关于安全防护:运行时应用自我保护RASP应用安全的自我修养

31次阅读

共计 3541 个字符,预计需要花费 9 分钟才能阅读完成。

应用程序曾经成为网络黑客想要渗透到企业外部的绝佳指标。因为他们晓得如果能发现并利用应用程序的破绽,他们就有超过三分之一的机会胜利入侵。更重要的是,发现应用程序破绽的可能性也很大。Contrast Security 考察显示,90% 的应用程序在开发和质量保证阶段没有进行破绽测试 ,甚至相当一部分应用程序在生产过程中没有受到爱护。
 
因为企业中运行着许多有破绽的应用程序,平安团队面临的挑战是如何爱护这些应用程序免受攻打。其中一种办法是让应用程序通过实时辨认和阻止攻打来爱护本人,这就是被称为运行时利用自我爱护(Runtime Application Self-Protection)的技术。
 

什么是 RASP?

运行时利用自我爱护(RASP)这一概念由 Gartner 于 2012 年提出,这是一项新兴的平安技术,让企业得以阻止黑客入侵企业应用和数据。RASP 技术通常内置在一个应用程序或利用程序运行时环境中,可能控制应用程序的执行,并检测破绽以避免实时攻打。
 
当应用程序开始运行时,RASP 能够通过剖析应用程序的行为和该行为的上下文,爱护其不受歹意输出或行为的影响。RASP 通过使应用程序继续检测本身的行为,能够立刻辨认和缓解攻打,且无需人工干预。
 
无论 RASP 驻留在 server 的什么中央,它都将安全性整合到运行中的应用程序中。它会拦挡从应用程序到零碎的所有调用,确保它们是平安的,并间接在应用程序内验证数据申请。Web 和非 Web 利用都能够受到 RASP 的爱护。该技术不影响应用程序的设计,因为 RASP 的检测和爱护性能能够在应用程序所运行的 server 上运行。
 

为什么 RASP 如此重要?

入侵防护系统(IPS)和网络应用防火墙(WAF)等技术通常用于运行时的应用程序爱护,但它们在查看网络流量和内容时在线工作。当它们剖析进出应用程序的流量和用户会话时,它们无奈看到流量和数据在利用外部是如何解决的。因为它们的保护措施往往不足会话终止所需的准确性,因而会耗费大量的平安团队带宽,通常只用于告警和日志收集。当初须要的是一种新型的利用爱护技术——RASP,它能够驻留在要爱护的利用的运行时环境中。
 

利用所面临的平安挑战

在爱护 Web 利用和 API 时,通常会面临以下 4 种常见的平安挑战:
 
1、实在的攻打难以辨认。 每个应用程序有其本人独特的破绽,并且只能被非凡的攻打所利用。对于某个利用来说齐全有害的 HTTP 申请,对于另一个利用而言可能会造成毁灭性打击。同时,“在线(on the wire)”的数据可能与它在利用中所显示的不同(被称为“阻抗不匹配”问题)。
 
2、古代应用程序(特地是 API)应用简单的格局, 如 JSON、XML、序列化对象和自定义二进制格局。这些申请应用除了 HTTP 之外的各种协定,包含 WebSocket,它是由浏览器中的 JavaScript、富客户端、挪动利用和许多其余源产生的。
 
3、传统的技术进攻没有成果。 WAF 通过在 HTTP 流量达到应用服务器之前对其进行剖析,齐全独立于利用而运作。只管绝大部分的大型组织都有 WAF,但其中许多企业并没有业余的团队对其进行必要的调整和保护,使其只处于“日志模式”。
 
4、软件正在疾速倒退,容器、IaaS、PaaS、虚拟机和弹性环境都在经验爆炸性增长。 这些技术使得应用程序和 API 能够疾速部署,但同时会将代码裸露给新的破绽。DevOps 也迅速放慢了整合、部署和交付的速度,因而确保在疾速倒退阶段的软件平安的过程变得更加简单。
 
侥幸的是,运行时利用自我爱护(RASP)能够解决其中的许多问题
 

RASP 的工作原理

当 APP 中产生安全事件时,RASP 将会管制该利用并解决问题。在诊断模式中,RASP 只是公布有问题的告警。在保护模式下,它会试图阻止问题指令。例如,它能够阻止对数据库执行看起来仿佛时 SQL 注入攻打的指令。
 
RASP 能够采取的其余口头包含终止用户的会话、进行应用程序的执行,或向用户或平安人员收回告警。
 
开发人员能够通过几种形式实现 RASP。他们能够通过蕴含在应用程序源代码中的函数调用来拜访该技术,或者他们能够将一个残缺的应用程序放在一个 wrapper 中,从而只须要按下一个按钮就能够爱护应用程序。第一种办法更为准确,因为开发人员能够决定他们想要爱护 APP 的哪个局部,例如登录、数据库查问和治理性能。
 
无论应用哪种办法,最终的后果都是将 Web 利用防火墙与应用程序的运行时环境绑定在一起。这种与应用程序的密切联系意味着 RASP 能够更精密地调整以满足应用程序的平安需要。
 

RASP 的次要劣势

RASP 之所以举世无双是因为它在软件外部工作,而不是作为一个网络设备运行。这使得 RASP 能够利用所有从运行中的利用和 API 中获取的上下文信息,包含代码自身、框架配置、应用程序 server 配置、代码库和框架、运行时数据流、运行时控制流、后端连贯等。更多的上下文信息意味着更宽泛的爱护范畴和更好的精确性。
 

RASP 老本更低

  • RASP 解决方案能够疾速高效地阻止攻打直到底层破绽失去解决
  • 与 WAF 相比,它们的部署老本和运维更低
  • 它们部署在已有的 server 上,防止了额定的收入
  • RASP 技术会察看应用程序理论执行的操作,因而不须要雷同类型的调整、模型构建、验证或人力资源
     

RASP 精确性意味着应用程序受到更好的爱护

爱护应用程序免受攻打的影响通常意味着试图在网络层面上阻止它们。但当波及到利用行为的了解时,传统办法实质上是不精确的,因为它们处于利用之外。同时,基于网络的利用平安产品会生成很多假阳性并且须要一直地调整。在过来的 25 年里,网络爱护曾经越来越靠近利用——从防火墙到入侵进攻零碎,再到 WAF。有了 RASP,平安能够间接进入利用外部。
 

  • RASP 插桩提供了传统办法不可能达到的准确程度
  • 它使利用平安可能真正地处于利用中
  • 更高的准确性使企业可能自信地用更少的资源爱护更多的数据和利用
     

    RASP 能够在云和 DevOps 中应用

  • RASP 能在麻利开发、云利用和 web 服务中良好运行
  • 与须要一直调整的 WAF 解决方案不同,它通过提供无需返工的爱护减速麻利开发
  • RASP 利用更快且更精确
  • 无论是在云端还是本地,RASP 都能随着应用程序的扩充或放大而无缝挪动
  • 反对 RASP 的应用程序不晓得攻打是通过 API 还是用户界面达到的
     

    RASP 提供前所未有的监控

  • RASP 通过插桩整个应用程序来简化利用安全监控
  • 当应用程序的相干局部被拜访或其余条件被满足时(如登录、交易、权限更改、数据操作等),能够创立 RASP 策略来生成日志事件
  • 策略也能够依据须要增加和删除
  • 有了 RASP,所有这些利用记录都能够在不批改利用源代码或重新部署的状况下实现。
     

    RASP 善于提供应用层攻打的可见性

  • RASP 继续提供对于谁攻打你的信息以及它们所应用的技术,并通知你哪些应用程序或数据资产被盯上了。
  • 除了残缺的 HTTP 申请细节外,RASP 还提供利用细节,包含与破绽相干的代码行具体位置、确切的后端连贯细节(如 SQL 查问)、交易信息和以后登录的用户。
  • 应用 RASP 能够为软件开发团队提供即时的可见性,帮忙确定工作的优先级,并对平安进攻采取行动。
     
    因为 RASP 不是一个硬件盒子,它能够很容易地部署在所有环境中,并迅速阻止黑客攻击,最终应用程序能够实时进攻攻打。
     

自我爱护的应用程序将成为事实

当攻击者冲破外围进攻之后,RASP 仍能够爱护零碎。它能洞察应用逻辑、配置和数据事件流,这意味着 RASP 能够高度精确地挫败攻打。它能够辨别理论的攻打和非法的信息申请,这缩小了误报,使网络防御者能够把更多的工夫用于解决真正的问题,而不是往死胡同里钻。
 
此外,其自我爱护应用程序数据的能力意味着数据从诞生的那一刻起到销毁都受到爱护。这对须要满足合规性要求的企业特地有用,因为自我爱护的数据对网络黑客来说是无解的。甚至在某些状况下,如果被盗数据使其在被盗时无奈浏览,监管机构就不要求企业报告该次数据泄露。
 
与 WAF 一样,RASP 也不会修复应用程序的源代码,但它的确与应用程序的底层代码库集成,并在源代码级别爱护应用程序易受攻击的区域。
 
因为 RASP 仍处于初期阶段,其不足之处会在之后的倒退中缓缓被克服,并有心愿成为利用平安的将来。正如 Veracode 的首席翻新官 Joseph Feiman 在负责 Gartner 的钻研副总裁时指出的那样:“古代平安无奈测试和爱护所有利用。因而,利用必须可能进行自我平安爱护——自我测试、自我诊断和自我爱护。这应该是 CISO 的首要任务”。
 

参考链接:
 
Maverick Research: Stop Protecting Your Apps; It’s Time for Apps to Protect Themselves: https://www.gartner.com/en/do…

正文完
 0