随着网络应用复杂程度的不断提升,以防火墙、杀毒软件和入侵检测为代表的传统边界安全产品家族的作用日渐式微,企业不得不在本地网络、数据中心、网关、云端、终端甚至深入到应用程序内部去部署更多的防火墙来抵御入侵风险。但是,尽管安全专家们在想方设法来缓解复杂的网络安全问题,但是黑客们也在不断通过更多途径发动更频繁、更隐蔽也更复杂的持续性攻击。
传统边界安全日渐式微
近年来,扮演守门员角色的网络边界已经成为企业网络、数据、用户和设备安全防护的必需品,但事实上,基于边界的传统安全防护模式也存在极大弊端。边界防护的理念认为,通过外部层层设备的筛查过滤后,边界的内部默认是安全的。但实际上,尽管边界外面部署了一层层的防御机制,但心思缜密的黑客总能找到系统的弱点潜入后伺机而动。
此外,边界防护的原理是,在边界外围建立一个精准的黑客攻击特征库,将访问数据与特征库进行比对后,精准的识别出带有威胁性的攻击特征将其阻断在内部系统之外。因此,边界防护往往对于已知漏洞能够起到极好的防御效果,当未知威胁发生时只能手忙脚乱。但恰恰未知威胁和0Day漏洞正是攻击者最强大的攻击武器,当攻击者利用0Day漏洞发起攻击时,传统边界安全只会束手无策,任由攻击者来去自如。
因此,传统边界安全具有诸多不足,为了对传统安全边界防护加以补充,新的安全理念层出不穷,而RASP防御理念就是其中受到安全从业者们推崇的一种。
RASP防御技术厉害在哪里?
2014年,Gartner在应用安全报告里提出了应用自我保护技术(Runtime Application Self-Protection,下称RASP)的概念,并将其列为应用安全领域的关键趋势。Gartner认为,应用程序不应该依赖外部组件进行运行时保护,而应该具备自我保护的能力,也就是建立应用运行时自我保护机制。
那么RASP是什么呢?简单说,就是将安全技术嵌入到应用程序或是应用程序运行时的环境中,在应用层检查请求,实时检测和拦截攻击行为。
相比于基于流量规则检测的web防火墙而言,RASP防御技术更多是根据请求上下文进行拦截,也就是根据应用的请求来判断其是否存在如数据库 SQL 注入、数据库慢查询、任意文件上传、敏感文件下载等请求,一旦发现类似的恶意请求,就可以迅速识别到恶意攻击行动,并进一步回溯发现攻击来源和漏洞。
不同于 WAF,RASP 因为不依赖于分析网络流量的特性,通过判断应用的恶意请求,RASP 能非常精确地区分攻击和正常请求,只有发现危险的操作请求时,RASP才会报警,并对恶意攻击的请求进行拦截或阻断,极大地降低了误报的风险。
寄生于应用中的RASP也有不足之处
虽然RASP技术在攻击检测、未知漏洞识别等方面的性能都优于传统的边界防护手段,但是作为一项新安全技术,仍有一些缺陷需要进一步优化。
1、占用性能
例如,因为部署在应用内部,RASP会如同寄生一般伴随着应用的启动而启动,无论多少,这必然会占用服务器一小部分的内存和性能,为企业增加额外的开支。
2、应用兼容性
此外,RASP防御技术还处于一个发展的阶段,RASP的编程语言还存在着兼容性的问题。因为需要部署到应用中的特性,如果应用程序的编程语言与RASP无法兼容,严重后果甚至会导致业务系统或应用丧失稳定性。
3、信任机制
再有,如何获取客户信任也仍需探讨,一旦将RASP产品部署到应用中后,因为要对应用中的请求进行安全审计和数据监测,应用中的数据资产都将会向RASP产品全部开放。因此,如何做好RASP产品自身的安全,打消客户的疑虑和担忧也仍是需要解决的技术缺陷。
国内有哪些RASP安全产品:
RASP 是一个新兴的概念,现在能真正提供 RASP 服务的公司并不多,常见的产品有:
· 安百科技:灵蜥 — 应用系统攻击自免疫平台
灵蜥平台是北京安百科技研发的一款RASP防御产品,基于RASP技术原理,与应用程序的运行环境和开发语言无缝结合并高度融合。通过修复应用自身内部缺陷,使应用自身具备攻击免疫能力,依托安百科技全网态势感知与漏洞情报下发防御策略,灵蜥同时还能够提供虚拟补丁进行“热修复”,使应用自身防御能力不断提升,应对已知和未知风险。 目前灵蜥平台已经升级到了2.0版本,在RASP技术研究方面处于行业该领域先列。
· 百度安全:OpenRASP
OpenRASP是百度安全开源的一款RASP产品,隶属于百度 OAESE 智能终端安全生态联盟,是其中五大开放技术之一。目前OpenRASP已经上线两年,得到了国内许多安全研究员的关注。OpenRASP插件开发简单,大大降低了使用门槛,开源的rasp产品让更多的企业以及安全研究者接触和认识到了rasp技术。
· 安数云:WEB应用实时防护系统RASP WAF
安数云RASP WAF系统是安数云2017年研发的一款RASP产品,是国内较早推出RASP WAF系统的安全厂商之一。
作为提供RASP安全产品的代表性企业,安百科技CEO王青龙认为, RASP 技术基于这种独特的优势有望在应用安全市场上形成新的趋势。尽管长远来看RASP技术可能会与传统的WAF技术形成竞争关系,但接下来很长一段时间内,RASP仍然是对边界防护产品的一种良性补充。
“打个比方来说,冬天到了流感病毒开始肆虐,基于边界的防护手段更像是穿上厚厚的外套和羽绒服,带上口罩来阻挡流感病毒的入侵。但脱下外套,或者摘下口罩时病毒就有可能趁机而入。而RASP则更像是为人们接种疫苗,增强人体抵抗力,使人体具备自我保护和免疫能力,即使病毒已经进入,也能保护人体免受其扰。但为保安全,注射抗体疫苗和自身防风保暖都要兼顾。” 王青龙谈到。