好文赏析：一文读懂运行时应用程序自我保护（RASP）

RASP作为一种新型的、有效的、实时的应用保护手段，正被越来越多的企业使用，本文用浅显易懂的文字讲解了RASP技术、RASP与WAF的关系，并提供了应用解决方案，快来阅读吧~

DevSecOps流程与RASP

    越来越多的组织正在使用DevOps来改进企业应用程序的开发、部署和维护。DevOps是有积极意义的，但是也会引入安全风险。

    DevSecOps是一种新的流程方案，通过将安全性整合到DevOps流程中，帮助企业在产品开发的生命周期早期就能识别和缓解各种安全问题。然而，在安全和开发团队之间仍然存在着一些障碍。由于软件开发的竞争性，组织需要闪电般的快速交付速度来保持竞争力。快速的交付时间会导致DevOps和SecOps团队的分裂。一些开发人员只关心应用程序开发，而不认为安全是他们的责任之一，SecOps团队的主要职责只是在生产环境中扫描漏洞。但是，将思维模式转变到安全上，将安全推到构建过程的最前沿，是每个人的责任。

    保护应用程序不受攻击的一种方法是通过实时监测和阻止攻击来保护自己。实时阻塞正是所谓的“运行时程序自我保护”（Runtime Application Self-Protection，RASP）技术所做的。

    运行时自我保护（RASP）是一种相对较新的方法。虽然较新，但是它可以帮助缩小差距，提供运行时应用级别的保护，并为开发人员提供有关易受攻击的代码行的信息。

什么是运行时应用程序自我保护（RASP）？

运行时应用程序自我保护（RASP）是一种在应用上运行的技术，在应用程序运行时发挥作用，旨在实时检测针对应用程序的攻击。

一旦应用程序开始运行，RASP可以通过分析应用程序的行为和这种行文的上下文来保护它不受恶意注入或行为的影响。通过使用应用程序不断地监控其行为，攻击可以在不需要人工干预的情况下立即被识别和缓解。

运行时应用程序自我保护（RASP）将安全性整合到运行中的应用程序中，无论该应用程序在哪个服务器上。它监测从应用程序到系统的所有请求，确保他们是安全的，并在应用程序中直接验证数据请求。Web和非Web应用程序都可以受到RASP的保护。因为RASP的检测和保护功能运行在应用程序上，所以这项技术并不影响应用程序的设计。

运行时应用程序自我保护（RASP）如何工作？

PART.1

当应用程序中发生安全事件时，RASP会控制应用程序并修复问题。在诊断模式下，RASP只会在出现问题时产生警报。在防护模式下，它会尝试解决这个问题。例如，面对像是SQL注入攻击的行为，它可以阻止对数据库的指令执行。RASP可以采取的其他动作包括结束用户的会话，停止应用程序的执行，或向用户或安全人员发出警报。

PART.2

软件开发人员可以通过应用程序源代码中的函数调用来访问RASP技术，这种方法更为准确，因为开发人员可以指定他们想要保护应用程序的那些部分，比如登录、数据库查询和管理管理。或者，软件开发人员通过获取一个完整的应用程序，并将RASP打包，使应用程序通过按一个按钮就能得到保护。无论采用什么方案安装RASP，其结果就像是在应用程序的运行时上下文装备了一个Web应用程序防火墙。这种与应用程序的紧密连接意味着，RASP可以根据应用程序的安全需求进行微调。

运行时应用程序自我保护（RASP）的主要功能是：

• 应用程序保护：在不中断合法应用程序使用的情况下，准确地阻止对应用程序漏洞的利用。
• 应用程序威胁情报：为安全团队提供直接到代码的可视性，了解谁在攻击、他们使用的技术以及他们的目标应用程序。

PART.3

运行时应用程序自我保护（RASP）在集成Web或非Web应用程序时分析其行为和上下文，保护软件不受恶意输入。RASP通过应用程序不断监控其行为，在不需要人工干预下，协助实时识别和减轻攻击。

运行时应用程序自我保护与应用程序运行时环境集成，无论它位于或在何处创建，例如服务器、虚拟机、容器，或者无服务器功能，都能与应用程序的运行时环境一起工作。

此外，RASP 的检测和保护功能不影响应用程序的体系结构、设计和实现。RASP 通过检查应用程序中特定的、具有战略意义的堆栈位置上的所有请求，确保漏洞不被利用。它还可以直接在应用程序内验证数据请求。因此，很容易在应用程序内部提供运行时保护，保护它免受威胁。

传统的安全工具，如虚拟专用网络(VPN)、WEB 应用防火墙和网络访问控制(NAC)，配置起来非常耗时，并且，通常情况下，开发人员都不参与这些配置。RASP 是可以让开发人员参与安全过程，并保护他们在运行时创建的应用程序的一种直接方式。

这意味着经过认证的用户拥有广泛的网络访问权限，增加了受侵害区域的范围，并使大范围的入侵成为可能。即使恶意人员渗透了防火墙和其他外围软件，RASP 也可以帮助保护应用程序。

 当攻击发生时，RASP 可以阻止攻击，但你可以配置它来标记攻击。当可用性是一个重要的指标时，标记和生成警报而不是防止攻击就显得尤为重要。可以通过定义规则或策略来决定阻止或允许什么。这就是为什么你需要定义这些策略来避免正确地阻止合法的流量。

运行时应用程序自我保护（RASP）的好处是什么？

运行时应用程序自我保护(RASP)是独特的，因为它从软件内部运行，而不是作为一个网络设备。这使得 RASP 能够利用正在运行的应用程序或 API 中可用的所有上下文信息，如代码、框架配置、 应用服务器配置、库和框架、运行时数据流、后端连接等。更多的上下文意味着更多的保护和更好的准确性。

运行时应用程序自我保护(RASP)通过专注于单个应用程序而区别于其他网络安全解决方案。由于这种关注，它可以提供以下几个安全好处：

• 上下文感知

当RASP 检测到潜在的威胁时，它拥有应用程序当前状态的附加上下文信息，包括哪些数据和代码受到了影响。此上下文有助于调查、确定优先级并修复潜在的漏洞，因为它显示了暴露在代码中的位置，以及如何充分利用它。

• 应用层攻击的可见性

RASP 在与特定应用程序集成时，在应用层具有广泛的可见性。这种应用层可见性、洞察力和知识可以帮助检测更广泛的潜在威胁和漏洞。

• 0Day防护

虽然 RASP 可以使用签名检测攻击，但它并不局限于这种方法。RASP 可以通过检测和响应受保护应用程序内的异常行为来检测和防止零日攻击。

• 低误报率

RASP 深入了解应用程序的内部结构，包括能够看到潜在的攻击如何影响应用程序的执行。这大大提高了RASP 区分实际攻击和降低误报率的能力。这种误报的减少减轻了安全团队的负担，使他们能够专注于真正的威胁。

• 易于维护

RASP的操作基于应用洞察，而不是交通规则、学习或黑名单。SOC 团队重视可靠性，CISOs 重视资源节约。此外，应用程序无论走到哪里都是自我保护和安全的。

• 云支持

RASP 被设计成作为其保护应用程序的一部分进行集成和部署。这使得受保护的应用程序可以部署在任何它们可以运行的地方，包括云。

• DevSecOps支持

RASP解决方案旨在作为DevOps持续集成和部署(CI/CD)管道的一部分使用。这简化了 RASP 的部署，并支持 DevSecOps 操作。

使用运行时应用程序自我保护(RASP)解决方案的原因

• RASP技术通过监视输入和阻止可能允许攻击的输入来增强应用程序的安全性。它还保护运行时环境不受未经授权的更改和篡改。
• RASP可以防止被利用，并可以阻止任何显示恶意行为的流量，如 SQL 注入、漏洞和机器人。此外，当它检测到威胁时，它可以注销用户。它还可以向安全人员发出警报。
• RASP可以直接嵌入到应用中。因此，开发人员很容易部署，也能很自然地监控应用程序行为并保护自身。此外，它还能高精度地拦截攻击，区分攻击和合法请求，减少误报。
• 当正确使用 RASP时，应用程序已经被设计为可以自我保护。这对安全团队是有益的，因为它允许安全工程师只关注已经报告的问题。
• RASP 可以更好地防止零日攻击(软件漏洞被发现当天发生的网络攻击)，也可以在应用程序的补丁长时间不可用时提供短期修复。
• RASP 提供更低的资本支出和运营成本。这是因为 RASP 解决方案快速有效地阻止攻击，直到底层漏洞被修复。因此，它的部署和操作成本比 Web 应用程序防火墙(WAF)要低得多。此外，RASP 技术观察应用程序正在做什么，因此不需要同样的调优、模型构建、验证或人力资源。
• RASP 已经为云计算和 DevOps 做好了准备。RASP 非常适合敏捷开发、云应用和 web 服务。它通过不需要返工的保护来加速敏捷开发，不像 WAF 解决方案需要不断调优。此外，RASP解决方案观察实际的应用程序行为，因此不需要重新校准统计和其他模型。
• RASP 提供了前所未有的应用程序监控。通过控制整个应用，RASP 简化了应用安全监控。当应用程序的相关部分被访问或满足其他条件时，RASP 策略可以生成日志事件。

RASP 和 WAF 如何互补提高安全性

运行时应用程序自我保护(RASP)和 Web 应用程序防火墙(WAF)是互补的应用程序安全解决方案。WAF 通过在 Web 应用程序到达目标应用程序之前过滤许多对 Web 应用程序的威胁，提供第一道防线。RASP 利用对这些应用程序的深刻可见性的上下文来识别和阻止Web 应用程序防火墙的群集攻击。这种组合可以抵御更复杂的威胁，同时将容易检测到的攻击的影响最小化。

运行时应用程序自我保护(RASP)与传统防火墙有一些相似之处。例如，它检查流量和内容，并可以终止会话。然而，防火墙是一种外围技术，它们无法看到外围发生了什么。WAF 不知道应用程序内部发生了什么。而且，随着云计算的兴起和移动设备的普及，环境的渗透性也越来越强。这降低了通用防火墙和 Web 应用防火墙(WAFs)的有效性。因此，将RASP与WAF结合使用，可以更全面、更高效地保护应用安全

2022年11月1日，悬镜安全正式上线了云鲨RASP SaaS（以下简称“云鲨SaaS”），凭借全球首个轻量级代码疫苗技术，赋能应用内生主动安全免疫能力，构筑下一代积极防御体系，筑牢企业核心资产防护“最后一公里”。截止到11.20日已经为200多个应用保驾护航，好评如潮~

悬镜云鲨 SaaS 采用 Attach 的方式附随应用一起启动，像疫苗一样将安全免疫能力注入到应用程序中，而无需修改源代码，降低了安全与研发的沟通成本。云鲨 RASP 内置了多套针对不同场景适配的缺省规则并支持自定义，为企业提供了开箱即用以及高度可定制的应用安全体验。更多尽在：https://rasp.xmirror.cn/