什么是RASP
RASP是一种安全防护技术,运行在程序执行期间,使程序能够自我监控和识别有害的输入和行为。也就是说一个程序如果注入或者引入了RASP技术,那么RASP就和这个程序融为一体,使应用程序具备了自我防护的能力,就可以实时检测到应用是否遭受攻击并进行阻断和自我防御。并且应用程序无需在编码时进行任何的修改,只需进行简单的配置即可。
RASP 可以应用在 Web 应用程序和非 Web 应用程序,对应用程序的代码设计没有任何影响,不需要修改任何代码,只需要简单的配置就可以将安全保护功能在服务器程序在运行时注入。
RASP 运行在应用程序的内部,监听每一个与应用程序交换的节点,覆盖所有应用程序的访问节点,包括:用户、数据库、网络和文件系统,从而实时监测并拦截漏洞攻击,能够在运行时结合上下文采取相应的保护方案。
基于RASP技术的特性与背景,应具备如下能力:
1. 实时的检测与阻断
RASP的疫苗式特性将自身安全保护代码嵌入到运行中的服务器应用程序,通过对访问应用系统的每一段代码进行检测,实时检测所有的应用请求并有效阻断安全攻击,最终实现应用系统的自我保护,确保应用系统的安全运行。
2. 有效的攻击溯源
RASP通过对被攻击应用程序与内网流量进行分析,一定程度上还原攻击者的攻击路径与攻击手法,对所有攻击以及攻击特征等信息记录下来并加以分析,通过列表、数据图标等可视化方式进行展示,将攻击特征信息转换成防御优势,针对性地抑制网络攻击。
3. 精准的组件运行时分析
随着DevSecOps和微服务部署架构的流行,当前绝大多数的应用程序开发都是组装集成而非纯自研,其中96%的商业应用中都融入了开源组件,平均每个应用中含有147个开源组件,且67%的应用采用了带有己知漏洞的开源组件。由于业务系统交付上线的紧迫性,致使大部分开发者对引入的第三方开源组件及其中潜在的风险知之甚少,很少或几乎没有时间关注自写代码的质量及安全性。因此,专门针对应用程序运行时的第三方组件漏洞同样不容忽视。
RASP工具应具备组件运行时分析的能力,通过精准的识别应用系统实际运行过程中动态加载的第三方组件及依赖,对运行时的应用程序本身进行深度且更加有效的威胁分析,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险,更进一步地保障应用程序的安全运行。
4.数字供应链安全情报能力
实时监控和分析全球数字供应链风险情报,及时获取断供、投毒、许可证变更新信息,自动识别组件和供应商的潜在安全风险,并精准预警可疑活动和新出现的威胁,结合企业组件资产地图,精准推送风险预警消息的同时生成相关热修复补丁,保障线上数字资产安全。
RASP技术优势
1. 精准检测与低误报率:RASP运行在应用内部,拥有完整的上下文,能够精准识别包括SQL注入、跨站脚本(XSS)、远程命令执行(RCE)等在内的多种常见及零日攻击,可根据应用上下文动态调整检测策略,极大地减少了误报率,确保了检测的准确性。
2. 实时防护与主动防御:在应用运行时持续监控所有输入数据和内部数据流,一旦识别出恶意行为,能够立即采取行动,如阻止攻击、数据泄露防护、行为干预、即时警报等,有效防止攻击进一步渗透到系统内部。
3. 对抗未知漏洞与零日攻击:RASP通过对应用开发引擎的行为分析,透视应用运行中指令解析和接口调用时的漏洞利用风险,能够对未知漏洞和零日攻击提供一定程度的防护,弥补了传统安全工具在未知威胁检测方面的不足。
4. 与DevOps兼容性强:RASP解决方案的安装可以自动化,适用于大规模部署,如CI/CD/DevOps环境中的Jenkins、Chef、Puppet、Ansible等工具。其具有开箱即用的默认设置,对配置的更改不需要服务器重启,且升级不会触发管理流程变更,能够很好地融入DevOps流程,支持敏捷开发。
主流RASP厂商推荐
- 云鲨RASP:
隶属悬镜安全,云鲨RASP基于悬镜独有的专利级代码疫苗技术,将主动防御能力“注入”到业务应用中,借助强大的应用上下文情景分析能力,可捕捉并防御各种绕过流量检测的攻击,提供兼具业务透视和功能解耦的内生主动安全免疫能力,为业务应用出厂默认安全免疫迎来革新发展。
2021年由悬镜安全主办、腾讯安全协办的中国首届DevSecOps敏捷安全大会(DSO 2021)上,悬镜安全创始人兼CEO子芽预言基于威胁的安全测试值得关注,RASP将大放异彩。子芽总结,在过去的网络安全技术变革中,从边界安全演进到主机安全,是因为后者相对前者有着更低的侵入性,而且可以看到更深层的异常行为,能够为安全带来更高的价值。相比之下,通过运行时的情境感知能力可以看到的是完全透明的流量,可以实现业务透视,在这样的技术优势面前,悬镜安全认为运行时的情境安全会成为应用安全的下一个重要方向。
云鲨RASP核心能力介绍:
- AI智能威胁发现:传统边界防御产品对应用内部逻辑一无所知,云鲨RASP可智能获取来自应用程序体系结构和运行时的丰富信息,结合上下文感知异常行为,全面发现各类已知及未知威胁,包括 OWASP Web/API应用代码漏洞、第三方开源组件漏洞、各类组件反序列化、WebShe及内存马等,误报率更低、检测更精准,更能代码级定位漏洞源头,极大提升修复效率。
- 组件级资产测绘:结合运行时SCA技术,在应用运行过程中实时获取所调用的第三方组件信息,包括组件名称、版本、路径等,并能获取到调用组件的具体方法、传入参数和返回值等运行时上下文数据,帮助企业全面准确地掌握应用中的第三方组件资产,为后续的组件管理、风险评估和合规审计等工作提供重要基础。
- 攻击检测及溯源:对访问应用请求的每一段代码进行检测,实时监测非法操作和攻击行为,毫秒级告警攻击事件、阻断恶意攻击;通过分析被攻击应用程序与内网流量,还原攻击者的攻击路径与攻击手法、记录攻击特征,实现对未知攻击手段的狩猎。
- API防护:可自动识别应用API资产,可视化展示全量接口,基于攻击数据统计生成API接口风险等级,并可一键添加热补丁,及时修复API风险。
- 风险修复:可动态下发热补丁,在不中断业务的前提下为应用系统提供应急防护;同时支持自由编辑表达式,用户可灵活创建及组合多个子补丁,面对APT高级威胁时构筑一道全面的防御墙。
- 供应链安全情报预警:实时监控和分析全球数字供应链情报,通过AI智能算法和威胁模型,自动识别组件和供应商的潜在安全风险,并精准预警可疑活动和新出现的威胁,结合企业组件资产地图,精准推送风险预警消息的同时生成相关热修复补丁,保障线上数字资产安全。
2. Contrast Protect RASP
Contrast Protect。DevOps原生应用,对应用层攻击提供精确的可见性,持续阻断来自漏洞的攻击,消除了安全团队手工的工作流负担。RASP方案通过分析应用运行时事件,证实漏洞存在,提供了持续的,嵌入的,运行时阻止可利用漏洞攻击,检测已知和零day攻击。运行的应用程序内部实时威胁分析和深度的可见性。在某种程度上代替WAF,因为其提供的功能WAF都无法做到。监控运行时数据流,观察攻击到达应用漏洞所在地的确切时间点,如果一个SQL注入从来没有到达SQL查询,Contrast运行时数据流可视性分析认为,这是一个无害的探测。相反,如果一个SQL注入攻击改变了期望的SQL查询语法,Contrast 立刻阻断这个危险事件,直接把持续安全嵌入到应用中。传统的方法基于签名,误报率很高,即容易被绕过,也浪费了很多人力去二次检查。还要频繁更新,考虑到多个应用的实际情况,不断调整配置。Contrast Protect,部署之后,了解所有的前后关联信息、数据流的走向,部署非常容易(通常是十几分钟),安全变成了常规部署的一部分,不再要求多余的步骤或业务中断。不管是在数据中心、云、容器,只要应用在运行,安全就在工作,时刻在线。开发团队可以更快的更改软件架构,而不牺牲安全。由于不是设备,不存在单点失败的情况,弹性扩展,不需要配置设备的安全专家,也不用渗透测试人员。
3. Micro Focus:Application Defender。
实时阻止攻击,Application Defender 可以防止生产应用程序中的攻击。它会区分Java and .NET 应用程序中的危险攻击和合法请求,因而可以实时停止攻击,而不会影响非恶意活动。代码级的可见性。Application Defender 通过为开发人员提供代码行详细信息,提供了日志记录可见性,并可利用其Java 或.NET Web 应用程序数据。您无需更改源代码,即可向任何SIEM 或日志管理器发送日志和渗透事件,即可实现合规和更广泛的应用程序安全可视性。强大分层防御。利用31 类保护规则,抵御各种应用安全攻击、利用尝试和其他安全违规行为,比如SQL 注入、跨站脚本攻击和侵犯隐私。
总结与展望
RASP(运行时应用自我保护)技术的核心不足之一在于其性能影响。由于大多数RASP直接部署在系统中间件内,并实时检测和拦截风险,因此对CPU性能有一定损耗,这可能会对用户体验产生负面影响。然而,随着技术的不断发展,这一问题正在得到有效解决。以悬镜安全为例,其提出的性能优化方案已经显著降低了对CPU性能的影响,使得RASP在实际应用中的性能损耗大幅降低。这种优化不仅提升了用户体验,也使得RASP技术在更多场景下具备了可应用性。
展望未来,随着RASP技术的进一步优化和成熟,其性能问题有望得到更彻底的解决。结合AI/ML技术,RASP能够更智能地识别和处理安全威胁,同时进一步降低对系统性能的干扰。此外,随着应用场景的不断拓展,RASP有望在云计算、微服务、物联网等更多领域发挥重要作用,为应用程序的安全防护提供更全面的支持。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
