阿边攻防漫谈(一):RASP为啥这么火爆?
编者按:安全的本质在于攻守博弈。兵法云,善守者藏于九地之下,善攻者动于九天之上,攻其所不守,守其所必攻。在网络安全事件频发的云时代,如何帮助广大政企客户防御网络攻击是安全企业义不容辞的责任。边界无限致力于为用户提供全链路云安全防护产品和实战化的攻防体系,并通过还原真实攻防来帮助用户构建更安全、更灵动、更智能、更具价值的防御体系。为更好地帮助用户护卫网络安全,边界无限特推出“阿边攻防干货”和“阿边攻防漫谈”两档栏目,以期答疑解惑,共同探讨。
为什么火了呢?log4j2和Spring漏洞安全事件被行业内喻为“核弹级漏洞”,在安全行业一石激起千层浪,在引起热议的同时也让安全从业者寝食难安,似乎一瞬间,“核弹级漏洞”说来就来。且不论这两个漏洞能不能称为核弹级,但让安全工程师熬夜加班成为了事实,百度相关搜索更是数量暴增,成千上万的搜索指向0Day漏洞和未知漏洞攻击。随之火起来的是RASP,还有边界无限这种拥有丰富实战经验和创新技术基因的安全行业新锐。为什么呢?因为RASP天然免疫这两大漏洞,既然核弹级的能天然免疫,何况那些小漏洞呢,当然是不在话下。
RASP为啥能天然免疫0Day漏洞,这个我们按下不说,回头会有专门的“阿边攻防干货”来专门讨论这个问题。让阿边先给您讲讲RASP的前世今生,以及为什么会火起来,让您对这一业界领先的新技术有一整体的概念和直观的感受。
RASP,即Runtime application self-protection,顾名思义,运行时应用防护技术,属于运行时安全和应用安全的范畴,虽然该技术在2014年就被Gartner的应用安全报告里列为应用安全领域的关键趋势,但如此高的关注量还是大姑娘上轿头一遭。据说,Gartner已经提高这一技术的重视级别,后续应该会有更多的报告关注这一重要的行业趋势。
RASP是一种新型应用安全保护技术,将保护程序像“免疫血清”一样注入到应用程序中,与应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力。当应用程序遭受到实际攻击伤害,就可以自动对其进行防御,而不需要人工干预。因为是一种内置或链接到应用程序环境中的安全技术,与应用程序融为一体,实时监测、阻断攻击,这算是行业的创新之举,也是大势所趋。至于为什么RASP更像是“免疫血清”,而非“应用疫苗”,简单而言呢,是现代网络攻击大多来自于未知威胁,在威胁情报和态势感知大行其道的情况下,已知漏洞攻击已经屡见不鲜,威胁度在下降,而未知漏洞攻击的危害越发显现。既然是未知漏洞攻击,“疫苗论”似乎不太严谨。RASP更多是基于丰富的攻防实战经验以及对已知、未知威胁攻击的研究积累而推出的真正应对时下安全形势的创新技术,更像是基于沉淀而提取出的“免疫血清”,这源于肌体本省,也助益于肌体本省,这肌体,无非就是广大政企客户的网络。
RASP是一种基于服务器的技术,一旦应用程序运行开始时就会激活。每个RASP系统都有自己的一组安全规则列表,用于交叉检查事件和相关数据,以确保只有允许的事件才能执行。其中,每种RASP技术提供的保护级别取决于安全规则的深度以及实现类型。
一是安全插件。安全插件是实现RASP防御能力的执行模块。只需一条简单的命令就能完成安全插件的部署,且运行稳定、消耗低。能够收集应用中间件、开发语言、语言版本、操作系统等信息,并通过与数据调度器的数据联动,实现了资产信息传递、入侵防御、漏洞数据分析等功能。
二是AI攻击检测引擎。AI攻击检测引擎作为判定攻击行为的决策中心。结合外部安全威胁情报中心,并借助强大的应用上下文情景分析能力,高效、无感、精准地识别已知的Nday漏洞风险。通过纵深流量学习算法,自主学习正常访问模型,来实现自我防御未知的0day漏洞风险。
三是管理平台。管理平台以Web控制台的形式和用户交互,清晰展示应用资产、安全检测、分析、防御结果。通过实时告警,帮助用户更及时、有效地处理安全事件,并提供集中管控工具,统一下发配置和指令。实时以可视化图表的形式展示相关应用的状态、安全态势等,为应用安全事件处置和安全能力优化提供数据决策支撑。
RASP将主动防御能力无缝融合至应用程序运行环境和开发语言中,通过对请求调用的关键函数进监听,结合应用上下文情景分析能力和强大的AI攻击检测引擎,可捕捉并拦截各种绕过流量检测的威胁攻击,来应对无处不在的应用漏洞与网络威胁,从而为应用程序提供全生命周期的动态安全保护。
除了先进的功能特性,我们从IT基础架构的迭代也能看出RASP火爆的原因,从物理主机到虚拟机,从虚拟机到容器,从云下到云化、云原生,IT基础架构不断持续迭代,唯有应用从始至终贯穿整个架构变革,对应用的防护不会停滞,甚至应用或将成为未来用户唯一需要自行保护的内容。而随着企业继续建立和加强应用程序,以及开发人员采用新的技术/流程来构建应用程序,以提高上线速度和丰富客户体验,应用安全成为了广大政企客户应对黑客“守其所必攻”的重点,也将成为安全厂商的兵家必争之地。
基于丰富的攻防实战经验积累和对技术创新的执着,边界无限推出了自主创新的RASP靖云甲全栈式云安全防护系统,它的出现,补充了当前安全防御体系在应用层面的技术空白。最近几年较为广泛使用的HIDS,作为主机层的安全防护产品,被称为应用安全的最后一道防御。而靖云甲作为新生的应用层安全产品,将承担建设应用安全边防线最后一公里的使命。
您知道RASP大火的原因了吧!当然,每一项技术从诞生到成熟,总会经历一定的生命周期,从提出时关注者寥到如今的万众瞩目,属于RASP的时代似乎已经加速到来,尤其是“核弹级漏洞”频频来袭,让RASP的技术使命变得越发重要。
