摘要:優于的大優勢極少誤報率不同于,不依賴于分析網絡流量去尋找問題,除了發現漏洞或發現攻擊行為,它通常不會發出任何聲音。這樣能極大地減少誤報率。
Web 應用防火墻(WAF)已經成為常見 Web 應用普遍采用的安全防護工具,即便如此,WAF 提供的保護方案仍舊存在諸多不足,筆者認為稱 WAF 為好的安全監控工具更為恰當。幸運的是,應用安全保護技術也在快速發展,運行時應用程序自我保護系統(簡稱 RASP)之概念,一經 Gartner 提出,立即受到熱烈追捧。業界普遍認為 RASP 會成為新一代應用漏洞的「超級克星」。
WAF: 對應用安全防護已力不從心Web 應用安全防火墻(WAF)部署在 Web 應用程序前線,可以實時掃描和過濾 Web 請求與用戶輸入的數據。因此,WAF 在監控進出 Web 應用程序/數據庫的有害用戶輸入和不正常的數據流上非常有效率,這也使 WAF 在過去十多年間非常受歡迎。
WAF 有兩種工作模式:
檢測模式:尋找惡意輸入和違規行為模式。
阻塞模式:攔截可疑用戶輸入。
WAF 具備防護多種常見安全攻擊(如 SQL 注入和跨站攻擊(XSS))的能力。但 WAF 基于流量分析,不理解應用的上下文,因此它也有很多與生俱來的缺陷。
WAF 最大的缺點是一旦應用程序代碼有所改變,相應的配置也需要改變。一旦更新不及時或者更新失敗,都會產生大量的誤報(False-Positives)。當 WAF 設置為攔截模式時,這些誤報會產生 DDOS 攻擊或導致性能問題。
WAF 無法檢查應用程序的漏洞,更無法解決已知漏洞。它不了解應用程序,不能深入到數據流里探測系統特有的問題,比如 SQL 注入。每個數據庫的 SQL 語言都有諸多不同,WAF 無法防范針對具體數據庫的 SQL 注入之攻擊行為。
RASP 可接力 WAF 為應用程序提供更好的保護實時應用程序自我保護(RASP)繼承了 WAF 的大部分功能,使應用程序很好地保護自己。RASP 會監聽每一個與應用程序交換的節點,覆蓋所有應用程序的訪問節點,包括:用戶、數據庫、網絡和文件系統。
因為了解應用程序的上下文,RASP 完全清楚應用程序的輸入輸出,因此它可以根據具體的數據流定制合適的保護機制,從而可以達到非常精確的實時攻擊識別和攔截。
RASP 的工作原理請見下圖:
RASP 在可疑行為進入應用程序時并不攔截,而是先對其進行標記,在輸出時再檢查是否為危險行為,從而盡量減少誤報和漏報的概率。這對精確性要求極高的銀行、金融體系的應用程序保護尤其重要,因為這些應用程序對性能和可用性要求非常高。
RASP 優于 WAF 的5大優勢極少誤報率: 不同于 WAF,RASP 不依賴于分析網絡流量去尋找問題,除了發現漏洞或發現攻擊行為,它通常不會發出任何聲音。這樣能極大地減少誤報率。RASP 能非常精確地區分攻擊和合法輸入,而 WAF 很多時候無法做到,這大大減少了專門請人分析結果的成本,也不需要掃描修復的過程。
維護成本極低:WAF 的安裝過程非常復雜,需要非常精確的配置以盡可能廣的覆蓋應用程序。為了獲得更好的效果,幾乎每次 Web 應用程序發布新版時都需要對管理員進行「培訓」并對 WAF 進行針對性的重新配置。但大多數企業都無法做得這么及時與完善,這就可能導致大量的誤報與性能問題。與之相對,RASP 幾乎可以做到開箱即用,只需要非常簡單的配置就可以使用。這得益于RASP 與應用程序融為一體的特性,在應用程序內部監控實時數據。
極高的覆蓋度和兼容性: RASP 安全系統可以應用到任何可注入的應用程序,能處理絕大多數的網絡協議:HTTP、 HTTPS、AJAX、SQL 與 SOAP。而 WAF 通過監控網絡流量提供保護,因此只支持 Web 應用程序(HTTP)。此外,WAF 需要特定的解析器、協議分析工具或其他組件來分析應用程序使用的其他網絡協議,這會導致一些兼容性與性能問題。
更全面的保護:WAF 在分析與過濾用戶輸入并檢測有害行為方面還是比較有效的,但是對應用程序的輸出檢查則毫無辦法。RASP 不但能監控用戶輸入,也能監控應用程序組件的輸出,這就使 RASP 具備了全面防護的能力。RASP 解決方案能夠定位 WAF 通常無法檢測到的嚴重問題——未處理的異常、會話劫持、權限提升和敏感數據披露等等。Gartner 分析師 Joseph 很清楚地描述了這一點。
可以與 SAST 完美集成:RASP 可以與 SAST 方案無縫集成,比如靜態代碼分析工具(SCA)。這使得企業全程掌控產品的整個生命周期,從早期的開發階段,一直到后期制作和部署。WAF 工具根本無法做到這一點,也不能提供任何補救措施。將 RASP 和 SAST 結合使用可以帶來兩個顯著的好處:
提供虛擬補?。?/strong>在很多情況下,可以使用掃描工具在開發階段發現所有已知漏洞,但由于資源和上線周期的壓力,沒有辦法修復所有漏洞,帶病上線是常有的事情。借助 RASP,企業可以放心地發布產品。RASP 就像一個大的虛擬補丁將所有漏洞都在線修復。系統可以安全運行,在資源允許的情況下再修復和更新這些漏洞。
快速緩解攻擊:從另外一個角度看,使用 RASP 能快速定位漏洞,這得益于 SAST 的先期掃描結果,RASP 和 SAST 的結合使用對于大型企業尤其重要,快速修復漏洞能節約大量時間,大幅降低漏洞帶來的風險。這是 WAF 所無法提供的。
誠然,WAF 是一個值得尊敬的后期安全保護工具,但是它先天的缺點導致公司不得不考慮其他選擇。使用 RASP 解決方案能根本性提升應用程序的自動免疫能力,即便黑客攻擊已滲入應用程序內部,也能從容應對。隨著黑客技術日趨復雜,應用程序的安全性也必須發展提高。RASP 和 SAST 的組合,可以說是當今最好的應用安全保護組合。
RASP 提供商
RASP 是一個新興的概念,現在能真正提供 RASP 服務的公司并不多,惠普是一個比較出名的大廠商有。但在國內只有一家安全初創企業 OneASP 在做 RASP 的產品,這也是一款擁有完全知識產權的國產安全產品。OneRASP(實時應用自我保護)是一種基于云的應用程序自我保護服務, 可以為軟件產品提供實時保護,使其免受漏洞所累。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11159.html
摘要:計算結果根據計算公式緩解率安全措施的花銷安全措施的花銷,在和緩解率基本相等的情況下,的投資回報率要遠高于。對于中小企業來說,是投資回報率比較高的選擇。 前言 任何企業對投資都有回報的要求,回報可能是直接的「利潤」,達到短期、長期的目標,或者通過投資減少損失。因此每個項目的決策者在每筆投資前都要衡量 ROI,證明該投資能達到的效果和收益,以便在項目結束時可以考核和衡量項目是否成功。 同時...
摘要:是一個有趣的實例,他們使用的是自動化技術,同時結合了自動化工作流程進行人工檢查,從而保證零誤報率,且業務邏輯測試達到的類覆蓋率。 而今,大多數應用都依賴于像入侵防護系統(Instrusion Prevention System)和 Web 應用防火墻(Web Application Firewall,以下全文簡稱 WAF)這樣的外部防護。然而,許多這類安全功能都可以內置到應用程序中,實...
摘要:在十年未變安全,誰之責上中,我們介紹了安全領域的現狀和新的解決方案,那么究竟是什么它在應用安全多變的今天又能帶給我們什么樣效果我們將通過何種方式才能打贏這場與黑客之間的攻堅戰呢應用安全行業快速發展的數十年間,出現了許多巨變。 在 十年未變!安全,誰之責?(上)中,我們介紹了安全領域的現狀和RASP新的解決方案,那么 RASP 究竟是什么?它在應用安全多變 的今天又能帶給我們什么樣效果?...
摘要:曾提出一份報告,針對機構應該如何優先管理積極風險的問題,提出了考慮將作為企業應用程序安全的主流選擇的建議。的設計目的是實時消除惡意應用程序行為,并發出警報來提醒組織優先處理關鍵事務。 Aberdeen 曾提出一份報告,針對機構應該如何優先管理積極風險的問題,提出了考慮將 Runtime Application Self-Protection (RASP) 作為企業應用程序安全的主流選擇...
摘要:如今,多樣化的攻擊手段層出不窮,傳統安全解決方案越來越難以應對網絡安全攻擊。自適應安全平臺集成了預測預防檢測和響應的能力,為您提供精準持續可視化的安全防護。 近一年來,Docker 已經逐漸成為 container 界的事實標準,成為技術人員不可或缺的技能之一,就像 Docker 宣稱的那樣,「Build,Ship,and Run Any App,Anywhere」,容器極大簡化了環境...
閱讀 854·2023-04-26 00:11
閱讀 2655·2021-11-04 16:13
閱讀 2101·2021-09-09 09:33
閱讀 1470·2021-08-20 09:35
閱讀 3816·2021-08-09 13:42
閱讀 3603·2019-08-30 15:55
閱讀 1037·2019-08-30 15:55
閱讀 2218·2019-08-30 13:55