0x01 什么是RASP
From: Rasp技術介紹與實現(xiàn)(一)
RASP(Runtime application self-protection)運行時應用自我保護。Gartner 在2014年應用安全報告里將 RASP 列為應用安全領域的關鍵趨勢,并將其定義為:
Applications should not be delegating most of their runtime protection to the external devices. Applications should be capable of self-protection (i.e., have protection features built into the application runtime environment).
RSAP將自身注入到應用程序中番捂,與應用程序融為一體孽鸡,實時監(jiān)測萌业、阻斷攻擊稚虎,使程序自身擁有自保護的能力。并且應用程序無需在編碼時進行任何的修改裁眯,只需進行簡單的配置即可鹉梨。
0x02 RASP能做什么
RASP不但能夠?qū)眠M行基礎安全防護,由于一些攻擊造成的應用程序調(diào)用棧調(diào)用棧具有相似性穿稳,還能夠?qū)?day進行一定的防護存皂。
除此之外,利用RASP也能夠?qū)么蛱摂M補丁逢艘,修復官方未修復的漏洞旦袋。或者對應用的運行狀態(tài)進行監(jiān)控它改,進行日志采集疤孕。
0x03 WAF VS RASP
傳統(tǒng)的WAF主要通過分析流量中的特征過濾攻擊請求,并攔截攜帶有攻擊特征的請求央拖。WAF雖然可以有效個過濾出絕大多數(shù)惡意請求祭阀,但是不知道應用運行時的上下文鹉戚,必然會造成一定程度的誤報。并且WAF嚴重依賴于特征庫专控,各種花式繞過抹凳,導致特征編寫很難以不變應萬變。
RASP的不同就在于運行在應用之中踩官,與應用融為一體却桶,可以獲取到應用運行時的上下文境输,根據(jù)運行時上下文或者敏感操作蔗牡,對攻擊進行精準的識別或攔截。于此同時嗅剖,由于RASP運行在應用之中辩越,只要檢測點選取合理,獲取到的payload已經(jīng)是解碼過的真實payload信粮,可以減少由于WAF規(guī)則的不完善導致的漏報黔攒。
雖然RASP擁有WAF所不具有的一些優(yōu)勢,但是否能夠代替WAF還有待商榷强缘。畢竟WAF是成熟督惰、快速、可以大規(guī)模部署的安全產(chǎn)品旅掂。兩者相互補充赏胚,將WAF作為應用外圍的防線,RASP作為應用自身的安全防護商虐,確保對攻擊的有效攔截觉阅。
0x04 RASP的缺陷
注入應用中的RASP雖然帶來了獲取應用運行時上下文的優(yōu)勢,但也帶來了一定的缺陷:性能消耗秘车。應用自身在進行常規(guī)運算的同時進行了一定的安全運算典勇,造成了一定的性能消耗。不過根據(jù)Gartner 分析師的統(tǒng)計叮趴,RASP帶來的性能消耗在5%~10%之間割笙,在一定程度上仍然是可以接受的。
除此之外眯亦,由于RASP需要運行在應用中伤溉,不能像WAF一樣在流量入口統(tǒng)一部署。需要根據(jù)應用開發(fā)的技術不同使用不同的RASP搔驼。比如.net應用與java應用需要不同的RASP產(chǎn)品谈火,增加了部署成本。
