Aberdeen 曾提出一份報告，針對機構應該如何優(yōu)先管理積極風險的問題脸候，提出了考慮將 Runtime Application Self-Protection （RASP） 作為企業(yè)應用程序安全的主流選擇的建議大咱。

企業(yè)應用程序安全新方案

1.企業(yè)的應用程序組合數(shù)量龐大松申、復雜且笨重娃闲，對業(yè)務影響極大

不管從哪個方面來看瓶颠，應用程序組合對企業(yè)實現(xiàn)戰(zhàn)略業(yè)務目標都至關重要骑晶。
然而痛垛，典型的企業(yè)應用程序組合又總是數(shù)量龐大、復雜而且笨重桶蛔。企業(yè)應用程序的數(shù)量與復雜程度包括以下幾方面：

• 傳統(tǒng)的企業(yè)支持應用程序的數(shù)量從幾十到幾百匙头，更不要提用戶安裝在智能手機、平板電腦和筆記本電腦的上成百上千個移動應用程序了——有些受支持仔雷，但是大部分不受支持蹂析。

• 當下，企業(yè)應用程序類別更有自己額外的復雜分級碟婆，其中有些應用程序可能由內部開發(fā)團隊电抚、外包開發(fā)團隊、代表企業(yè)的系統(tǒng)集成人員竖共，或者是這些開發(fā)團隊選用的開源社區(qū)進行開發(fā)并維護的——而且更有可能的是由以上幾個團隊共同完成蝙叛。

• 至于應用程序交付平臺，各個組織機構都迫切希望利用虛擬化和云計算靈活性和低成本帶來的便利——不過他們在可見性和可控性方面依然十分謹慎公给，尤其是涉及核心商業(yè)的那些應用程序

這里最重要的啟發(fā)是借帘，按照定義來說蜘渣，企業(yè)的應用程序檔案對組織實現(xiàn)戰(zhàn)略商業(yè)目標至關重要——然而隨著時間推移，這個檔案必然會變得越來越龐大肺然，越來越復雜蔫缸。

2. 這就讓犯罪分子有了可乘之機：為什么你的企業(yè)應用程序會遭到攻擊？

• 攻擊者越來越致力于攻擊核心狰挡、戰(zhàn)略型目標捂龄，從而使他們的付出得到的回報最大化。

• 服務器最容易受到攻擊加叁，大概是因為攻擊者知道那里儲存著數(shù)據(jù)倦沧。

這個觀點在 Verizon 發(fā)布的《 2015 年數(shù)據(jù)泄露調查報告》中得到了驗證。經分析它匕，過去十幾年來超過 90% 的數(shù)據(jù)泄露事件所用的攻擊方法只有九種——而且在這期間導致數(shù)據(jù)泄露最多的攻擊方法就是攻擊網站應用程序展融。

表1：已確認的數(shù)據(jù)泄露事件，2006-2014年

企業(yè)應用程序安全的新「守護神」

信息來源：《 Verizon 2015 DBIR 》節(jié)選豫柬；Aberdeen 集團告希，2015年6月。

在表 1 所示的同一個時間段內（2006-2014年）烧给，一共有 60879 家企業(yè)加入了國家漏洞數(shù)據(jù)庫燕偶，因此安全意識并不是問題所在。真正的挑戰(zhàn)在于搞清楚應該做什么础嫡，說服其他人這么做是值得做的指么，真正去做——并且在飛速變化的環(huán)境中堅持不斷去做！

目前的 20 個關鍵安全控制（5.1版）還帶來了8個更高級別的要求榴鼎，Aberdeen 已經將其修訂成適用于應用程序安全問題的內容：

1. 了解在你的網絡環(huán)境中有哪些應用程序
2. 確保你的應用程序得到安全配置
3. 確保你的應用程序安裝補丁伯诬，并及時更新
4. 備份并保護你的重要數(shù)據(jù)
5. 保護你的網絡
6. 管理你的用戶、用戶賬號以及他們對企業(yè)應用程序的訪問
7. 注意周圍環(huán)境發(fā)生的變化
8. 時刻準備著對出現(xiàn)的問題進行響應

3. 確保企業(yè)應用程序安全的三個策略以及一個新的備選方案

這些探討中不可避免地遇到的問題可以最終歸結為安全巫财、商業(yè)目標盗似、整體成本以及某種程度上的管理哲學等問題的集合。

企業(yè)應用程序安全的新「守護神」

信息來源：Aberdeen 集團平项，2015年6月赫舒。

4. 一個新的備選方案：Runtime Application Self-Protection （RASP）

一種新的確保應用程序安全的方法已經出現(xiàn)，它被稱為 Runtime Application Self-Protection （RASP）闽瓢。

RASP 的概念是把安全保護代碼內嵌（或者有時候被稱為安裝）到某個應用程序的運行環(huán)境号阿，實時提供該應用程序詳細可見的收到的請求。關鍵點是鸳粉，這種可見信息來自應用程序本身，而不是來自網絡的變化园担。

另外届谈，RASP 技術是被設計用來分析應用程序本身的流量和上下文枯夜，以區(qū)別于正常的應用程序行為和危險行為。

在這些性能的基礎上艰山，RASP 提供的正是 Aberdeen 在《Putting Threat Intelligence in Perspective 》（2014年12月）中探討的威脅情報

表3：威脅情報的四個特點及其在 RASP 中的體現(xiàn)

企業(yè)應用程序安全的新「守護神」

如果你所在的組織機構還未采用 RASP 來維護應用程序安全湖雹，以下分析強烈建議你們主動考慮采用這種新的備選方案 RASP。首先曙搬，需要評價的邏輯維度包括以下幾點：

• 支持貴機構應用程序組合所用的編程語言

• 解決方案實時分析的準確性

• 解決方案在應用程序中的表現(xiàn)

如今摔吏，多樣化的攻擊手段層出不窮，傳統(tǒng)安全解決方案越來越難以應對網絡安全攻擊纵装。OneRASP 實時應用自我保護技術,可以為軟件產品提供精準的實時保護征讲，使其免受漏洞所累。想閱讀更多技術文章橡娄，請訪問 OneAPM 官方技術博客诗箍。
本文轉自 OneAPM 官方博客