目前,Web应用程序的安全性受到了前所未有的挑战,数据泄露事件频发,其中大约25%的案例可归咎于应用本身的漏洞。
正如笔者在上一篇关于应用安全的文中所谈的,当前技术环境下,应用软件代码数量正以超过10倍的速度在快速扩张,而传统老旧应用安全工具几乎没有什么发展,两者之间形成了一个几乎不可跨越鸿沟 (详细内容可点击阅读原文《如何领先于不断演变的应用威胁》 ) 。
当前市场上已经有不少安全工具,它们在应用整个生命周期的不同阶段发挥着不同作用,下面我们将讨论不同应用安全产品SAST、DAST、IAST、RASP、WAF产品。 尤其是RASP技术,作为新一代应用安全技术,因其高度的可观察性、精确的威胁检测与阻断能力、便捷部署方式、良好扩展性,以及能够很好满足监管合规要求,成为了应用安全不可缺少的防护产品。
青藤基于多年技术创新优势及丰富的实战经验积累,自主研发出一款RASP产品,将于2024年4月25日正式发布,有兴趣读者可以扫码预约直播观看。
扫码预约发布会
全生命周期的应用安全防护
随着应用程序和软件开发日益复杂化,需要关注应用程序经历的生命周期的不同阶段,构建一个涵盖应用程序安全的全方位解决方案。
图1 全生命周期应用安全
(1)第一阶段:设计和开发期间的保护-静态代码分析(SAST)
1.除了保护应用程序免受外部攻击外,审视应用程序的软件构建,包括检测错误和缺陷也是至关重要的。
2.在开发生命周期的早期进行静态代码分析。
(2)第二阶段:预生产期间的保护-交互式应用程序安全测试(IAST)
1.交互式应用程序安全测试结合了SAST和DAST的优势,并进行行为评估。
2.它利用来自运行中应用程序内部的信息,包括运行时请求、数据/控制流,以准确发现漏洞。
(3)第三阶段:生产环境的保护-动态应用程序安全测试(DAST)
1.DAST有助于在其运行状态下识别应用程序中的安全漏洞。
2.它模仿现实世界的黑客技术和攻击,并提供对复杂Web应用程序的全面动态分析。
(4)第四阶段:随时随地的保护-运行时应用程序自我保护(RASP)
1.RASP使应用程序能够在运行时自我保护,抵御攻击
2.它克服了传统保护系统(如WAF、IPS/IDS)的不足。
在软件开发和部署的整个生命周期中,保护应用程序免受安全威胁是至关重要的。虽然前三个阶段——设计和开发期间的静态代码分析(SAST)、预生产期间的交互式应用程序安全测试(IAST)、以及生产环境的动态应用程序安全测试(DAST)——都发挥着重要作用,但第四阶段,即运行时应用程序自我保护(RASP),因其独特的优势而显得尤为重要。
RASP提供了比传统WAF更好的应用保护
RASP通过插桩技术,实时监控应用程序的运行状态,能够精准地识别并阻断潜在的威胁,从而为Web应用提供更为周全的安全保障。
RASP 提供了比传统 WAF 更好的应用保护。WAF容易被绕过,组织已经意识到WAF这一严重的局限性。现在开始转向RASP,为了帮助您更多地了解,这里是RASP和WAF服务之间的比较研究:
表1 RASP与WAF对比
由上可知,WAF这类解决方案,由于其独立于应用程序的架构设计,无法深入到代码层面去识别和理解潜在的安全威胁。它们依赖于基于已知威胁签名的检测方法,这种方法在面对未知威胁时显得力不从心。此外,边界防御策略在支持API方面也存在不足,往往需要安全团队投入大量人力资源进行手动管理和调整,这不仅增加了运营成本,也可能导致安全漏洞的产生。
与此相对,RASP通过插桩技术直接嵌入到应用程序内部,实现了对软件代码的实时保护。与传统的边界防御不同,RASP能够在应用程序运行时提供高度精确的事件监控和分析,无需依赖于可能存在误差的模型预测。
RASP在运行时阶段提供5大价值
RASP的插桩机制使其能够捕获完整的调用栈、具体的代码行、详尽的运行时数据追踪以及原始的HTTP请求和响应信息。这种深入到应用内部的监控方式,使得RASP能够有效地识别和防御各种威胁,同时避免了边界解决方案常见的误报和漏报问题。
图2 基于Agent的RASP应用安全防护
应用可见性
RASP的这种内部插桩机制,不仅减少了误报的发生,因为它能够区分真正的攻击行为和无害的安全探测,而且还能够对那些传统边界安全措施可能忽视的未知威胁和0day漏洞攻击提供保护。这种实时的安全检查和响应能力,使得RASP成为了一种强大的安全工具,它能够在攻击发生时立即采取行动,终止恶意会话并通知安全团队,从而保护应用程序免受损害。
这种内部视角使得RASP能够直接观察到应用程序的实时活动,从而有效地识别和阻止那些可能利用应用程序漏洞的攻击。
精确检测和阻断
误报的存在不仅消耗了安全团队的时间和精力,还可能导致所谓的“告警疲劳”。在面对大量无关紧要的警报时,安全团队可能会错过真正的威胁,甚至在某些情况下,为了避免频繁的误报干扰,他们可能会选择关闭WAF的阻断功能,从而增加了安全风险。
RASP通过在应用程序内部实施自我保护机制,使得安全团队能够将注意力集中在真正严重的威胁上。这种技术不仅减轻了安全团队的工作负担,还允许开发团队将精力更多地投入到新代码的开发和交付上,而不是不断地修复旧代码中的问题。研究表明,如果在产品发布后才被发现的漏洞,其修复成本大约是在需求和设计阶段发现漏洞的100倍。
此外,RASP技术的另一个优势在于其能够准确识别并应对真实的攻击尝试。这种精确的威胁检测能力有效地消除了与WAF相关的警报疲劳问题,提高了安全操作的效率,并降低了由于忽视真实威胁而带来的风险。
部署简便
在网络安全领域,传统的边界防御方案往往面临着部署和维护的复杂性。这些方案通常需要与网络团队紧密协作,以确保能够监控和分析正确的网络流量。此外,为了应对不断演变的威胁,边界防御系统需要频繁更新静态规则,这不仅增加了操作的复杂性,也导致了运营成本的上升。
相比之下,RASP通过在应用程序内部植入保护措施,简化了部署和维护的流程,从而显著降低了安全团队在管理安全措施方面的总成本。RASP解决方案的优势在于:
1.为每个应用程序提供一体化的安全保护,降低集成成本。
2.为开发团队提供一致的部署和运行时修复验证流程,减少意外和复杂性。
3.支持在生产环境中进行防御,延缓了补丁和修复活动,支持实时防御措施。
4,消除了补丁后重新部署的需求,减少了因更新导致的延迟。
5.减少了对专家级员工的依赖,降低了相关的人力成本,因为RASP不需要频繁的调整、配置、渗透测试或边界解决方案的维护。
在当前网络安全专业人才短缺的背景下,RASP技术的优势尤为明显。超过一半的网络安全专业人士认为,他们的组织因人员不足而面临中等或严重的风险,特别是在应用安全这一关键领域。RASP通过提供一种更为自主和自动化的安全保护方式,有助于缓解人才短缺带来的压力,确保组织能够更有效地管理和防御潜在的安全威胁。
可扩展性
传统WAF等边界解决方案往往需要专家介入进行频繁的调整,以适应应用程序的更新和基础设施的变化。这种静态的防御机制不仅与应用程序的运行时状态脱节,而且在应用程序迁移或扩展到新的服务器或云环境时,还需要重新部署,这无疑会拖慢DevOps的效率,并增加运营成本。
相对而言, RASP作为应用程序的一部分,能够随着应用程序的扩展而自动扩展。当应用程序为了服务更广泛的用户群体而在多个服务器上创建副本时,RASP的保护措施也会在每个副本中自动同步扩展,确保无论应用程序部署在何处,都能得到一致的安全防护。此外,部署在虚拟或云服务器上的RASP能够充分利用额外的计算资源,如CPU和内存,以提升安全性能。
合规性
随着对网络安全和隐私保护意识的增强,相关的行业标准和监管法规也在不断演进,对企业提出了更高的要求。这些更新的标准和法规对传统的边界防御措施提出了挑战,因为它们往往难以满足日益严格的合规性需求。
例如,NIST发布的NIST SP 800-53修订版5,以及支付卡行业软件安全标准(PCI SSS)的最新版本,都强调了实施先进的安全插桩技术的重要性。这些标准特别指出,为了降低软件遭受攻击的风险,需要采取“应用程序运行时自我保护”措施,这包括对输入数据进行实时监控和过滤,以防止潜在的攻击性输入。
NIST SP 800-53的修订版5特别引入了新的保护标准SI-7(17),明确要求采用最新的运行时应用自我保护(RASP)技术。RASP技术能够在应用程序运行时提供持续的安全监控和保护,确保应用程序能够及时识别和阻止可能的安全威胁。
这些标准的更新反映了监管机构对于提升软件安全防护能力的重视,同时也推动了安全技术的发展和创新。通过采用RASP等先进技术,企业不仅能够提高应用程序的安全防护水平,还能够更好地满足合规性要求,保护用户数据安全,维护企业声誉。
最后,青藤基于多年技术创新优势及丰富的实战经验积累,自主研发出一款RASP产品,将于2024年4月25日正式发布,有兴趣读者可以扫码预约直播观看。
扫码预约发布会
