一年一度的實戰攻防演練即將拉開帷幕，這對企業機構的安全體系建設無疑是一次“年度大考”。隨著攻防演練的深度推進、攻防常態化，攻擊方獲得了更多針對高價值目標的機會。其中，0Day/NDay漏洞成為企業面臨的主要安全挑戰之一。

0Day漏洞，指的是那些尚未公開的、未知的且沒有補丁的軟件安全漏洞；NDay漏洞，指的是已公開但未及時修復的漏洞。攻擊者可以利用這些漏洞發動突襲，給企業造成重大損失。特別是0Day漏洞總是防不勝防，在攻防戰場上，0Day漏洞是公認的極具破壞力的“大殺器”。

6月26日，在騰訊云安全企業創新在線學堂舉辦的“攻防演練季應急自救指南”線上沙龍中，專家聚焦漏洞修復話題，從攻防視角出發，深入分析2025年熱點漏洞及應對思路，并結合騰訊內部漏洞攻防最佳實踐，為企業給出防御建議，助其破解“漏洞修復時效性”與“業務連續性”的兩難困境。

2025年熱點漏洞分析：漏洞利用趨勢與攻擊手法拆解

開源組件普及伴隨而來的，是漏洞攻擊手段的不斷升級。漏洞響應的時效性、精準性和全面性要求陡增。騰訊云安全技術專家尹亮基于典型攻擊案例，揭示了3類攻擊者最常利用的漏洞類型及其繞防手法：

  1、NacosDerby漏洞：作為去年爆出的次新漏洞，這顆“新星”正被攻擊者高頻利用，威脅迅速增長，企業需高度警惕。

  2、Log4j漏洞：因其功能強大、應用極廣，Log4j組件已成為攻擊者的重要跳板，堪稱“常青樹”。攻擊者利用的是Log4j對字符串特定符號的特殊處理邏輯，其訪問業務的某個URL，在UserAgent中夾雜用于攻擊的字符串，于是業務代碼在處理這個請求時，就會通過調用Log4j內部相關的方法，嘗試把這個夾雜攻擊字符串的UserAgent內容打到日志當中，從而使Log4j自主運行惡意代碼，進而控制企業的整個服務器，實現攻擊目的。

  3、表達式漏洞：一些熱門的開源軟件所使用的表達式功能非常強大，可調用Java類、可讀寫類的成員，應用也非常廣泛。在提供便利的同時也暴露出不少的漏洞，是經久不衰的攻擊入口。即使有WAF等工具的黑名單檢查，攻擊者仍可通過字符串拆分/拼接、動態方法調用等手段繞過靜態檢測，達成攻擊目的。

尹亮表示，攻擊者在暗處，常見或不常見、新發漏洞或“老調重彈”，都會被攻擊者充分利用，并結合多種方式繞過安全防御機制來實施攻擊，給企業的云上業務帶來巨大的挑戰。如何在不中斷業務的情況下實現漏洞的精準防御，是企業安全的核心命題。

破局之道：騰訊云安全RASP2.0——全方位防護0Day/NDay攻擊

維持業務穩定性是企業上云的第一要務，因此漏洞防護方案必須在不影響業務穩定性的情況下進行。

傳統補丁方案更新慢、操作繁瑣，無法及時響應防護需求，且通用補丁方案也無法針對特定漏洞的特征做精準捕捉，誤報、漏報率高。甚至部分漏洞防護方案需要重啟或修改服務進程配置，可能對業務造成影響。RASP（運行時應用自我保護）技術提供了新思路，如同為應用“接種疫苗”，將防護能力注入應用進程內部，賦予其內在防御力。

作為內生安全技術，RASP在應用內部監控上下文行為，天然具備攔截0day攻擊、識別變形流量的能力。騰訊云鼎實驗室融合騰訊前沿的漏洞挖掘技術、實時高危漏洞預警技術，并與騰訊云主機安全泰石引擎能力強強聯合，共同打造了騰訊云安全RASP2.0版本，助力企業在0Day防護時化被動響應為主動防御。

騰訊云安全技術專家孫藝介紹，全新發布的騰訊云安全RASP2.0具備四大優勢：

 1、延遲低：騰訊云安全RASP2.0使用JAVA原生規則，不需要依賴額外的JS引擎，延遲更低；

 2、內存占用小：最小化引入第三方庫來減少內存占用，騰訊云安全RASP2.0對引入的第三方庫都會進行重命名和包路徑的方式來避免污染業務的Class空間，從而減少對應的業務風險，同時實現更快的加載速度；

 3、業務穩定保障：多重機制，保障業務穩定，騰訊云安全RASP2.0進行了Agent代碼層、檢測超時、運行異常監控、業務可用性等多重保障，并提供多種可選防護模式，同時，模擬靶場全天候運行進行情報監控及新漏洞感知，持續驗證提升RASP的能力及穩定性；

 4、業務覆蓋廣：騰訊云安全RASP2.0支持JDK1.6及以上所有JAVA版本，并且對主流JAVA應用框架都做了測試，來保證對框架的兼容。

相較上一代，騰訊云安全RASP2.0實現三大升級：

 1、新增33類常見通用攻擊防御，0Day原生免疫：無需改代碼/重啟服務，便可將探針注入到應用內部，防御33類通用攻擊行為。從底層函數進行保護，不依賴規則的運營，原生阻斷0Day漏洞、內存馬攻擊。

 2、專洞專防技術再升級，熱點漏洞24小時支持精準防御：頂級實驗室加持，支持200+熱點漏洞精準防御，新爆熱點漏洞24小時內支持專洞專防。窮舉攻擊特征，從應用內部攔截漏洞利用的關鍵動作，最大程度減少漏報、誤報，準確度達99.999%。

 3、百萬主機驗證，性能有保障：百萬主機實戰驗證，RASP2.0內存額外占用<40MB，CPU占用＜1%，響應時間影響<1毫秒，業務0侵擾。

此前，騰訊云RASP技術已在多家頭部企業成功應用：

  ●  某頭部車企：百萬級主機/容器漏洞治理壓力巨大，部署RASP后，借助其自動修復和防御能力，運維工作量銳減80%。

  ●  某金融壽險公司：老舊Weblogic系統漏洞難以修復，借助RASP有效堵住攻擊入口，保障了業務連續性。

  ●  某商業銀行：攻防演練中遭遇Log4j反序列化攻擊，傳統WAF/IDS因無法解析加密流量失效，部署RASP后成功攔截三次內存馬注入攻擊。

未來，騰訊安全也將持續升級產品能力，護航企業平衡業務持續與安全保障，實現業務上云高質量發展。

騰訊云主機安全RASP 2.0現已支持免費體驗（名額有限，僅限20席），掃描下方二維碼立即申請～