摘要:優(yōu)于的大優(yōu)勢極少誤報率不同于,不依賴于分析網(wǎng)絡(luò)流量去尋找問題�����,除了發(fā)現(xiàn)漏洞或發(fā)現(xiàn)攻擊行為,它通常不會發(fā)出任何聲音�。這樣能極大地減少誤報率。
Web 應(yīng)用防火墻(WAF)已經(jīng)成為常見 Web 應(yīng)用普遍采用的安全防護(hù)工具�����,即便如此��,WAF 提供的保護(hù)方案仍舊存在諸多不足�����,筆者認(rèn)為稱 WAF 為好的安全監(jiān)控工具更為恰當(dāng)�����。幸運的是�����,應(yīng)用安全保護(hù)技術(shù)也在快速發(fā)展�����,運行時應(yīng)用程序自我保護(hù)系統(tǒng)(簡稱 RASP)之概念����,一經(jīng) Gartner 提出����,立即受到熱烈追捧���。業(yè)界普遍認(rèn)為 RASP 會成為新一代應(yīng)用漏洞的「超級克星」��。
WAF: 對應(yīng)用安全防護(hù)已力不從心
Web 應(yīng)用安全防火墻(WAF)部署在 Web 應(yīng)用程序前線�����,可以實時掃描和過濾 Web 請求與用戶輸入的數(shù)據(jù)�。因此�,WAF 在監(jiān)控進(jìn)出 Web 應(yīng)用程序/數(shù)據(jù)庫的有害用戶輸入和不正常的數(shù)據(jù)流上非常有效率,這也使 WAF 在過去十多年間非常受歡迎��。
WAF 有兩種工作模式:
檢測模式:尋找惡意輸入和違規(guī)行為模式�。
阻塞模式:攔截可疑用戶輸入。
WAF 具備防護(hù)多種常見安全攻擊(如 SQL 注入和跨站攻擊(XSS))的能力�。但 WAF 基于流量分析,不理解應(yīng)用的上下文��,因此它也有很多與生俱來的缺陷��。
WAF 最大的缺點是一旦應(yīng)用程序代碼有所改變�����,相應(yīng)的配置也需要改變�。一旦更新不及時或者更新失敗����,都會產(chǎn)生大量的誤報(False-Positives)。當(dāng) WAF 設(shè)置為攔截模式時����,這些誤報會產(chǎn)生 DDOS 攻擊或?qū)е滦阅軉栴}。
WAF 無法檢查應(yīng)用程序的漏洞�����,更無法解決已知漏洞��。它不了解應(yīng)用程序��,不能深入到數(shù)據(jù)流里探測系統(tǒng)特有的問題,比如 SQL 注入��。每個數(shù)據(jù)庫的 SQL 語言都有諸多不同���,WAF 無法防范針對具體數(shù)據(jù)庫的 SQL 注入之攻擊行為����。
RASP 可接力 WAF 為應(yīng)用程序提供更好的保護(hù)
實時應(yīng)用程序自我保護(hù)(RASP)繼承了 WAF 的大部分功能,使應(yīng)用程序很好地保護(hù)自己��。RASP 會監(jiān)聽每一個與應(yīng)用程序交換的節(jié)點����,覆蓋所有應(yīng)用程序的訪問節(jié)點,包括:用戶���、數(shù)據(jù)庫��、網(wǎng)絡(luò)和文件系統(tǒng)�。
因為了解應(yīng)用程序的上下文�,RASP 完全清楚應(yīng)用程序的輸入輸出,因此它可以根據(jù)具體的數(shù)據(jù)流定制合適的保護(hù)機(jī)制���,從而可以達(dá)到非常精確的實時攻擊識別和攔截��。
RASP 的工作原理請見下圖:
RASP 在可疑行為進(jìn)入應(yīng)用程序時并不攔截���,而是先對其進(jìn)行標(biāo)記,在輸出時再檢查是否為危險行為����,從而盡量減少誤報和漏報的概率。這對精確性要求極高的銀行�����、金融體系的應(yīng)用程序保護(hù)尤其重要����,因為這些應(yīng)用程序?qū)π阅芎涂捎眯砸蠓浅8摺?/p>
RASP 優(yōu)于 WAF 的5大優(yōu)勢
極少誤報率: 不同于 WAF,RASP 不依賴于分析網(wǎng)絡(luò)流量去尋找問題�����,除了發(fā)現(xiàn)漏洞或發(fā)現(xiàn)攻擊行為��,它通常不會發(fā)出任何聲音��。這樣能極大地減少誤報率��。RASP 能非常精確地區(qū)分攻擊和合法輸入,而 WAF 很多時候無法做到�����,這大大減少了專門請人分析結(jié)果的成本��,也不需要掃描修復(fù)的過程���。
維護(hù)成本極低:WAF 的安裝過程非常復(fù)雜�,需要非常精確的配置以盡可能廣的覆蓋應(yīng)用程序����。為了獲得更好的效果,幾乎每次 Web 應(yīng)用程序發(fā)布新版時都需要對管理員進(jìn)行「培訓(xùn)」并對 WAF 進(jìn)行針對性的重新配置��。但大多數(shù)企業(yè)都無法做得這么及時與完善���,這就可能導(dǎo)致大量的誤報與性能問題�����。與之相對�,RASP 幾乎可以做到開箱即用,只需要非常簡單的配置就可以使用����。這得益于RASP 與應(yīng)用程序融為一體的特性,在應(yīng)用程序內(nèi)部監(jiān)控實時數(shù)據(jù)�。
極高的覆蓋度和兼容性: RASP 安全系統(tǒng)可以應(yīng)用到任何可注入的應(yīng)用程序,能處理絕大多數(shù)的網(wǎng)絡(luò)協(xié)議:HTTP����、 HTTPS�、AJAX、SQL 與 SOAP�。而 WAF 通過監(jiān)控網(wǎng)絡(luò)流量提供保護(hù),因此只支持 Web 應(yīng)用程序(HTTP)�����。此外�����,WAF 需要特定的解析器�����、協(xié)議分析工具或其他組件來分析應(yīng)用程序使用的其他網(wǎng)絡(luò)協(xié)議,這會導(dǎo)致一些兼容性與性能問題�。
更全面的保護(hù):WAF 在分析與過濾用戶輸入并檢測有害行為方面還是比較有效的,但是對應(yīng)用程序的輸出檢查則毫無辦法���。RASP 不但能監(jiān)控用戶輸入���,也能監(jiān)控應(yīng)用程序組件的輸出,這就使 RASP 具備了全面防護(hù)的能力��。RASP 解決方案能夠定位 WAF 通常無法檢測到的嚴(yán)重問題——未處理的異常����、會話劫持、權(quán)限提升和敏感數(shù)據(jù)披露等等���。Gartner 分析師 Joseph 很清楚地描述了這一點���。
可以與 SAST 完美集成:RASP 可以與 SAST 方案無縫集成,比如靜態(tài)代碼分析工具(SCA)���。這使得企業(yè)全程掌控產(chǎn)品的整個生命周期��,從早期的開發(fā)階段��,一直到后期制作和部署��。WAF 工具根本無法做到這一點�����,也不能提供任何補(bǔ)救措施�。將 RASP 和 SAST 結(jié)合使用可以帶來兩個顯著的好處:
提供虛擬補(bǔ)丁:在很多情況下���,可以使用掃描工具在開發(fā)階段發(fā)現(xiàn)所有已知漏洞����,但由于資源和上線周期的壓力�,沒有辦法修復(fù)所有漏洞��,帶病上線是常有的事情���。借助 RASP���,企業(yè)可以放心地發(fā)布產(chǎn)品。RASP 就像一個大的虛擬補(bǔ)丁將所有漏洞都在線修復(fù)�����。系統(tǒng)可以安全運行,在資源允許的情況下再修復(fù)和更新這些漏洞�����。
快速緩解攻擊:從另外一個角度看�����,使用 RASP 能快速定位漏洞���,這得益于 SAST 的先期掃描結(jié)果�,RASP 和 SAST 的結(jié)合使用對于大型企業(yè)尤其重要��,快速修復(fù)漏洞能節(jié)約大量時間�,大幅降低漏洞帶來的風(fēng)險。這是 WAF 所無法提供的��。
誠然��,WAF 是一個值得尊敬的后期安全保護(hù)工具�����,但是它先天的缺點導(dǎo)致公司不得不考慮其他選擇。使用 RASP 解決方案能根本性提升應(yīng)用程序的自動免疫能力����,即便黑客攻擊已滲入應(yīng)用程序內(nèi)部,也能從容應(yīng)對��。隨著黑客技術(shù)日趨復(fù)雜�����,應(yīng)用程序的安全性也必須發(fā)展提高�。RASP 和 SAST 的組合,可以說是當(dāng)今最好的應(yīng)用安全保護(hù)組合�����。
RASP 提供商
RASP 是一個新興的概念�����,現(xiàn)在能真正提供 RASP 服務(wù)的公司并不多����,惠普是一個比較出名的大廠商有�。但在國內(nèi)只有一家安全初創(chuàng)企業(yè) OneASP 在做 RASP 的產(chǎn)品�,這也是一款擁有完全知識產(chǎn)權(quán)的國產(chǎn)安全產(chǎn)品�。OneRASP(實時應(yīng)用自我保護(hù))是一種基于云的應(yīng)用程序自我保護(hù)服務(wù), 可以為軟件產(chǎn)品提供實時保護(hù)�����,使其免受漏洞所累���。
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/11159.html
