心路历程。


他谈到,在18年刚拿到A轮融资后,第一时间在市场上野心勃勃地开展了很多推广动作,但在推广的过程中却发现,似乎RASP技术的市场机遇期还未到来。而自己的团队眼看着规模越来越庞大,但实际营收情况并未有明显增长。


“拿到资本的钱后,它就会推动着你不得不继续往前走。在短暂的膨胀过后我们发现,我们根基根本不稳,尤其是在RASP这样一个相对新兴的领域,市场的整体规模还很小,如果继续去做市场推广的话,如果没有自己造血的能力,就只能是走入一个不断融资、融资再融资的恶性循环。”


“所以我在这个过程中也不停地思考,回顾这条道路是否走得正确。我们发现整个团队在30多个人的时候和100多个人的时候营收基本上是没有变化的,整个收入增长并不能支撑团队的运营。那时我也有纠结,是去脚踏实地的做事情?还是借助资本的力量继续融资?我在想清楚之后就决定把团队开始缩减,只留下我们的核心团队,哪怕我等,也要等到风口的到来。”


此后几年,安百科技沉下心来做RASP领域的深耕,在没有继续融资的情况下,利用自己的技术让自己存活了下来。王青龙表示,在夹缝中求生存、求发展,相比爆发式增长的发展模式要更加稳健,这也让安百科技在RASP领域有了足够深厚的技术积累,在客户的应用环境和场景下进行了足够多的打磨。“我们看到了RASP技术未来发展的可能性,相信继续走下去的话,等风口真正来的那天,我们会是底子最扎实的那一个。”


在这里,他也向我们分享了自己的感触,“不是每一家企业在每一个阶段都要融资,靠融资来解决团队生存问题,那只能加速创业团队的灭亡。资本的核心是逐利,有利可图才应是资本进入的最直接目的。”(不过,我真心感谢我们Pre-A轮投资方AA投资,他们是我见过对被投企业最有耐心和帮助的投资机构。)在项目的运转过程中,虽然投资人会带来很多助力,如果投资人在有效的时间内投入的资本无法退出产生利润,其个人对募资和LP也难以交代。 


毫无疑问,投资人会驱动着企业继续融资或者并购,如果这与创始团队初心不符的话,在过程中注定会备受煎熬,这也是很多创业者不接受投资的原因之一。


在他看来,资本应该是锦上添花,在即将起飞时可以在资本的助力下飞得更高,但如果仍在艰难爬向山顶的道路上,不合时宜的融资只会让你迅速膨胀,失去自我。


因此在A轮融资过后,即便有不少看到RASP发展趋势的投资人纷纷找过来,也都被王青龙一一谢绝。不过他也透露,今年过后可能会“稍微放开一点”,适时的选择拥抱一些国家层面的产业基金和愿意一起迎接未来的基金,为下一步的发展积蓄力量。


RASP的风口何时会来?


“虽然当前我国技术圈在不断追赶欧美的发展速度,但或许仍然存在5年的技术差距。在欧美等地区,IAST、RASP等新兴安全技术的应用已经接近成熟了,但国内还处在一个刚刚面向市场推广的发展期。但可以预见的是,RASP 将在未来 5 年内,一定会成为应用主流防御产品。而一旦 RASP技术 在基础防御基础上使用后,RASP还能够高度耦合业务代码,甚至可以根据业务流程进行拓展防御开发。”王青龙表示。


从2021年起,业内开始一些如华胜久安这样的初创企业也开始投入做RASP方向,但真正在做RASP的厂商仍然太少了,它的瓶颈在于需要开发投入太大,也需要一定的技术门槛。RASP产品只能说针对某一种语言去针对性地开发,安百科技自身从2014年至今已经做了8年,但也只在JAVA语言方面打造了成熟的产品和解决方案,比如.net/Go/phthon/PHP等语言,虽然也都有做过基础版本,但暂时还没有更多精力去横向覆盖。


他解释到,业内当前碰到的客户已经对RASP技术建立起了一定的认知,但在管理层面和责任层面还存在推动RASP产品进入的难度。但好消息是,金融行业中已经发生了明显的风向转变。


“此前安全部门基本上都是放到运维团队下面,但运维的权限是不可能允许采购的安全产品在应用中安装探针的,但问题是RASP又必须跟应用强绑定,这也是这块市场一直起不来的原因之一。客户感兴趣,但是权限上却推不动。但一个好现象是,在很多企业,尤其是金融行业中,安全部门在组织架构上开始被划分到了研发团队中,这样一来,安全团队就能够十分顺畅地推动RASP产品的测试了,这被我们视为RASP产品市场兴起的先决条件。”


“或许大家再经历几次如log4j2这样的大规模的0Day漏洞事件,可能就会真正开始看到RASP产品的价值所在。”王青龙补充道。


THE END


// 推荐阅读

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存