摘要:優(yōu)于的大優(yōu)勢(shì)極少誤報(bào)率不同于���,不依賴(lài)于分析網(wǎng)絡(luò)流量去尋找問(wèn)題���,除了發(fā)現(xiàn)漏洞或發(fā)現(xiàn)攻擊行為,它通常不會(huì)發(fā)出任何聲音�����。這樣能極大地減少誤報(bào)率�����。
Web 應(yīng)用防火墻(WAF)已經(jīng)成為常見(jiàn) Web 應(yīng)用普遍采用的安全防護(hù)工具�����,即便如此,WAF 提供的保護(hù)方案仍舊存在諸多不足�,筆者認(rèn)為稱(chēng) WAF 為好的安全監(jiān)控工具更為恰當(dāng)。幸運(yùn)的是��,應(yīng)用安全保護(hù)技術(shù)也在快速發(fā)展��,運(yùn)行時(shí)應(yīng)用程序自我保護(hù)系統(tǒng)(簡(jiǎn)稱(chēng) RASP)之概念�,一經(jīng) Gartner 提出,立即受到熱烈追捧�。業(yè)界普遍認(rèn)為 RASP 會(huì)成為新一代應(yīng)用漏洞的「超級(jí)克星」。
WAF: 對(duì)應(yīng)用安全防護(hù)已力不從心
Web 應(yīng)用安全防火墻(WAF)部署在 Web 應(yīng)用程序前線�,可以實(shí)時(shí)掃描和過(guò)濾 Web 請(qǐng)求與用戶(hù)輸入的數(shù)據(jù)。因此����,WAF 在監(jiān)控進(jìn)出 Web 應(yīng)用程序/數(shù)據(jù)庫(kù)的有害用戶(hù)輸入和不正常的數(shù)據(jù)流上非常有效率,這也使 WAF 在過(guò)去十多年間非常受歡迎�����。
WAF 有兩種工作模式:
檢測(cè)模式:尋找惡意輸入和違規(guī)行為模式�。
阻塞模式:攔截可疑用戶(hù)輸入。
WAF 具備防護(hù)多種常見(jiàn)安全攻擊(如 SQL 注入和跨站攻擊(XSS))的能力���。但 WAF 基于流量分析���,不理解應(yīng)用的上下文���,因此它也有很多與生俱來(lái)的缺陷。
WAF 最大的缺點(diǎn)是一旦應(yīng)用程序代碼有所改變����,相應(yīng)的配置也需要改變�。一旦更新不及時(shí)或者更新失敗,都會(huì)產(chǎn)生大量的誤報(bào)(False-Positives)��。當(dāng) WAF 設(shè)置為攔截模式時(shí)�,這些誤報(bào)會(huì)產(chǎn)生 DDOS 攻擊或?qū)е滦阅軉?wèn)題。
WAF 無(wú)法檢查應(yīng)用程序的漏洞��,更無(wú)法解決已知漏洞���。它不了解應(yīng)用程序��,不能深入到數(shù)據(jù)流里探測(cè)系統(tǒng)特有的問(wèn)題�����,比如 SQL 注入���。每個(gè)數(shù)據(jù)庫(kù)的 SQL 語(yǔ)言都有諸多不同���,WAF 無(wú)法防范針對(duì)具體數(shù)據(jù)庫(kù)的 SQL 注入之攻擊行為。
RASP 可接力 WAF 為應(yīng)用程序提供更好的保護(hù)
實(shí)時(shí)應(yīng)用程序自我保護(hù)(RASP)繼承了 WAF 的大部分功能�,使應(yīng)用程序很好地保護(hù)自己。RASP 會(huì)監(jiān)聽(tīng)每一個(gè)與應(yīng)用程序交換的節(jié)點(diǎn)���,覆蓋所有應(yīng)用程序的訪問(wèn)節(jié)點(diǎn)����,包括:用戶(hù)�、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)和文件系統(tǒng)�����。
因?yàn)榱私鈶?yīng)用程序的上下文��,RASP 完全清楚應(yīng)用程序的輸入輸出��,因此它可以根據(jù)具體的數(shù)據(jù)流定制合適的保護(hù)機(jī)制��,從而可以達(dá)到非常精確的實(shí)時(shí)攻擊識(shí)別和攔截。
RASP 的工作原理請(qǐng)見(jiàn)下圖:
RASP 在可疑行為進(jìn)入應(yīng)用程序時(shí)并不攔截�����,而是先對(duì)其進(jìn)行標(biāo)記����,在輸出時(shí)再檢查是否為危險(xiǎn)行為,從而盡量減少誤報(bào)和漏報(bào)的概率�。這對(duì)精確性要求極高的銀行、金融體系的應(yīng)用程序保護(hù)尤其重要��,因?yàn)檫@些應(yīng)用程序?qū)π阅芎涂捎眯砸蠓浅8摺?/p>
RASP 優(yōu)于 WAF 的5大優(yōu)勢(shì)
極少誤報(bào)率: 不同于 WAF����,RASP 不依賴(lài)于分析網(wǎng)絡(luò)流量去尋找問(wèn)題���,除了發(fā)現(xiàn)漏洞或發(fā)現(xiàn)攻擊行為�����,它通常不會(huì)發(fā)出任何聲音���。這樣能極大地減少誤報(bào)率���。RASP 能非常精確地區(qū)分攻擊和合法輸入,而 WAF 很多時(shí)候無(wú)法做到�����,這大大減少了專(zhuān)門(mén)請(qǐng)人分析結(jié)果的成本����,也不需要掃描修復(fù)的過(guò)程。
維護(hù)成本極低:WAF 的安裝過(guò)程非常復(fù)雜�����,需要非常精確的配置以盡可能廣的覆蓋應(yīng)用程序����。為了獲得更好的效果,幾乎每次 Web 應(yīng)用程序發(fā)布新版時(shí)都需要對(duì)管理員進(jìn)行「培訓(xùn)」并對(duì) WAF 進(jìn)行針對(duì)性的重新配置����。但大多數(shù)企業(yè)都無(wú)法做得這么及時(shí)與完善,這就可能導(dǎo)致大量的誤報(bào)與性能問(wèn)題���。與之相對(duì)����,RASP 幾乎可以做到開(kāi)箱即用,只需要非常簡(jiǎn)單的配置就可以使用��。這得益于RASP 與應(yīng)用程序融為一體的特性�,在應(yīng)用程序內(nèi)部監(jiān)控實(shí)時(shí)數(shù)據(jù)。
極高的覆蓋度和兼容性: RASP 安全系統(tǒng)可以應(yīng)用到任何可注入的應(yīng)用程序���,能處理絕大多數(shù)的網(wǎng)絡(luò)協(xié)議:HTTP���、 HTTPS、AJAX���、SQL 與 SOAP����。而 WAF 通過(guò)監(jiān)控網(wǎng)絡(luò)流量提供保護(hù)�,因此只支持 Web 應(yīng)用程序(HTTP)����。此外,WAF 需要特定的解析器�����、協(xié)議分析工具或其他組件來(lái)分析應(yīng)用程序使用的其他網(wǎng)絡(luò)協(xié)議,這會(huì)導(dǎo)致一些兼容性與性能問(wèn)題�。
更全面的保護(hù):WAF 在分析與過(guò)濾用戶(hù)輸入并檢測(cè)有害行為方面還是比較有效的,但是對(duì)應(yīng)用程序的輸出檢查則毫無(wú)辦法���。RASP 不但能監(jiān)控用戶(hù)輸入��,也能監(jiān)控應(yīng)用程序組件的輸出����,這就使 RASP 具備了全面防護(hù)的能力�����。RASP 解決方案能夠定位 WAF 通常無(wú)法檢測(cè)到的嚴(yán)重問(wèn)題——未處理的異常�、會(huì)話劫持、權(quán)限提升和敏感數(shù)據(jù)披露等等����。Gartner 分析師 Joseph 很清楚地描述了這一點(diǎn)。
可以與 SAST 完美集成:RASP 可以與 SAST 方案無(wú)縫集成�����,比如靜態(tài)代碼分析工具(SCA)。這使得企業(yè)全程掌控產(chǎn)品的整個(gè)生命周期�����,從早期的開(kāi)發(fā)階段���,一直到后期制作和部署���。WAF 工具根本無(wú)法做到這一點(diǎn),也不能提供任何補(bǔ)救措施����。將 RASP 和 SAST 結(jié)合使用可以帶來(lái)兩個(gè)顯著的好處:
提供虛擬補(bǔ)丁:在很多情況下�,可以使用掃描工具在開(kāi)發(fā)階段發(fā)現(xiàn)所有已知漏洞,但由于資源和上線周期的壓力�,沒(méi)有辦法修復(fù)所有漏洞,帶病上線是常有的事情�。借助 RASP,企業(yè)可以放心地發(fā)布產(chǎn)品���。RASP 就像一個(gè)大的虛擬補(bǔ)丁將所有漏洞都在線修復(fù)。系統(tǒng)可以安全運(yùn)行���,在資源允許的情況下再修復(fù)和更新這些漏洞�����。
快速緩解攻擊:從另外一個(gè)角度看�����,使用 RASP 能快速定位漏洞���,這得益于 SAST 的先期掃描結(jié)果�,RASP 和 SAST 的結(jié)合使用對(duì)于大型企業(yè)尤其重要�,快速修復(fù)漏洞能節(jié)約大量時(shí)間,大幅降低漏洞帶來(lái)的風(fēng)險(xiǎn)��。這是 WAF 所無(wú)法提供的�。
誠(chéng)然,WAF 是一個(gè)值得尊敬的后期安全保護(hù)工具����,但是它先天的缺點(diǎn)導(dǎo)致公司不得不考慮其他選擇。使用 RASP 解決方案能根本性提升應(yīng)用程序的自動(dòng)免疫能力����,即便黑客攻擊已滲入應(yīng)用程序內(nèi)部����,也能從容應(yīng)對(duì)�。隨著黑客技術(shù)日趨復(fù)雜,應(yīng)用程序的安全性也必須發(fā)展提高�����。RASP 和 SAST 的組合�����,可以說(shuō)是當(dāng)今最好的應(yīng)用安全保護(hù)組合���。
RASP 提供商
RASP 是一個(gè)新興的概念��,現(xiàn)在能真正提供 RASP 服務(wù)的公司并不多��,惠普是一個(gè)比較出名的大廠商有���。但在國(guó)內(nèi)只有一家安全初創(chuàng)企業(yè) OneASP 在做 RASP 的產(chǎn)品,這也是一款擁有完全知識(shí)產(chǎn)權(quán)的國(guó)產(chǎn)安全產(chǎn)品����。OneRASP(實(shí)時(shí)應(yīng)用自我保護(hù))是一種基于云的應(yīng)用程序自我保護(hù)服務(wù)��, 可以為軟件產(chǎn)品提供實(shí)時(shí)保護(hù),使其免受漏洞所累���。
文章版權(quán)歸作者所有���,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/11159.html
