安全是一个具有深度和广度的广泛话题。但安全专家看到了一种创造性的方式,可以将Lightrun用作安全工具并将其提升到一个新的水平。什么是光跑?Lightrun是开发人员的可观察性工具:就像生产中的调试器一样,没有安全风险。Lightrun是一种足够灵活的工具,可以容纳多个模具。使用Lightrun,您可以在不更改代码的情况下注入日志,添加快照(不停止代码执行的断点),并使用指标在代码级别获得可观察的洞察力。安全工具用例将Lightrun作为安全工具有几个原因。下面重点介绍以下内容:验证安全漏洞。检查安全漏洞是否已被积极利用。验证是否正确部署了修补程序。要确保应用程序的安全,还有很多工作要做。Lightrun是一个通用工具;它不能替代Snyk等现有安全工具。而且它是免费的,填补了代码层面的空白。最后,将讨论Lightrun如何保护自身,如果Lightrun本身不安全,则不能将其视为安全工具。验证安全漏洞安全工具类似于可提供潜在风险高级警报的观察工具,但很少在代码级别进行通信。因此,开发人员可能难以执行可操作的安全任务和验证。如果安全问题在本地重现,那很好,可以及时修复。企业通常可以使用调试器来填补空白。然而,一些安全问题很难在生产环境之外重现。Lightrun不会凭空发现漏洞。为此,企业需要专用的安全工具。但如果有疑问,Lightrun可以帮助调查和证明漏洞。就拿这个明显的bug来说吧:它是一个明显的SQL注入bug,但是它能被利用吗?调整代码需要时间吗?顺便说一句,请注意正在使用Java,这同样适用于所有Lightrun支持的平台/语言。这里的一切都很容易适用于NodeJS、JavaScript/TypeScript、Python、Kotlin、Scala等。这在Lightrun中很容易测试。可以添加日志或快照,在出现无效请求时触发。然后你可以尝试通过curl命令发送一个无效的值,看看是否触发了日志。请务必注意,正则表达式可用于验证名称值。如果收到日志,则意味着所讨论的值是可利用的。这也意味着安全漏洞的风险很高。那么它是否正在被积极利用?如果发现类似上述的安全漏洞。系统中已经有黑客了吗?企业能做什么?可以做一些类似于上面所做的事情,并添加一个具有类似条件和一些“调整”的快照:一个快照包含很多。为什么是快照而不是日志?日志非常适合查看是否发生了什么,速度很快,而且处理量很大。但是,如果有人希望获得所有可用信息;甚至可能是人们没有想到的事情。人们想知道网络攻击的向量,这意味着知道调用堆栈等。所以快照是一种理想的安全工具。(1)注意定位标签,“代理”入口指向“生产”。快照可以应用于基于标签的一组机器。在这种情况下,所有可能易受攻击的机器都可以被锁定。(2)最大命中率与日志不同,快照会填满用户界面(UI)和存储空间,因此在快照过期之前可以有一个默认限制。通常默认为1。在这里将它提高到20,如果你愿意可以更高。请注意,如果您看到这种情况发生并且正在发生漏洞利用,您可以切换到日志。(3)Ignorequota此选项可能不可用,因为它需要特殊权限。如果发生这种情况,您需要征求您的IT经理的许可。这是一个有风险的功能,这就是它受到保护的原因,但对于可利用的黑客来说,它可能值得冒险。配额约束或表达式表示每个Lightrun操作中可以消耗的CPU量。这里的风险是可能会发生错误,并且某些信息会由于CPU使用率而被“丢弃”。这意味着快照不会在任何时候暂停,也不会“错过”潜在的攻击。但是,这会影响服务器性能,因此并非没有风险。(4)到期Lightrun操作的默认到期时间为一小时。希望保持服务器快速和灵活,以便终止不需要的操作。在这种情况下,您希望在修复完成之前执行操作,因此将过期值设置为60小时。有了这些,将获得有关遇到的任何漏洞的可操作信息。(5)VerificationRepairVerificationRepair非常相似。可以在代码的问题区域打个log或者snapshot,看看代码是否达到了问题值。还可以添加额外的日志记录以验证尝试的攻击是否达到预期范围并按预期进行处理。LightrunSecurity易受攻击的安全工具达不到它的目的。了解Lightrun中的安全措施是本文的重要部分。以下是Lightrun中使其如此安全的高级功能。(1)架构Lightrun制定了多项架构决策,可显着减少网络攻击向量。代理仅连接到Lightrun服务器进行操作,而不是相反。这意味着它们对最终用户甚至企业完全隐藏。如果Lightrun服务器宕机,代理将什么都不做。这意味着即使是摧毁Lightrun的DDoS攻击也不会影响其服务器。企业将无法使用Lightrun,但服务器可以正常工作。(2)证书锁定和OIDCLLightrun服务器的代理和客户端使用证书锁定来防止复杂的中间人攻击。Lightrun使用OpenIDConnect(OIDC)在其工具中提供经过身份验证的安全授权。LightrunServer根据分配的角色限制用户权限。最重要的是,每个操作都会写入管理日志。(3)沙箱代理中的所有操作都是沙箱化的,访问权限有限。如上所述,所有操作都是“只读”的,不能占用太多CPU。这些规则也有例外,但它们需要更高的权限才能规避。(4)黑名单企业中的恶意开发者可以利用快照或日志获取正在运行的应用程序的信息。例如,快照可以放在授权逻辑中以在用户数据被编码之前窃取用户数据。阻止列表可以定义在Lightrun代理中被阻止的文件。这些文件不允许开发人员在其中执行操作。(5)PII减少可以有意或无意地记录个人身份信息,例如信用卡号。减少个人身份信息(PII)可以定义风险模式,并且这些模式会从日志中隐式删除。因此,无需清除此类日志,也无需让自己承担潜在的监管责任。Epilogue并未将Lightrun设计为安全工具,也不应取代现有的安全工具。然而,它是现有工具的完美补充,将发挥自己的优势,并促进对漏洞/黑客的快速响应。Lightrun的低级深度代码可观察性可以更快地响应潜在威胁并更快地缓解漏洞。此外,还有许多令人兴奋的Lightrun安全相关用例。原标题:Detecting,Investigating,andVerifyingFixesforSecurityIncidentsandZero-dayIssuesUsingLightrun,作者:ShaiAlmog
