应用安全防护的新贵 – RASP

1337163122

​应用安全防护的新贵 – RASP (qq.com)
应用安全防护的新贵 – RASP鼎赛信息科技 topsek topsek
微信号 TopSek-GSC
功能介绍 上海鼎赛信息科技有限公司于2014年成立，总部设于上海，在北京、广州、深圳、厦门等有分支机构。是专业的信息安全咨询、安全服务、安全集成、安全运维整体外包服务和信息安全解决方案提供商，长期服务于金融、通信、电力、政府和大型企业等行业。
2020-07-03
收录于话题
★ 前言 ★

​

    对于WEB应用防火墙（WAF）这个词大家一定是耳熟能详，现在WAF已经成为WEB应用安全的标配之一，那么部署了WAF是否我们的线上WEB应用系统就一定安全了呢?那么您听说过RASP吗？它们之间的区别在哪里？为什么我们认为RASP是WEB应用防护的新贵呢？


WAF和RASP的区别
我们先来聊聊WAF， 根据OWASP的定义， WAF是应用程序服务器插件或过滤器，它将一组规则应用于HTTP请求。这些规则通常就是用来鉴别常见的攻击，例如XSS(跨站脚本攻击)或SQL注入攻击等等。WAF通过这些规则，帮助我们识别并阻止攻击。当前市场上的WAF基本上都可以有效防止OWASP TOP 10的攻击。传统的WAF供应商使用过时的静态技术（正则表达式模式匹配），导致大量的误报，因此用户往往会将这些WAF设备配置成“监控“模式，而该模式在安全性方面不提供任何保护。
RASP一般翻译成中文叫运行时应用程序自我保护，这个术语是由Gartner Research的分析师创建的术语。它是一种连接到应用程序运行时环境的安全技术。理论上讲，RASP能够在执行，检测和阻止实时攻击时对应用程序进行检测和监控，这对应用程序和API开发人员以及安全人员来说是真正的有意义的地方，因为RASP可以向您展示应用程序在运行中是如何受到攻击的，所以开发人员可以及时地修正相应的代码以消除安全漏洞。
RASP的好处在于能够完整可见运行中的应用的内部，从代码、流量、配置、框架、库等等，
如下图所示：

​

WAF和RASP的特性比较我们可以借用下面的表格有一个比较全面的理解。

​

RASP的使用

通过第二节WAF和RASP的比较，我们知道RASP可以比WAF发现更多的攻击种类、更加精确地甄别攻击类型、发现0-day漏洞、同时检测请求和响应的内容等优点，使得RASP成为了我们构筑应用安全防护的最后一公里的一道防线。
在今年的护网工作中， 我们帮助用户在应用服务器上安装RASP组件通过我们的护网平台提供实时持续的监控，做到应用系统的实时联动式的立体防护，有效地保障了应用系统的安全。
RASP的探针的使用非常方便，这里以Java为例进行说明。
第一步是下载一个jar包程序，也就是编译好的RASP探针。
第二步是指定 -javaagent 的JVM启动参数，值就是在第一步下载好的jar包。
RASP的探针起到了对恶意攻击的甄别功能，同时探针需要和RASP的管理端协同一起起到防护作用。
RASP的探针利用了“java.lang.instrument”包，在main函数之前运行，例如：

​

在premain方法中，我们把类转换器ClassTransformer添加到了Instrumentation中，这样在类加载前可以实现字节码操作，注入RASP的安全探针。
在运行了Instrumentation代理的Java程序中，字节码加载会经过用户自定义的ClassTransformer，我们可以过滤出我们关注的类，并对其字节码进行相关的修改，例如：

​

在上例中，使用了MAP将关注的类进行保存，譬如 java/ io/ ObjectInputStream,java / lang / ProcessBuilder,com / mysql / jdbc / StatementImpl 等等，一旦命中我们关心的类，便可以利用发射生成asm的ClassVisitor，使用asm操作字节码，进行探针的注入，最终返回修改后的字节码，进行安全过滤。

RASP的事件持续监控
RASP探针的高准确性、连续性、自动化、扩展性等能力为做好应用防护起到了至关重要的作用， 但是我们说这还不是全部，安全的建设也是遵循PDCA的模式，我们需要对RASP发现的攻击综合其他的数据进行数据挖掘、统计、分析，形成概览、持续监控、调查等各种看板，为发现安全防护的短板，提升安全防护能力作出有参考价值的指导意见，同时形成对设备、系统、流程、人员有效的指标和KPI考核数据。
鼎赛科技利用10多年帮助客户建设SOC平台，协助客户建设SDLC流程，指导客户进行护网专项行动的经验，利用大数据平台，精心打造了RASP的看板，使得用户对RASP的运用不仅仅是停留在工具使用的低层次的诉求上，帮助用户更进一步提升了通过工具来发现应用安全防护的弱点，应用开发安全的弱点，为用户提升安全防护能力，应用安全工作的下一步重点勾勒了出了方向。
看板的视图举例如下：

​

​

通过以上的看板我们可以非常容易分析出：

       
•          当前应用遭遇到最多的应用攻击类型 --- 我们需要有针对性地加强哪些方面的防护
  
         
•          当前应用系统暴露的最多、最大的问题有哪些 --- 我们开发团队的安全技能需要在哪些方面进行提高，开发安全更需要关注哪些安全实践活动
  
         
•          攻击源的地区分布以及攻击源和攻击手段的分析 --- 让我们更好地做好协同防护提供数据
  
  

安全没有技术“银弹”

虽然今天我们介绍了应用安全防护的新贵“RASP”，特别是RASP与传统方法最大的不同之处：

       
•         高准确性 – 几乎是100%的精准率，无需依赖安全专家即可行动
  
         
•         连续性 – 几乎可以将所有的测试都变成安全测试
  
         
•         自适应性 – 随着应用的迭代和更新，对应用的各个模块和功能起到积极防护作用
  
  

自动化 – 更加贴合DevOps的流程，适应DevOps的节奏
但是我们也必须承认，安全没有技术“银弹”，有了RASP对应用的最后一公里防护， 原来的防护手段WAF，IPS等，以及开发安全使用的各类安全检测工具：诸如软件成分分析、白盒、黑盒检测、PT测试等等都可以有效地把应用的安全漏洞及早地解决，也是应用开发安全“左移”理念的最佳实践。
同时我们需要跳出仅仅满足于安全工具使用的低层次的需求，把安全工具产生的数据结果进行关联和挖掘，充分利用数据的价值，把数据的分析结果用来支撑我们更完善、更有效、更有的放矢的安全行动，应用安全从全面性、第一性出发来提升防护能力和人员的安全技能。
鼎赛科技目前利用大数据平台，打通了和应用安全相关的各类安全检测工具和防护工具的数据链，从项目、安全漏洞、人员能力、工具能力等多个维度基于模型对应用安全进行全面的评估和分析，从而使得应用系统的安全性能够从根本上、从源头起得到充分的保障。

​

END
应用安全，鼎赛与您并肩同行，为您分忧解难！
​