安全是一個(gè)具有深度和廣度的廣闊主題。但安全專家認(rèn)為可以將Lightrun作為安全工具的一種創(chuàng)造性方法，并且可以將其提升到一個(gè)新的水平。

什么是Lightrun?

Lightrun是一個(gè)面向開(kāi)發(fā)人員的可觀察性工具：就像生產(chǎn)環(huán)境中的調(diào)試器，并且沒(méi)有安全風(fēng)險(xiǎn)。Lightrun是一種足夠靈活的工具，可以適應(yīng)多個(gè)模具。

使用Lightrun，可以在不更改代碼的情況下注入日志、添加快照(不會(huì)停止代碼執(zhí)行的斷點(diǎn))，并使用指標(biāo)在代碼級(jí)別獲得可觀察的見(jiàn)解。

安全工具用例

將Lightrun作為安全工具有幾個(gè)原因。以下重點(diǎn)介紹以下內(nèi)容：

• 驗(yàn)證是否存在安全漏洞。
• 檢查是否有人主動(dòng)利用了安全漏洞。
• 驗(yàn)證是否正確部署了修復(fù)程序。

為了保護(hù)應(yīng)用程序，還有很多工作要做。Lightrun是一種通用工具;它不是Snyk等現(xiàn)有安全工具的替代品。并且它是免費(fèi)的，填補(bǔ)了代碼級(jí)別的空白。

最后，將討論Lightrun如何保護(hù)本身，如果Lightrun本身不安全，就不能將其視為一種安全工具。

驗(yàn)證安全漏洞

安全工具就像可觀察性工具，可以提供潛在風(fēng)險(xiǎn)的高級(jí)警報(bào)，但很少在代碼級(jí)別進(jìn)行通信。因此，開(kāi)發(fā)人員可能很難執(zhí)行可操作的安全任務(wù)和驗(yàn)證。如果安全問(wèn)題在本地重現(xiàn)，那很好，可以及時(shí)解決。企業(yè)通常可以使用調(diào)試器來(lái)填補(bǔ)空白。但是，一些安全問(wèn)題很難在生產(chǎn)環(huán)境之外重現(xiàn)。

Lightrun不會(huì)憑空發(fā)現(xiàn)漏洞。為此，企業(yè)需要一個(gè)專用的安全工具。但是如果有所懷疑，Lightrun可以幫助調(diào)查并證明漏洞。

例如來(lái)看看這個(gè)明顯的錯(cuò)誤：這是一個(gè)明顯的SQL注入錯(cuò)誤，但它可以被利用嗎?可以花時(shí)間調(diào)整代碼嗎?

順便說(shuō)一句，注意正在使用Java，這一同樣適用于所有Lightrun支持的平臺(tái)/語(yǔ)言。這里的一切都很容易適用于NodeJS、JavaScript/TypeScript、Python、Kotlin、Scala等。

這在Lightrun中測(cè)試很簡(jiǎn)單?？梢蕴砑右粋€(gè)日志或快照，當(dāng)發(fā)生無(wú)效請(qǐng)求時(shí)觸發(fā)。然后，可以嘗試通過(guò)curl命令發(fā)送無(wú)效值，以查看日志是否被觸發(fā)。

需要注意的是，可以使用正則表達(dá)式來(lái)驗(yàn)證名稱值。如果收到日志，則意味著有問(wèn)題的值是可利用的。這也意味著安全漏洞的風(fēng)險(xiǎn)很高。

那么是否被積極利用?如果發(fā)現(xiàn)了一個(gè)與上述類似的安全漏洞。系統(tǒng)中是否已經(jīng)存在黑客?

企業(yè)可以做什么?可以做一些類似于上面所做的事情，并添加一個(gè)具有類似條件和一些“調(diào)整”的快照：快照包含很多內(nèi)容。

為什么是快照而不是日志?

日志很適合查看是否發(fā)生了什么事，其速度很快，并且處理量大。但是，如果有人希望獲得所有可用信息;甚至可能是人們沒(méi)有想到的事情。人們想知道網(wǎng)絡(luò)攻擊的向量，這意味著可以知道調(diào)用堆棧等。因此快照是一個(gè)理想的安全工具。

(1)定位標(biāo)簽

需要注意，“代理”入口指向“生產(chǎn)”?？梢曰跇?biāo)簽將快照應(yīng)用到一組機(jī)器。在這種情況下，可以鎖定所有可能存在漏洞的機(jī)器。

(2)最大命中率

與日志不同，快照會(huì)填滿用戶界面(UI)和存儲(chǔ)空間，因此在快照過(guò)期之前可以有默認(rèn)限制。通常默認(rèn)為1個(gè)。在這里把它提高到20，如果愿意可以更高。

需要注意的是，如果看到這種情況發(fā)生并且正在發(fā)生漏洞攻擊，可以切換到日志。

(3)忽略配額

此選項(xiàng)可能不可用，因?yàn)樗枰厥鈾?quán)限。如果遇到這種情況，需要向IT經(jīng)理申請(qǐng)?jiān)S可。

這是一個(gè)有風(fēng)險(xiǎn)的功能，這就是它受到保護(hù)的原因，但是對(duì)于可利用的黑客攻擊，它可能是值得冒險(xiǎn)的。

配額限制條件或表達(dá)式表示在每個(gè)Lightrun操作中可以占用的CPU數(shù)量。這里的風(fēng)險(xiǎn)是可能會(huì)發(fā)生漏洞，并且由于CPU使用率，某些信息會(huì)被“丟棄”。這意味著快照不會(huì)在任何時(shí)候暫停，也不會(huì)“錯(cuò)過(guò)”潛在的漏洞利用。

不過(guò)，這可能會(huì)影響服務(wù)器性能，因此并非沒(méi)有風(fēng)險(xiǎn)。

(4)到期

Lightrun操作的默認(rèn)過(guò)期時(shí)間為一小時(shí)。希望讓服務(wù)器保持快速和靈活，以便終止不需要的操作。在這種情況下，希望在修復(fù)完成之前執(zhí)行該操作，因此將到期值設(shè)置為60小時(shí)。

有了這些，將會(huì)獲得遇到的任何漏洞的可操作信息。

(5)驗(yàn)證修復(fù)

驗(yàn)證修復(fù)非常相似。可以在代碼的問(wèn)題區(qū)域放置一個(gè)日志或快照，并查看該代碼是否到達(dá)有問(wèn)題的值。

還可以添加額外的日志記錄，以驗(yàn)證嘗試的攻擊是否達(dá)到了預(yù)期的范圍，并按照預(yù)期進(jìn)行了處理。

Lightrun安全

易受攻擊的安全工具無(wú)法實(shí)現(xiàn)其目的。了解Lightrun中的安全措施是本文的重要部分。以下是Lightrun中使其如此安全的高級(jí)功能。

(1)架構(gòu)

Lightrun做出了幾個(gè)顯著減少網(wǎng)絡(luò)攻擊向量的架構(gòu)決策。

代理僅連接到Lightrun服務(wù)器以獲取操作，而不是相反。這意味著它們對(duì)最終用戶甚至對(duì)企業(yè)完全隱藏。

如果Lightrun服務(wù)器出現(xiàn)故障，代理將什么也不做。這意味著即使是會(huì)導(dǎo)致Lightrun癱瘓的DDoS攻擊也不會(huì)影響其服務(wù)器。企業(yè)將無(wú)法使用Lightrun，但服務(wù)器可以正常工作。

(2)證書固定和OIDC

Lightrun服務(wù)器的代理和客戶端使用證書固定來(lái)防止復(fù)雜的中間人攻擊。

Lightrun使用OpenI DConnect(OIDC)在其工具中提供經(jīng)過(guò)驗(yàn)證的安全授權(quán)。

Lightrun服務(wù)器根據(jù)分配的角色限制用戶權(quán)限。最重要的是，每個(gè)操作都會(huì)寫入管理日志。

(3)沙盒

代理中的所有操作都經(jīng)過(guò)沙盒處理，并且訪問(wèn)權(quán)限有限。正如以上所述，所有操作都是“只讀的”，并且不能使用太多的CPU。

這些規(guī)則也有例外，但它們需要更高的特權(quán)才能規(guī)避。

(4)阻止列表

企業(yè)中的惡意開(kāi)發(fā)人員可以使用快照或日志從正在運(yùn)行的應(yīng)用程序中獲取信息。例如，可以在授權(quán)邏輯中放置快照，以便在編碼之前竊取用戶數(shù)據(jù)。

阻止列表可以定義在Lightrun代理中被阻止的文件。這些文件不會(huì)讓開(kāi)發(fā)人員在其中執(zhí)行操作。

(5)PII減少

可以有意或無(wú)意地記錄個(gè)人身份信息，例如信用卡號(hào)。個(gè)人身份信息 (PII)減少能夠定義有風(fēng)險(xiǎn)的模式，并且這些模式將從日志中隱式刪除。因此，無(wú)需清除此類日志，也不會(huì)讓自己面臨潛在的監(jiān)管責(zé)任。

結(jié)語(yǔ)

沒(méi)有將Lightrun設(shè)計(jì)為安全工具，它不應(yīng)該取代現(xiàn)有的安全工具。但是，它是現(xiàn)有工具的完美搭檔，將發(fā)揮自己的優(yōu)勢(shì)，并推動(dòng)了對(duì)漏洞/黑客的快速響應(yīng)。

Lightrun的低級(jí)深度代碼可觀察性使人們能夠更快地響應(yīng)潛在威脅，并更快地緩解漏洞。

此外，還可以為L(zhǎng)ightrun提出更多驚人的與安全相關(guān)的用例，這些用例令人興奮。

原文標(biāo)題：??Detecting, Investigating, and Verifying Fixes for Security Incidents and Zero-Day Issues Using Lightrun??，作者：Shai Almog