分享!一文简析RASP技术

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
简介: RASP是一种内置或链接到应用程序环境中的安全技术,与应用程序融为一体,实时监测、阻断攻击,使程序自身拥有自我保护的能力。该技术在2014年Gartner的应用安全报告里被列为应用安全领域的关键趋势。

众所周知,log4j 2.x安全事件引起了轩然大波,对于信息安全从业者来讲可以称之为“家喻户晓”。与之同时引起大家关注的是RASP(Runtime application self-protection)技术,该技术在2014年Gartner的应用安全报告里被列为应用安全领域的关键趋势。虽然并不新颖,而受到如此多的关注还是头一次。之所以如此,是因为RASP可以增强WAF防护工具的安全能力,形成纵深防御的安全防护体系。RASP是一种内置或链接到应用程序环境中的安全技术,与应用程序融为一体,实时监测、阻断攻击,使程序自身拥有自我保护的能力。那么,RASP技术是如何应用、优势好处又有哪些呢?本篇文章为大家简析RASP的相关内容,让大家对RASP技术有更多的了解。

RASP的工作原理

RASP技术是一种基于服务器的技术,一旦应用程序运行开始时就会激活。而且,所有RASP产品都包含一个运行时监视器,该监视器接收带有关联数据的连续事件流。每个RASP系统都有自己的一组安全规则列表,用于交叉检查事件和相关数据,以确保只有允许的事件才能执行。其中,每种RASP技术提供的保护级别取决于安全规则的深度以及实现类型。
例如,RASP系统可能会出现以下事件: 使用参数val = 42 和 key = 0xffe01234 调用“加密” 。那么,RASP系统如何确定是否允许此调用需要根据情况而定。如有一些RASP产品允许基本的“数据清理”规则。这些规则检查字符串参数中的可执行代码。但是,仅仅孤立地检查函数调用序列和发送给这些调用的数据,有许多安全方面是无法充分监控的。为了实现更高级的RASP安全级别,在RASP解决方案中需要两个元素:动态上下文和元数据。

第一个元素,动态上下文,涉及到事件的调用逻辑。例如,RASP规则可以设计为仅允许在“check_credentials”的后方可调用“open_file”,但不能在“factorial”后调用。再例如,另一个规则可以设定为“free_memory”只能在“allocate_memory”之后,并且“free_memory”的参数需要与“allocate_memory”返回的值相匹配。通常,动态上下文指的是时间条件,如“执行事件A 需要先满足事件B”,“在调用D之前,需要先调用C”等等。

第二个元素,元数据,指的是“关于数据的数据”。例如,在对“encrypt”的调用中,RASP工具可以检查“key”的值是否由受信任的密钥存储库发出的,并且在发出后直到“encrypt”函数使用它之前没有被修改过。当通过指针从内存中读取一个值时,RASP可以检查这个指针是否允许引用该内存。此外,当通过网卡向外部发送数据时,RASP可以检查该数据是否包含敏感信息,从而可以防止在网络上暴露敏感数据。

RASP安全方法

RASP工作在应用层,因此每个产品都需要以某种方式与应用程序集成。监控应用程序使用(调用)或执行(运行时)的方法有多种,每种方法的部署略有不同,收集的应用程序运行方式略有不同。

  • Servlet 过滤器和插件:一些RASP平台作为Web服务器插件或Java Servlet实现,通常安装到Apache Tomcat或 Microsoft .NET中以处理入站HTTP请求。插件在到达应用程序代码之前过滤请求,将检测规则应用于收到的每个入站请求。匹配已知攻击特征的请求被阻止。这是一种相对简单的将保护改造到应用程序环境中的方法,可以有效地阻止恶意请求,但它没有提供其他类型集成可能的深入应用程序映射。
  • 库/JVM替换:通过替换标准应用程序库、JAR文件甚至Java虚拟机来安装某些RASP产品。这种方法基本上劫持了对底层平台的调用,无论是库调用还是操作系统。RASP平台被动地“看到”对支持功能的应用程序调用,在请求被拦截时应用规则。在此模型下,RASP工具可以全面了解应用程序代码路径和系统调用,甚至可以学习状态机或序列行为。更深入的分析提供上下文,允许更细粒度的检测规则。
  • 虚拟化或复制:这种集成有效地创建了应用程序的副本,通常作为虚拟化容器或云实例,并在运行时检测应用程序行为。通过监控应用程序代码路径,请求结构、参数和 I/O 行为,将规则应用于应用程序请求,并阻止恶意或格式错误的请求。

RASP常见用例

通常情况下,使用RASP可以帮助DevOps团队和开发人员实现如下四点:
1.业务程序运行时情境安全应用程序安全测试(AST)工具有助于在开发测试阶段发现漏洞,但是当应用程序在运营的生产环境中时,缺少漏洞的检测防护能力;而RASP技术将保护引擎植入应用程序内部,基于行为进行上下文威胁的实时检测和防御,不依赖外部防护设备就可以保证业务运行时安全。

2.保护安全软件开发生命周期(S-SDLC)的正常完成企业在使用DAST和IAST等应用程序测试技术的同时,应该在软件开发过程中使用RASP保护应用程序来完成安全软件开发生命周期(S-SDLC)。例如,在安全编码阶段当出现安全漏洞,并不确定需要修复哪些漏洞?应该使用白名单还是黑名单的方法?哪些字符应该在输入数据中被删除或允许?等等诸多问题时,修复已经被利用的漏洞并将RASP插件放入应用程序的部署包中,可以降低安全漏洞发生的风险,确保代码的构建过程安全完成。

3.保护开源/第三方代码应用程序安全由于开源软件使用比较便利,众多软件开发人员在应用程序的开发中使用了此类软件,但是由于开源软件中的安全漏洞比较严重,缺失系统的安全审查机制,使得软件供应链攻击呈现上升趋势。而RASP技术在不需要修改代码的情况下,可以实时保护开源软件和第三方代码中的漏洞。

4.与WAF构建积极防御的安全防线当下,应用程序主要依赖外部保护,如WAF或IPS(入侵防御系统 Intrusion Prevention Systems),因此需要在应用程序中构建安全特性,以便在运行时保护自己。RASP 可以在应用程序运行时检测内存中写的数据或检测未经授权的数据库访问。而且,RASP具有实时能力,可以采取诸如终止会话、发出警报甚至退出进程等操作。这些功能使RASP可以和企业内现有的WAF进行互补。

RASP的好处

由于RASP在服务器上运行,因此只要应用程序开始运行,它就会启动。一旦应用程序开始运行,RASP 就会监视网络的攻击面以检测新出现的威胁并保护它免受任何负面的内部或外部行为的影响。
1、RASP可以提供有关攻击者准确、可见的信息,及时溯源,为保护应用程序提供了可见性。

2、只要Web应用程序开始运行,RASP会自动启动运行,保护系统的安全性。以防止任何威胁行为,包括网络嗅探、篡改代码、逆向工程和未经身份验证的数据泄漏。

3、与Web应用程序防火墙 (WAF) 不同,RASP具有更高的准确性,因为它可以洞察应用程序逻辑和配置、事件和数据流、执行的指令和数据处理。而且在预生产中很容易部署,能成功阻止攻击。4、RASP可随应用程序在本地、云、虚拟环境或容器中进行部署,为DevOps提供安全特性。RASP 在大规模分布式环境中的优势在于,它可以轻松地跨环境部署,并将其保护调整到安装它的每个应用程序或微服务。无需更改代码或配置,因为嵌入应用程序的微代理会自动适应服务堆栈。

5、RASP提供篡改检测功能,并将保护功能添加到应用程序的运行时环境中,从而提高了针对恶意攻击的保护级别。且拥有查看基于边界的解决方案无法查看的横向或“东西向”流量的能力。

6、RASP 可以通过适当的可见信息在测试工作中帮助和补充开发团队。通过使用仪表板,应用程序威胁情报可以与提供的有关已测试部分、最不安全部分、存在安全威胁的代码行、交易信息等的信息相结合。

应用场景

根据前面讲到的RASP安全特性我们可以看出来,RASP为应用程序增加了威胁可见性和安全控制,帮助企事业单位持续发现应用威胁并实时阻止。那么,此技术又比较适合应用于什么场景中呢?
1、持续攻防演练网络攻防演练活动兴起以来,不断衍生出攻、防技术,尤其是云原生、AI等新技术的不断应用,更多复杂、难预见的攻击手段应运而生。对于防守方而言,不能单纯依赖于无法看到应用程序内部威胁的流量嗅探边界(IPD/IDS、WAF)的解决方案,需要一种更有效的方法以更高的可见性监控安全事件。而RASP工具将防护引擎嵌入到应用内部,可以在不依赖请求特征的情况下,准确的识别代码注入、反序列化等应用异常,弥补了传统防护工具的缺失;同时,又可以对威胁事件进行实时监控和响应,利于在攻防对抗中及时进行策略调整,及时应对。

2、紧急漏洞防御0day漏洞是比较常见且难以防御的一类威胁,一旦被发现将对系统造成不可估量的损失。RASP代理位于应用程序内部,在运行时根据应用程序代码的上下文检查请求负载,以确定请求是正常请求还是恶意应用程序来保护自己,可以更好的应对此类安全威胁。此外,也包括一些应急的漏洞,都有较好的防御效果。

3、高级威胁防御“道高一尺魔高一丈”,安全防护措施的不断加强,势必引起攻击者执行新的攻击策略。诸如无文件攻击、WebShell攻击、内存马攻击等攻击手段不断被应用,而传统的安全防护工具容易被绕过。RASP基于行为分析技术,通过规则匹配、污点追踪的检测方法,可以对此类攻击事件进行实时监测,发现威胁数据源,做好安全防御。由于RASP的内容比较多,本篇文章简单为大家讲述了部分内容,后面将会慢慢更细致的将RASP技术分享给大家,希望大家对该技术有更深刻的了解和认知。


参考链接:



 云鲨RASP

基于运行时情境感知技术的新一代应用威胁免疫平台

悬镜云鲨RASP自适应威胁免疫平台作为悬镜第三代DevSecOps智适应威胁管理体系中运营环节的持续检测响应平台,通过专利级AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术,将主动防御能力“注入”到业务应用中,借助强大的应用上下文情景分析能力,可捕捉并防御各种绕过流量检测的攻击方式,提供兼具业务透视和功能解耦的内生主动安全免疫能力,为业务应用出厂默认安全免疫迎来革新发展。云鲨RASP 点击使用

目录
相关文章
|
2月前
|
监控 安全 网络安全
解锁Micronaut安全秘籍:一剑封喉,让你的微服务无懈可击,抵御黑客侵袭的终极防护罩!
【9月更文挑战第10天】Micronaut作为高性能、轻量级的云原生Java框架,在微服务开发中备受青睐。本文详细探讨了Micronaut的安全特性,包括认证与授权、通讯加密、服务注册与发现、防火墙与反向代理及日志与监控等,通过示例代码展示了如何配置JWT验证,确保服务间安全通信,增强系统可靠性,并及时发现潜在安全问题。
53 5
|
4月前
|
监控 安全 数据挖掘
简析漏洞生命周期管理的价值与关键要求
定期呈递给组织管理层的漏洞管理报告总结了当前的安全状况,突出了需要关注和改进的方面。这类报告确保高层全面了解漏洞威胁情况,并参与安全工作,为决策提供清晰简明的洞察力。这包括突出关键度量指标、列出战略性洞察力以及力求与业务目标相一致。
|
6月前
|
Arthas 监控 IDE
去哪儿网开源的一个对应用透明,无侵入的Java应用诊断工具
今天 V 哥给大家带来一款开源工具Bistoury,Bistoury 是去哪儿网开源的一个对应用透明,无侵入的java应用诊断工具,用于提升开发人员的诊断效率和能力。
|
供应链 安全 Java
一文读懂RASP运行时防护平台及应用实践
本文将着重介绍针对「应用上线后安全防护」场景的软件供应链安全产品——RASP 运行时防护平台。
780 0
|
运维 监控 算法
解析极光算法:揭秘流量监控背后的关键
不知道大家有没有听说过极光算法(Aurora Algorithm),它在流量监控领域可是一位“大咖”!就好比是网络、通信和数据处理领域的“舵手”。它的任务很明确,就是要“识别判断”那些不对劲的流量,帮助监控系统“洞察虫情”,发现可能的安全威胁、网络故障等状况。以下是极光算法在流量监控中重要性的一些方面——
160 0
|
监控 安全 Java
RASP技术是应用程序安全的“保护伞”
对于企业组织而言,随着新技术的不断涌现,企业在应用程序和数据安全方面也面临着诸多挑战。ASP通过检查任何隐藏的漏洞并提供对整个应用程序结构的实时可见性来对抗应用程序层内的任何运行时攻击,是应对应用程序安全威胁的有利手段。
293 0
|
SQL 敏捷开发 监控
好文赏析:一文读懂运行时应用程序自我保护(RASP)
RASP作为一种新型的、有效的、实时的应用保护手段,正被越来越多的企业使用,本文用浅显易懂的文字讲解了RASP技术、RASP与WAF的关系,并提供了应用解决方案,快来阅读吧~
383 0
|
数据采集 数据可视化 前端开发
网站应用性能简析
网站应用性能简析
125 0
网站应用性能简析
|
运维 分布式计算 资源调度
走近华佗,解析自动化故障处理系统背后的秘密
集群医生华佗是集群自动化故障监测和处理系统,是平台和运维对接的关键系统,它承担了飞天平台自动化故障处理系统的任务。如何能又快又好地发现和解决线上故障呢?本文为您解析自动化故障处理系统背后的秘密。一起来了解华佗是如何提升集群的故障发现、处理的效率和准确性,解放运维人员,提高飞天稳定性和可靠性的 。
5670 0