云计算安全漏洞及其对策（六）

应用程序已经成为网络黑客想要渗透到企业内部的绝佳目标。因为他们知道如果能发现并利用应用程序的漏洞，他们就有超过三分之一的机会成功入侵。更重要的是，发现应用程序漏洞的可能性也很大。Contrast Security 调查显示，90%的应用程序在开发和质量保证阶段没有进行漏洞测试，甚至相当一部分应用程序在生产过程中没有受到保护。由于企业中运行着许多有漏洞的应用程序，安全团队面临的挑战是如何保护这些应用程序免受攻击。其中一种方法是让应用程序通过实时识别和阻止攻击来保护自己，这就是被称为运行时应用自我保护（Runtime Application Self-Protection）的技术。什么是 RASP ？

运行时应用自我保护（RASP）这一概念由 Gartner 于2012年提出，这是一项新兴的安全技术，让企业得以阻止黑客入侵企业应用和数据。RASP 技术通常内置在一个应用程序或应用程序运行时环境中，能够控制应用程序的执行，并检测漏洞以防止实时攻击。当应用程序开始运行时，RASP 可以通过分析应用程序的行为和该行为的上下文，保护其不受恶意输入或行为的影响。RASP 通过使应用程序持续检测自身的行为，可以立即识别和缓解攻击，且无需人工干预。无论 RASP 驻留在 server 的什么地方，它都将安全性整合到运行中的应用程序中。它会拦截从应用程序到系统的所有调用，确保它们是安全的，并直接在应用程序内验证数据请求。Web 和非 Web 应用都可以受到 RASP 的保护。该技术不影响应用程序的设计，因为 RASP 的检测和保护功能可以在应用程序所运行的 server 上运行。为什么 RASP 如此重要？

入侵防护系统（IPS）和网络应用防火墙（WAF）等技术通常用于运行时的应用程序保护，但它们在检查网络流量和内容时在线工作。当它们分析进出应用程序的流量和用户会话时，它们无法看到流量和数据在应用内部是如何处理的。由于它们的保护措施往往缺乏会话终止所需的准确性，因此会消耗大量的安全团队带宽，通常只用于告警和日志收集。现在需要的是一种新型的应用保护技术——RASP，它可以驻留在要保护的应用的运行时环境中。应用所面临的安全挑战

在保护 Web 应用和 API 时，通常会面临以下4种常见的安全挑战：

1、真实的攻击难以识别。 每个应用程序有其自己独特的漏洞，并且只能被特殊的攻击所利用。对于某个应用来说完全无害的 HTTP 请求，对于另一个应用而言可能会造成毁灭性打击。同时，“在线（on the wire）”的数据可能与它在应用中所显示的不同（被称为“阻抗不匹配”问题）。2、现代应用程序（特别是 API）使用复杂的格式 ,如 JSON、XML、序列化对象和自定义二进制格式。这些请求使用除了 HTTP 之外的各种协议，包括 WebSocket，它是由浏览器中的JavaScript、富客户端、移动应用和许多其他源产生的。3、 传统的技术防御没有效果。 WAF 通过在 HTTP 流量到达应用服务器之前对其进行分析，完全独立于应用而运作。尽管绝大部分的大型组织都有 WAF，但其中许多企业并没有专业的团队对其进行必要的调整和维护，使其只处于“日志模式”。4、 软件正在快速发展，容器、IaaS、PaaS、虚拟机和弹性环境都在经历爆炸性增长。 这些技术使得应用程序和 API 可以快速部署，但同时会将代码暴露给新的漏洞。DevOps 也迅速加快了整合、部署和交付的速度，因此确保在快速发展阶段的软件安全的过程变得更加复杂。

幸运的是，运行时应用自我保护（RASP）可以解决其中的许多问题RASP 的工作原理

当 APP 中发生安全事件时，RASP 将会控制该应用并解决问题。在诊断模式中，RASP 只是发布有问题的告警。在保护模式下，它会试图阻止问题指令。例如，它可以阻止对数据库执行看起来似乎时 SQL 注入攻击的指令。

RASP 可以采取的其他行动包括终止用户的会话、停止应用程序的执行，或向用户或安全人员发出告警。

开发人员可以通过几种方式实现 RASP。他们可以通过包含在应用程序源代码中的函数调用来访问该技术，或者他们可以将一个完整的应用程序放在一个 wrapper 中，从而只需要按下一个按钮就可以保护应用程序。第一种方法更为精确，因为开发人员可以决定他们想要保护 APP 的哪个部分，例如登录、数据库查询和管理功能。无论使用哪种方法，最终的结果都是将 Web 应用防火墙与应用程序的运行时环境绑定在一起。这种与应用程序的密切联系意味着 RASP 可以更精细地调整以满足应用程序的安全需求。RASP 的主要优势

RASP 之所以独一无二是因为它在软件内部工作，而不是作为一个网络设备运行。这使得 RASP 可以利用所有从运行中的应用和 API 中获取的上下文信息，包括代码本身、框架配置、应用程序 server 配置、代码库和框架、运行时数据流、运行时控制流、后端连接等。更多的上下文信息意味着更广泛的保护范围和更好的精确性。

RASP 成本更低

• RASP 解决方案可以快速高效地阻止攻击直到底层漏洞得到解决

• 与 WAF 相比，它们的部署成本和运维更低

• 它们部署在已有的 server 上，避免了额外的支出

• RASP 技术会观察应用程序实际执行的操作，因此不需要相同类型的调整、模型构建、验证或人力资源

RASP 精确性意味着应用程序受到更好的保护

保护应用程序免受攻击的影响通常意味着试图在网络层面上阻止它们。但当涉及到应用行为的理解时，传统方法本质上是不准确的，因为它们处于应用之外。同时，基于网络的应用安全产品会生成很多假阳性并且需要不断地调整。在过去的25年里，网络保护已经越来越接近应用——从防火墙到入侵防御系统，再到 WAF。有了 RASP，安全可以直接进入应用内部。

• RASP 插桩提供了传统方法不可能达到的精确水平

• 它使应用安全能够真正地处于应用中

• 更高的准确性使企业能够自信地用更少的资源保护更多的数据和应用

RASP 可以在云和 DevOps 中使用

• RASP 能在敏捷开发、云应用和 web 服务中良好运行

• 与需要不断调整的 WAF 解决方案不同，它通过提供无需返工的保护加速敏捷开发

• RASP 应用更快且更准确

• 无论是在云端还是本地，RASP 都能随着应用程序的扩大或缩小而无缝移动

• 支持RASP的应用程序不知道攻击是通过API还是用户界面到达的

RASP 提供前所未有的监控

• RASP 通过插桩整个应用程序来简化应用安全监控

• 当应用程序的相关部分被访问或其他条件被满足时（如登录、交易、权限更改、数据操作等），可以创建 RASP 策略来生成日志事件

• 策略也可以根据需要添加和删除

• 有了RASP，所有这些应用记录都可以在不修改应用源代码或重新部署的情况下实现。

RASP 擅长提供应用层攻击的可见性

• RASP 持续提供关于谁攻击你的信息以及它们所使用的技术，并告诉你哪些应用程序或数据资产被盯上了。

• 除了完整的 HTTP 请求细节外，RASP 还提供应用细节，包括与漏洞相关的代码行具体位置、确切的后端连接细节（如 SQL 查询）、交易信息和当前登录的用户。

• 使用 RASP 可以为软件开发团队提供即时的可见性，帮助确定工作的优先级，并对安全防御采取行动。

由于 RASP 不是一个硬件盒子，它可以很容易地部署在所有环境中，并迅速阻止黑客攻击，最终应用程序可以实时防御攻击。自我保护的应用程序将成为现实

当攻击者突破外围防御之后，RASP 仍可以保护系统。它能洞察应用逻辑、配置和数据事件流，这意味着 RASP 可以高度准确地挫败攻击。它可以区分实际的攻击和合法的信息请求，这减少了误报，使网络防御者可以把更多的时间用于解决真正的问题，而不是往死胡同里钻。此外，其自我保护应用程序数据的能力意味着数据从诞生的那一刻起到销毁都受到保护。这对需要满足合规性要求的企业特别有用，因为自我保护的数据对网络黑客来说是无解的。甚至在某些情况下，如果被盗数据使其在被盗时无法阅读，监管机构就不要求企业报告该次数据泄露。与 WAF 一样，RASP 也不会修复应用程序的源代码，但它确实与应用程序的底层代码库集成，并在源代码级别保护应用程序易受攻击的区域。由于 RASP 仍处于初期阶段，其不足之处会在之后的发展中慢慢被克服，并有希望成为应用安全的未来。正如 Veracode 的首席创新官 Joseph Feiman 在担任 Gartner 的研究副总裁时指出的那样：“现代安全无法测试和保护所有应用。因此，应用必须能够进行自我安全保护——自我测试、自我诊断和自我保护。这应该是 CISO 的首要任务”。> 参考链接：

Maverick Research: Stop Protecting Your Apps; It's Time for Apps to Protect Themselves: www.gartner.com/en/document…

网络安全入门学习路线

其实入门网络安全要学的东西不算多，也就是网络基础+操作系统+中间件+数据库，四个流程下来就差不多了。

1.网络安全法和了解电脑基础

其中包括操作系统Windows基础和Linux基础，标记语言HTML基础和代码JS基础，以及网络基础、数据库基础和虚拟机使用等...

别被这些看上去很多的东西给吓到了，其实都是很简单的基础知识，同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过，这部分可以直接略过。没学过的同学也不要慌，可以去B站搜索相关视频，你搜关键词网络安全工程师会出现很多相关的视频教程，我粗略的看了一下，排名第一的视频就讲的很详细。 当然你也可以看下面这个视频教程仅展示部分截图： 学到http和https抓包后能读懂它在说什么就行。

2.网络基础和编程语言

3.入手Web安全

web是对外开放的，自然成了的重点关照对象，有事没事就来入侵一波，你说不管能行吗！ 想学好Web安全，咱首先得先弄清web是怎么搭建的，知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点，然后再学点python，起码得看懂部分代码吧。

最后网站开发知识多少也要了解点，不过别紧张，只是学习基础知识。

等你用几周的时间学完这些，基本上算是具备了入门合格渗透工程师的资格，记得上述的重点要重点关注哦！ 再就是，要正式进入web安全领域，得学会web渗透，OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握，像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。

这个过程并不枯燥，一边打怪刷级一边成长岂不美哉，每个攻击手段都能让你玩得不亦乐乎，而且总有更猥琐的方法等着你去实践。

学完web渗透还不算完，还得掌握相关系统层面漏洞，像ms17-010永恒之蓝等各种微软ms漏洞，所以要学习后渗透。可能到这里大家已经不知所云了，不过不要紧，等你学会了web渗透再来看会发现很简单。

其实学会了这几步，你就正式从新手小白晋升为入门学员了，真的不算难，你上你也行。

4.安全体系

不过我们这个水平也就算个渗透测试工程师，也就只能做个基础的安全服务，而这个领域还有很多业务，像攻防演练、等保测评、风险评估等，我们的能力根本不够看。

所以想要成为一名合格的网络工程师，想要拿到安全公司的offer，还得再掌握更多的网络安全知识，能力再更上一层楼才行。即便以后进入企业，也需要学习很多新知识，不充实自己的技能就会被淘汰。

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

尾言

因为入门学习阶段知识点比较杂，所以我讲得比较笼统，最后联合CSDN整理了一套【282G】网络安全从入门到精通资料包，需要的小伙伴可以点击链接领取哦！ 网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！