一年一度的實(shí)戰(zhàn)攻防演練即將拉開帷幕，這對企業(yè)機(jī)構(gòu)的安全體系建設(shè)無疑是一次“年度大考”。隨著攻防演練的深度推進(jìn)、攻防常態(tài)化，攻擊方獲得了更多針對高價(jià)值目標(biāo)的機(jī)會。其中，0Day/NDay漏洞成為企業(yè)面臨的主要安全挑戰(zhàn)之一。

0Day漏洞，指的是那些尚未公開的、未知的且沒有補(bǔ)丁的軟件安全漏洞；NDay漏洞，指的是已公開但未及時(shí)修復(fù)的漏洞。攻擊者可以利用這些漏洞發(fā)動突襲，給企業(yè)造成重大損失。特別是0Day漏洞總是防不勝防，在攻防戰(zhàn)場上，0Day漏洞是公認(rèn)的極具破壞力的“大殺器”。

6月26日，在騰訊云安全企業(yè)創(chuàng)新在線學(xué)堂舉辦的“攻防演練季應(yīng)急自救指南”線上沙龍中，專家聚焦漏洞修復(fù)話題，從攻防視角出發(fā)，深入分析2025年熱點(diǎn)漏洞及應(yīng)對思路，并結(jié)合騰訊內(nèi)部漏洞攻防最佳實(shí)踐，為企業(yè)給出防御建議，助其破解“漏洞修復(fù)時(shí)效性”與“業(yè)務(wù)連續(xù)性”的兩難困境。

2025年熱點(diǎn)漏洞分析：漏洞利用趨勢與攻擊手法拆解

開源組件普及伴隨而來的，是漏洞攻擊手段的不斷升級。漏洞響應(yīng)的時(shí)效性、精準(zhǔn)性和全面性要求陡增。騰訊云安全技術(shù)專家尹亮基于典型攻擊案例，揭示了3類攻擊者最常利用的漏洞類型及其繞防手法：

  1、NacosDerby漏洞：作為去年爆出的次新漏洞，這顆“新星”正被攻擊者高頻利用，威脅迅速增長，企業(yè)需高度警惕。

  2、Log4j漏洞：因其功能強(qiáng)大、應(yīng)用極廣，Log4j組件已成為攻擊者的重要跳板，堪稱“常青樹”。攻擊者利用的是Log4j對字符串特定符號的特殊處理邏輯，其訪問業(yè)務(wù)的某個(gè)URL，在UserAgent中夾雜用于攻擊的字符串，于是業(yè)務(wù)代碼在處理這個(gè)請求時(shí)，就會通過調(diào)用Log4j內(nèi)部相關(guān)的方法，嘗試把這個(gè)夾雜攻擊字符串的UserAgent內(nèi)容打到日志當(dāng)中，從而使Log4j自主運(yùn)行惡意代碼，進(jìn)而控制企業(yè)的整個(gè)服務(wù)器，實(shí)現(xiàn)攻擊目的。

  3、表達(dá)式漏洞：一些熱門的開源軟件所使用的表達(dá)式功能非常強(qiáng)大，可調(diào)用Java類、可讀寫類的成員，應(yīng)用也非常廣泛。在提供便利的同時(shí)也暴露出不少的漏洞，是經(jīng)久不衰的攻擊入口。即使有WAF等工具的黑名單檢查，攻擊者仍可通過字符串拆分/拼接、動態(tài)方法調(diào)用等手段繞過靜態(tài)檢測，達(dá)成攻擊目的。

尹亮表示，攻擊者在暗處，常見或不常見、新發(fā)漏洞或“老調(diào)重彈”，都會被攻擊者充分利用，并結(jié)合多種方式繞過安全防御機(jī)制來實(shí)施攻擊，給企業(yè)的云上業(yè)務(wù)帶來巨大的挑戰(zhàn)。如何在不中斷業(yè)務(wù)的情況下實(shí)現(xiàn)漏洞的精準(zhǔn)防御，是企業(yè)安全的核心命題。

破局之道：騰訊云安全RASP2.0——全方位防護(hù)0Day/NDay攻擊

維持業(yè)務(wù)穩(wěn)定性是企業(yè)上云的第一要?jiǎng)?wù)，因此漏洞防護(hù)方案必須在不影響業(yè)務(wù)穩(wěn)定性的情況下進(jìn)行。

傳統(tǒng)補(bǔ)丁方案更新慢、操作繁瑣，無法及時(shí)響應(yīng)防護(hù)需求，且通用補(bǔ)丁方案也無法針對特定漏洞的特征做精準(zhǔn)捕捉，誤報(bào)、漏報(bào)率高。甚至部分漏洞防護(hù)方案需要重啟或修改服務(wù)進(jìn)程配置，可能對業(yè)務(wù)造成影響。RASP（運(yùn)行時(shí)應(yīng)用自我保護(hù)）技術(shù)提供了新思路，如同為應(yīng)用“接種疫苗”，將防護(hù)能力注入應(yīng)用進(jìn)程內(nèi)部，賦予其內(nèi)在防御力。

作為內(nèi)生安全技術(shù)，RASP在應(yīng)用內(nèi)部監(jiān)控上下文行為，天然具備攔截0day攻擊、識別變形流量的能力。騰訊云鼎實(shí)驗(yàn)室融合騰訊前沿的漏洞挖掘技術(shù)、實(shí)時(shí)高危漏洞預(yù)警技術(shù)，并與騰訊云主機(jī)安全泰石引擎能力強(qiáng)強(qiáng)聯(lián)合，共同打造了騰訊云安全RASP2.0版本，助力企業(yè)在0Day防護(hù)時(shí)化被動響應(yīng)為主動防御。

騰訊云安全技術(shù)專家孫藝介紹，全新發(fā)布的騰訊云安全RASP2.0具備四大優(yōu)勢：

 1、延遲低：騰訊云安全RASP2.0使用JAVA原生規(guī)則，不需要依賴額外的JS引擎，延遲更低；

 2、內(nèi)存占用小：最小化引入第三方庫來減少內(nèi)存占用，騰訊云安全RASP2.0對引入的第三方庫都會進(jìn)行重命名和包路徑的方式來避免污染業(yè)務(wù)的Class空間，從而減少對應(yīng)的業(yè)務(wù)風(fēng)險(xiǎn)，同時(shí)實(shí)現(xiàn)更快的加載速度；

 3、業(yè)務(wù)穩(wěn)定保障：多重機(jī)制，保障業(yè)務(wù)穩(wěn)定，騰訊云安全RASP2.0進(jìn)行了Agent代碼層、檢測超時(shí)、運(yùn)行異常監(jiān)控、業(yè)務(wù)可用性等多重保障，并提供多種可選防護(hù)模式，同時(shí)，模擬靶場全天候運(yùn)行進(jìn)行情報(bào)監(jiān)控及新漏洞感知，持續(xù)驗(yàn)證提升RASP的能力及穩(wěn)定性；

 4、業(yè)務(wù)覆蓋廣：騰訊云安全RASP2.0支持JDK1.6及以上所有JAVA版本，并且對主流JAVA應(yīng)用框架都做了測試，來保證對框架的兼容。

相較上一代，騰訊云安全RASP2.0實(shí)現(xiàn)三大升級：

 1、新增33類常見通用攻擊防御，0Day原生免疫：無需改代碼/重啟服務(wù)，便可將探針注入到應(yīng)用內(nèi)部，防御33類通用攻擊行為。從底層函數(shù)進(jìn)行保護(hù)，不依賴規(guī)則的運(yùn)營，原生阻斷0Day漏洞、內(nèi)存馬攻擊。

 2、專洞專防技術(shù)再升級，熱點(diǎn)漏洞24小時(shí)支持精準(zhǔn)防御：頂級實(shí)驗(yàn)室加持，支持200+熱點(diǎn)漏洞精準(zhǔn)防御，新爆熱點(diǎn)漏洞24小時(shí)內(nèi)支持專洞專防。窮舉攻擊特征，從應(yīng)用內(nèi)部攔截漏洞利用的關(guān)鍵動作，最大程度減少漏報(bào)、誤報(bào)，準(zhǔn)確度達(dá)99.999%。

 3、百萬主機(jī)驗(yàn)證，性能有保障：百萬主機(jī)實(shí)戰(zhàn)驗(yàn)證，RASP2.0內(nèi)存額外占用<40MB，CPU占用＜1%，響應(yīng)時(shí)間影響<1毫秒，業(yè)務(wù)0侵?jǐn)_。

此前，騰訊云RASP技術(shù)已在多家頭部企業(yè)成功應(yīng)用：

  ●  某頭部車企：百萬級主機(jī)/容器漏洞治理壓力巨大，部署RASP后，借助其自動修復(fù)和防御能力，運(yùn)維工作量銳減80%。

  ●  某金融壽險(xiǎn)公司：老舊Weblogic系統(tǒng)漏洞難以修復(fù)，借助RASP有效堵住攻擊入口，保障了業(yè)務(wù)連續(xù)性。

  ●  某商業(yè)銀行：攻防演練中遭遇Log4j反序列化攻擊，傳統(tǒng)WAF/IDS因無法解析加密流量失效，部署RASP后成功攔截三次內(nèi)存馬注入攻擊。

未來，騰訊安全也將持續(xù)升級產(chǎn)品能力，護(hù)航企業(yè)平衡業(yè)務(wù)持續(xù)與安全保障，實(shí)現(xiàn)業(yè)務(wù)上云高質(zhì)量發(fā)展。

騰訊云主機(jī)安全RASP 2.0現(xiàn)已支持免費(fèi)體驗(yàn)（名額有限，僅限20席），掃描下方二維碼立即申請～