一年一度的實戰(zhàn)攻防演練即將拉開帷幕，這對企業(yè)機構(gòu)的安全體系建設(shè)無疑是一次“年度大考”。隨著攻防演練的深度推進、攻防常態(tài)化，攻擊方獲得了更多針對高價值目標的機會。其中，0Day/NDay漏洞成為企業(yè)面臨的主要安全挑戰(zhàn)之一。

0Day漏洞，指的是那些尚未公開的、未知的且沒有補丁的軟件安全漏洞；NDay漏洞，指的是已公開但未及時修復(fù)的漏洞。攻擊者可以利用這些漏洞發(fā)動突襲，給企業(yè)造成重大損失。特別是0Day漏洞總是防不勝防，在攻防戰(zhàn)場上，0Day漏洞是公認的極具破壞力的“大殺器”。

6月26日，在騰訊云安全企業(yè)創(chuàng)新在線學(xué)堂舉辦的“攻防演練季應(yīng)急自救指南”線上沙龍中，專家聚焦漏洞修復(fù)話題，從攻防視角出發(fā)，深入分析2025年熱點漏洞及應(yīng)對思路，并結(jié)合騰訊內(nèi)部漏洞攻防最佳實踐，為企業(yè)給出防御建議，助其破解“漏洞修復(fù)時效性”與“業(yè)務(wù)連續(xù)性”的兩難困境。

2025年熱點漏洞分析：漏洞利用趨勢與攻擊手法拆解

開源組件普及伴隨而來的，是漏洞攻擊手段的不斷升級。漏洞響應(yīng)的時效性、精準性和全面性要求陡增。騰訊云安全技術(shù)專家尹亮基于典型攻擊案例，揭示了3類攻擊者最常利用的漏洞類型及其繞防手法：

  1、NacosDerby漏洞：作為去年爆出的次新漏洞，這顆“新星”正被攻擊者高頻利用，威脅迅速增長，企業(yè)需高度警惕。

  2、Log4j漏洞：因其功能強大、應(yīng)用極廣，Log4j組件已成為攻擊者的重要跳板，堪稱“常青樹”。攻擊者利用的是Log4j對字符串特定符號的特殊處理邏輯，其訪問業(yè)務(wù)的某個URL，在UserAgent中夾雜用于攻擊的字符串，于是業(yè)務(wù)代碼在處理這個請求時，就會通過調(diào)用Log4j內(nèi)部相關(guān)的方法，嘗試把這個夾雜攻擊字符串的UserAgent內(nèi)容打到日志當中，從而使Log4j自主運行惡意代碼，進而控制企業(yè)的整個服務(wù)器，實現(xiàn)攻擊目的。

  3、表達式漏洞：一些熱門的開源軟件所使用的表達式功能非常強大，可調(diào)用Java類、可讀寫類的成員，應(yīng)用也非常廣泛。在提供便利的同時也暴露出不少的漏洞，是經(jīng)久不衰的攻擊入口。即使有WAF等工具的黑名單檢查，攻擊者仍可通過字符串拆分/拼接、動態(tài)方法調(diào)用等手段繞過靜態(tài)檢測，達成攻擊目的。

尹亮表示，攻擊者在暗處，常見或不常見、新發(fā)漏洞或“老調(diào)重彈”，都會被攻擊者充分利用，并結(jié)合多種方式繞過安全防御機制來實施攻擊，給企業(yè)的云上業(yè)務(wù)帶來巨大的挑戰(zhàn)。如何在不中斷業(yè)務(wù)的情況下實現(xiàn)漏洞的精準防御，是企業(yè)安全的核心命題。

破局之道：騰訊云安全RASP2.0——全方位防護0Day/NDay攻擊

維持業(yè)務(wù)穩(wěn)定性是企業(yè)上云的第一要務(wù)，因此漏洞防護方案必須在不影響業(yè)務(wù)穩(wěn)定性的情況下進行。

傳統(tǒng)補丁方案更新慢、操作繁瑣，無法及時響應(yīng)防護需求，且通用補丁方案也無法針對特定漏洞的特征做精準捕捉，誤報、漏報率高。甚至部分漏洞防護方案需要重啟或修改服務(wù)進程配置，可能對業(yè)務(wù)造成影響。RASP（運行時應(yīng)用自我保護）技術(shù)提供了新思路，如同為應(yīng)用“接種疫苗”，將防護能力注入應(yīng)用進程內(nèi)部，賦予其內(nèi)在防御力。

作為內(nèi)生安全技術(shù)，RASP在應(yīng)用內(nèi)部監(jiān)控上下文行為，天然具備攔截0day攻擊、識別變形流量的能力。騰訊云鼎實驗室融合騰訊前沿的漏洞挖掘技術(shù)、實時高危漏洞預(yù)警技術(shù)，并與騰訊云主機安全泰石引擎能力強強聯(lián)合，共同打造了騰訊云安全RASP2.0版本，助力企業(yè)在0Day防護時化被動響應(yīng)為主動防御。

騰訊云安全技術(shù)專家孫藝介紹，全新發(fā)布的騰訊云安全RASP2.0具備四大優(yōu)勢：

 1、延遲低：騰訊云安全RASP2.0使用JAVA原生規(guī)則，不需要依賴額外的JS引擎，延遲更低；

 2、內(nèi)存占用小：最小化引入第三方庫來減少內(nèi)存占用，騰訊云安全RASP2.0對引入的第三方庫都會進行重命名和包路徑的方式來避免污染業(yè)務(wù)的Class空間，從而減少對應(yīng)的業(yè)務(wù)風險，同時實現(xiàn)更快的加載速度；

 3、業(yè)務(wù)穩(wěn)定保障：多重機制，保障業(yè)務(wù)穩(wěn)定，騰訊云安全RASP2.0進行了Agent代碼層、檢測超時、運行異常監(jiān)控、業(yè)務(wù)可用性等多重保障，并提供多種可選防護模式，同時，模擬靶場全天候運行進行情報監(jiān)控及新漏洞感知，持續(xù)驗證提升RASP的能力及穩(wěn)定性；

 4、業(yè)務(wù)覆蓋廣：騰訊云安全RASP2.0支持JDK1.6及以上所有JAVA版本，并且對主流JAVA應(yīng)用框架都做了測試，來保證對框架的兼容。

相較上一代，騰訊云安全RASP2.0實現(xiàn)三大升級：

 1、新增33類常見通用攻擊防御，0Day原生免疫：無需改代碼/重啟服務(wù)，便可將探針注入到應(yīng)用內(nèi)部，防御33類通用攻擊行為。從底層函數(shù)進行保護，不依賴規(guī)則的運營，原生阻斷0Day漏洞、內(nèi)存馬攻擊。

 2、專洞專防技術(shù)再升級，熱點漏洞24小時支持精準防御：頂級實驗室加持，支持200+熱點漏洞精準防御，新爆熱點漏洞24小時內(nèi)支持專洞專防。窮舉攻擊特征，從應(yīng)用內(nèi)部攔截漏洞利用的關(guān)鍵動作，最大程度減少漏報、誤報，準確度達99.999%。

 3、百萬主機驗證，性能有保障：百萬主機實戰(zhàn)驗證，RASP2.0內(nèi)存額外占用<40MB，CPU占用＜1%，響應(yīng)時間影響<1毫秒，業(yè)務(wù)0侵擾。

此前，騰訊云RASP技術(shù)已在多家頭部企業(yè)成功應(yīng)用：

  ●  某頭部車企：百萬級主機/容器漏洞治理壓力巨大，部署RASP后，借助其自動修復(fù)和防御能力，運維工作量銳減80%。

  ●  某金融壽險公司：老舊Weblogic系統(tǒng)漏洞難以修復(fù)，借助RASP有效堵住攻擊入口，保障了業(yè)務(wù)連續(xù)性。

  ●  某商業(yè)銀行：攻防演練中遭遇Log4j反序列化攻擊，傳統(tǒng)WAF/IDS因無法解析加密流量失效，部署RASP后成功攔截三次內(nèi)存馬注入攻擊。

未來，騰訊安全也將持續(xù)升級產(chǎn)品能力，護航企業(yè)平衡業(yè)務(wù)持續(xù)與安全保障，實現(xiàn)業(yè)務(wù)上云高質(zhì)量發(fā)展。

騰訊云主機安全RASP 2.0現(xiàn)已支持免費體驗（名額有限，僅限20席），掃描下方二維碼立即申請～