摘要: RASP全称为“Runtime application self-protection”,即“运行时应用程序自我保护”。Gartner 在2014年应用安全报告里将 RASP 列为应用安全领域的关键趋势。 RASP是一种内置或链接到应用程序环境中的安全技术,与...
RASP全称为“Runtime application self-protection”,即“运行时应用程序自我保护”。Gartner 在2014年应用安全报告里将 RASP 列为应用安全领域的关键趋势。
RASP是一种内置或链接到应用程序环境中的安全技术,与应用程序融为一体,实时监测、阻断攻击,以一种“免疫”的方式抵御外部攻击,使程序自身拥有自我保护的能力。
RASP技术解决的核心问题:
1、老旧系统维护问题: 企业中有众多业务系统,其中部分系统使用时间比较久,有很多时候并非没有发现问题,而是发现问题后无从下手,无法从代码层面进行整改。
2、攻击技术层出不穷: 攻击者不断研究攻击手段,生成新的恶意代码,绕过WAF。为了保障安全,WAF采取了复杂的安全防护策略来发现可疑的威胁,从而导致了比较多的误杀。
3、常用防护手段对业务影响大: web层常用WAF来对业务系统进行防护,WAF基于正则匹配进行防护,正则匹配的越多,其性能就越低,同时在业务流转中,业务报文多了一次socket转发,会增大延迟。
RASP技术的核心优势:
1、易部署: RASP只需进行简单的配置,即可与应用程序集成,应用程序无需任何开发方面的修改;
2、检测误报率、漏报率低: 不同于WAF的盲目规则匹配,RASP知道应用内部的关键函数,在这些关键函数执行之前添加安全检查,得到的参数都是经过变形还原后的、真实的请求数据。
3、覆盖度广、兼容性高: RASP可以动态注入到主流的应用程序,能处理绝大多数的网络协议。
RASP技术的应用场景:
1、网络攻防演练:
在网络攻防演练中,Web攻击始终是主流的攻击手段,同时云原生、AI等新技术的不断应用,更多复杂的攻击手段应运而生。对于防守方而言,不能单纯依赖于无法看到应用程序内部威胁的流量嗅探边界(IPS/IDS、WAF)的解决方案,而是需要一种更有效的方法以更高的可见性监控安全事件。
RASP工具将防护引擎嵌入到应用内部,可以在不依赖请求特征的情况下,准确的识别代码注入、反序列化等应用异常,弥补了传统防护工具的缺失;同时,又可以对威胁事件进行实时监控和响应,利于在攻防对抗中及时进行策略调整,及时应对。
2、紧急漏洞防御:
0day漏洞是比较常见且难以防御的一类威胁,一旦被发现将对系统造成不可估量的损失。RASP位于应用程序内部,在运行时根据应用程序代码的上下文检查请求负载,以确定请求是正常请求还是恶意请求,可以通过自身免疫更好应对此类安全威胁。
3、高级威胁防御:
随着新技术不断发展和网络安全防护措施不断加强,攻击者的攻击手段也呈现跃迁式升级。像无文件攻击、WebShell攻击、内存马攻击等攻击手段不断被应用,而传统的安全防护工具容易被绕过。
RASP基于行为分析技术,通过行为分析、污点追踪的检测方法,可以对此类攻击事件进行实时监测,发现威胁数据源,做好安全防御。