近年来,数字技术发展迅猛,人们的工作方式、数据使用方式,以及交流互动方式都发生了极大的改变。同时,“云”的出现让网络变得更加复杂,企业的大量关键业务系统和应用开始从企业内部的数据中心和本地网络中迁移到云端。无论在何时何地,用户们可以自由地通过终端设备来访问丰富的网络资源。
随着网络应用复杂程度的不断提升,以防火墙、杀*软件和入侵检测为代表的传统边界安全产品家族的作用日渐式微,企业不得不在本地网络、数据中心、网关、云端、终端甚至深入到应用程序内部去部署更多的防火墙来抵御入侵风险。但是,尽管安全专家们在想方设法来缓解复杂的网络安全问题,但是黑客们也在不断通过更多途径发动更频繁、更隐蔽也更复杂的持续性攻击。
传统边界安全日渐式微
近年来,扮演守门员角色的网络边界已经成为企业网络、数据、用户和设备安全防护的必需品,但事实上,基于边界的传统安全防护模式也存在极大弊端。边界防护的理念认为,通过外部层层设备的筛查过滤后,边界的内部默认是安全的。但实际上,尽管边界外面部署了一层层的防御机制,但心思缜密的黑客总能找到系统的弱点潜入后伺机而动。
此外,边界防护的原理是,在边界外围建立一个精准的黑客攻击特征库,将访问数据与特征库进行比对后,精准的识别出带有威胁性的攻击特征将其阻断在内部系统之外。因此,边界防护往往对于已知漏洞能够起到极好的防御效果,当未知威胁发生时只能手忙脚乱。但恰恰未知威胁和0Day漏洞正是攻击者最强大的攻击武器,当攻击者利用0Day漏洞发起攻击时,传统边界安全只会束手无策,任由攻击者来去自如。
因此,传统边界安全具有诸多不足,为了对传统安全边界防护加以补充,新的安全理念层出不穷,而RASP防御理念就是其中受到安全从业者们推崇的一种。
RASP防御技术厉害在哪里?
年,Gartner在应用安全报告里提出了应用自我保护技术(RuntimeApplicationSelf-Protection,下称RASP)的概念,并将其列为应用安全领域的关键趋势。Gartner认为,应用程序不应该依赖外部组件进行运行时保护,而应该具备自我保护的能力,也就是建立应用运行时自我保护机制。
那么RASP是什么呢?简单说,就是将安全技术嵌入到应用程序或是应用程序运行时的环境中,在应用层检查请求,实时检测和拦截攻击行为。
相比于基于流量规则检测的web防火墙而言,RASP防御技术更多是根据请求上下文进行拦截,也就是根据应用的请求来判断其是否存在如数据库SQL注入、数据库慢查询、任意文件上传、敏感文件下载等请求,一旦发现类似的恶意请求,就可以迅速识别到恶意攻击行动,并进一步回溯发现攻击来源和漏洞。
不同于WAF,RASP因为不依赖于分析网络流量的特性,通过判断应用的恶意请求,RASP能非常精确地区分攻击和正常请求,只有发现危险的操作请求时,RASP才会报警,并对恶意攻击的请求进行拦截或阻断,极大地降低了误报的风险。
寄生于应用中的RASP也有不足之处
虽然RASP技术在攻击检测、未知漏洞识别等方面的性能都优于传统的边界防护手段,但是作为一项新安全技术,仍有一些缺陷需要进一步优化。
1、占用性能
例如,因为部署在应用内部,RASP会如同寄生一般伴随着应用的启动而启动,无论多少,这必然会占用服务器一小部分的内存和性能,为企业增加额外的开支。
2、应用兼容性
此外,RASP防御技术还处于一个发展的阶段,RASP的编程语言还存在着兼容性的问题。因为需要部署到应用中的特性,如果应用程序的编程语言与RASP无法兼容,严重后果甚至会导致业务系统或应用丧失稳定性。
3、信任机制
再有,如何获取客户信任也仍需探讨,一旦将RASP产品部署到应用中后,因为要对应用中的请求进行安全审计和数据监测,应用中的数据资产都将会向RASP产品全部开放。因此,如何做好RASP产品自身的安全,打消客户的疑虑和担忧也仍是需要解决的技术缺陷。
国内有哪些RASP安全产品:
RASP是一个新兴的概念,现在能真正提供RASP服务的公司并不多,常见的产品有:
·安百科技:灵蜥—应用系统攻击自免疫平台
灵蜥平台是北京安百科技研发的一款RASP防御产品,基于RASP技术原理,与应用程序的运行环境和开发语言无缝结合并高度融合。通过修复应用自身内部缺陷,使应用自身具备攻击免疫能力,依托安百科技全网态势感知与漏洞情报下发防御策略,灵蜥同时还能够提供虚拟补丁进行“热修复”,使应用自身防御能力不断提升,应对已知和未知风险。目前灵蜥平台已经升级到了2.0版本,在RASP技术研究方面处于行业该领域先列。
·百度安全:OpenRASP
OpenRASP是百度安全开源的一款RASP产品,隶属于百度OAESE智能终端安全生态联盟,是其中五大开放技术之一。目前OpenRASP已经上线两年,得到了国内许多安全研究员的