阿边攻防漫谈(二):RASP会取代WAF吗?
编者按:安全的本质在于攻守博弈。兵法云,善守者藏于九地之下,善攻者动于九天之上,攻其所不守,守其所必攻。在网络安全事件频发的云时代,如何帮助广大政企客户防御网络攻击是安全企业义不容辞的责任。边界无限致力于为用户提供全链路云安全防护产品和实战化的攻防体系,并通过还原真实攻防来帮助用户构建更安全、更灵动、更智能、更具价值的防御体系。为更好地帮助用户护卫网络安全,边界无限特推出“阿边攻防干货”和“阿边攻防漫谈”两档栏目,以期答疑解惑,共同探讨。
RASP火了!随之火起来的是边界无限等以技术创新革新安全行业的挑战者们。当然另一个讨论也火了起来,RASP会取代WAF吗?容阿边卖个小小的关子。
WAF,即Web Application Firewall,Web应用防护系统,最常见的名字叫做应用防火墙。国际上公认的一种说法,Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。之前,企业等用户一般采用防火墙作为安全保障体系的第一道防线。但是在现实中,Web服务器和应用存在各种各样的安全问题,并随着黑客技术的进步也变得更加难以预防,因为这些问题是普通防火墙难以检测和阻断的,由此产生了WAF。WAF在当时代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
然而,如今的网络安全形势的新变化,也让WAF这一代表当时先进生产力的安全产品显示了弊端。WAF在HTTP流量到达应用服务器之前对其进行分析,但是基于流量的检测分析手段容易被绕过,即使防守者会认为自己构筑了一条“马奇诺防线”,这也让整个防御体系存在一定的风险。每个应用程序都可能存在漏洞,一旦被定向的攻击所利用,危害极大。所以,一个对某一应用程序或API完全无害的HTTP请求对另一个来说可能是毁灭性的,并且仅仅通过查看HTTP请求来判断攻击属性是片面的,很容易造成漏洞的错误甄别从而对应用带来灾难性的影响。
目前很多的企业应用依赖WAF或IPS,因此需要在应用程序中构建安全特性,而如何在运行时保护自己,成为了一项新的考题。从创新的角度看,RASP是解答这一考题的合适答案。RASP 可以在应用程序运行时检测内存中写的数据或检测未经授权的数据库访问。RASP具有实时能力,可以采取诸如终止会话、发出警报甚至退出进程等操作,是行之有效的运行时安全技术。
与WAF相比,RASP的益处显而易见。RASP可以提供有关攻击者准确、可见的信息,及时溯源,为保护应用程序提供了可见性。只要Web应用程序开始运行,RASP会自动启动运行,保护系统的安全性。以防止任何威胁行为,包括网络嗅探、篡改代码、逆向工程和未经身份验证的数据泄漏。与WAF不同,RASP具有更高的准确性,因为它可以洞察应用程序逻辑和配置、事件和数据流。
RASP将保护功能添加到应用程序的运行时环境中,从而提高了针对恶意攻击的保护级别,且拥有查看基于边界的解决方案无法查看的横向或“东西向”流量的能力。
虽然RASP经常拿来与WAF做对比,然而它更像是WAF后面的新防线。如果说WAF是针对“安全边界”部署的边境防护大军,RASP更像是巷战时特有的灵动敏捷的安全防护卫队。WAF建功于外,这是应用防护第一道防线。天下没有绝对安全的产品,如果边界一旦被突破,绝不能束手待毙,于是RASP的先进性将得以显现,在真正的“巷战”,真正的刺刀见红之时,RASP也就有了用武之地。
RASP通过在现有应用程序代码中植入传感器来实时监控和控制关键执行点,利用这些技术,RASP 成为应用程序的一部分,使它们能够独立于其部署环境而受到保护。而且,RASP可以在本地、云和容器的任何部署架构中运行。这些功能特性使RASP可以和企业内现有的WAF进行互补,形成一套纵深防御体系。
安全从来不是某一家安全厂商或者某一个企业的事情,相互配合相得益彰,共同应对网络黑客的攻击才是王道。边界无限基于技术创新基因和多年网络攻防实战经验,推出了靖云甲ADR应用程序自我防护系统,这一业界领先的应用安全防护系统正在和海量部署在网络边界的WAF等传统安全产品并肩作战,共同抵御网络已知与未知的威胁。
边界无限基于RASP技术的靖云甲ADR可监控和阻断绝大多数的应用程序攻击和威胁,除了覆盖OWASP TOP10攻击类型,还可以抵御流量安全设备无法识别的攻击手法,如针对未知漏洞的利用攻击。同时靖云甲ADR抛弃了传统防火墙依赖请求特征的检测模式,0规则检测,防护策略灵活适配实际安全防护场景。在应用部署防护的初期阶段,靖云甲ADR可支持多模式处理事件,通过对业务请求信息的自我学习来强化防护精准度和可靠性。
靖云甲ADR还依托边界无限安全实验室安全研究成果和自身独特漏洞理解,不断推出最新漏洞检测能力,赋能于云端漏洞信息库,提供全网90%+的应用安全防护,并且通过持续监测和自主学习能力,构建正常访问模型,精准高效地检测、拦截新型漏洞攻击。这些都跟WAF形成了有效的配合。
总而言之,RASP不会取代WAF,而是跟WAF等传统产品一起构建更加严谨、有效的纵深防护体系。RASP不是来革WAF的命,而是用一种新的防御机制为网络攻防提供另一种可能性。未来,随着安全形势的进一步变化,RASP与WAF将走向何处,值得我们持续关注,也需要时间和实践给出答案。
边界无限准备好了,靖云甲ADR也准备好了!阿边攻防漫谈,今天就到这里,休息一会儿,下期见!
