企業是否需要一款獨立的RASP產品?
責編:gltian |2024-05-16 11:02:50在應用安全領域,RASP技術是一種基于Web應用邏輯、行為和上下文實現代碼級安全檢測的應用運行時安全檢測能力。對于很多已經部署了WAF、HIDS等應用防護措施的企業組織,是否還需要一款獨立的RASP產品呢?筆者認為,相較于WAF、HIDS等應用防護措施,獨立架構的RASP擁有可批量部署、充分測試、實時檢測等特點,能夠更加深度地解決企業應用軟件運行時的安全風險,同時最大程度降低對企業業務開展的影響。
RASP建設的必要性
應用程序不僅負責處理敏感數據,而且常常是安全體系中的薄弱環節,使得整個企業面臨潛在的重大風險。在此背景下,傳統的安全措施往往無法提供足夠的應用層保護,因此RASP建設的迫在眉睫。
據統計,在一系列實戰化的攻防演練中,超過70%的得分最終來源于利用應用系統的漏洞。因此可見應用系統漏洞的廣泛存在和利用率高,使得企業面臨著嚴峻的安全挑戰。
??漏洞積壓越來越多
越來越多的企業開始向DevOps模式靠攏,快速和持續的交付正在加快業務的拓展,但隨之而來的安全訴求卻得不到及時響應。研發團隊經常在代碼可能存在安全風險的情況下,將其推入生產環境,結果造成更多漏洞積壓,且上線后安全訴求因排期等問題無法修復。隨著企業積壓的漏洞數量逐漸增加,消除這些漏洞積壓往往給其軟件應用程序開發方面的資金和生產力造成損失。漏洞持續累加,安全如何保障?如果您部署RASP,絕大多數漏洞無需開發人員修復即可自行免疫,在效率提升的前提下還能減少支出,提高安全防護效率。
??0Day、內存馬攻擊難以防范
對于0day、內存馬此類新型攻擊,主要原因在于前者難防范,后者難檢測。應用層防護目前有部署在網絡邊界的WAF設備,基于特征分析原理,針對0Day攻擊這一類不存在于規則庫中的攻擊無法做到實時防御,無法提前預知規則去防御。而在內存馬防護上,主機側的HIDS設備僅僅能基于特征掃描出部分已注入的內存馬,不具備攔截內存馬注入和清除內存馬的能力。RASP目前是業界公認的應對應用0Day和內存馬攻擊的有效手段,這可使您免于被這類型的新型攻擊困擾。
??企業應用資產難以全面掌握
當前企業內部的資產梳理以主機ip為維度,對于主機上存在多個應用實例的情況檢測能力有限,難以實現業務視角下以應用實例為粒度去梳理組件資產、API資產等,以業務為核心,應用實例為粒度的資產盤點體系有待建設,RASP為實現此場景提供了可能,它植于應用內容,對應用資產一目了然,這是應用安全水平提升的前提。
??API安全問題頻出
當前,API攻擊成為了黑客攻擊的新目標,通過惡意請求或其他手段獲取未授權的數據或對系統進行惡意操作,脆弱的API成為了攻擊者進入系統的門戶。攻擊者可以利用API漏洞繞過防火墻、入侵檢測系統等安全防護設備,從而對系統進行深入攻擊。RASP通過其位置優勢,可以發現應用內部的影子API、僵尸API等,為API安全添磚加瓦。
??供應鏈安全不容忽視
當前整個供應鏈中各個系統的安全水位參差不齊,部分外購系統的安全風險意識薄弱,業務中存在較多開源組件漏洞和潛在的0Day漏洞利用風險。對于這些持續積壓的在線漏洞,目前沒有較為有效的排查和修復方法,攻擊者極易利用這一安全盲區展開漏洞利用。一旦部署RASP,即使第三方軟件自身沒有安全防護能力,它也可以幫助第三方外采系統提供自免疫功能,從而減少演練攻擊失分或是免于實際攻擊。
??老舊業務系統中的漏洞難以防御
傳統架構的老舊業務核心系統已經無滿足業務快速創新、技術架構靈活擴展及網絡安全等多方面要求。特別是一些關鍵業務系統,由于業務對這類系統的依賴性太強,在修復漏洞的過程中會影響系統運行,進而影響到業務正常運轉。RASP可以在代碼無人維護或是業務過保期間為您提供運行時安全防護能力,解您后顧之憂。
??弱密碼屢禁不止
近幾年來,弱密碼依然是攻防演練、重大安全事件中出現非常多的問題,也是最容易被忽視的問題之一。即使風險眾所周知,但仍有人使用強度不高、易于猜測的密碼,歸根結底是員工安全意識不高,且企業防范措施不盡如人意。這也就導致了攻擊者通過弱密碼獲得入口后,可以在企業網絡內部進行橫向移動,尋找更多的漏洞和敏感數據。RASP可有效發現應用上弱密碼,有效支持整改,降低安全風險。
??生產運行時安全問題頻出
DevOps 安全團隊和持續交付團隊往往獨立運行,信息交互頻繁且效率低導致質量難以保證,安全問題整改的計劃外工作量大。與此同時,溝通工作也多依賴于人工,自動化工具僅僅起到檢測執行作用,造成信息不對稱和溝通不及時。雖然供應鏈安全、DevOps等理念被廣泛接受,但依然有大量的漏洞和風險被帶入生產環境,運行時安全還需RASP來守護。
??云上應用防護薄弱
云安全建設中,傳統安全設備WAF等與云環境中邊界模糊、業務變化快的特性不再匹配。云安全建設需要更加契合云上業務虛擬化、資源池化、自動化特點的安全防護產品。同時,云數據中心架構中的業務和組件通常分布在多個虛擬機/容器中,業務運行由多臺服務器協同完成的模式造成了東西向流量增長。東西流量取代南北流量,占比90%,需要保證東西向流量的安全問題。這正是RASP的用武之地。
??安全產品難以有效聯動
由于各安全產品之間接口不統一、安全數據標準不一致等問題,各安全保護環節之間缺乏有效的對接與聯動。這導致了安全保護體系形成信息孤島,使得各個環節無法協同作戰。在應對日益復雜和智能化的威脅形勢下,單一的安全系統或產品已無法提供全方位的保護。RASP可以與WAF、HIDS、SOC平臺、API網關、CNAPP等產品、方案有效聯動,提升安全水位。
針對以上痛點,RASP方案通過在應用內部直接集成,提供了從內而外的防護,使應用程序能夠在運行時實時識別和防御威脅,從而保障業務連續性和穩定性的前提下又具備了內生的安全能力。這種應用內生安全策略不僅加強了安全防護的深度和廣度,并與應用緊密結合,能夠在不干擾業務流程的前提下,提供高效的安全響應。
大量的應用實踐證明,RASP技術在應對應用0Day、內存馬等新型攻擊的時候具有難以替代的優勢,并能在應用安全資產盤點、API安全能力提升、老舊業務風險治理、第三方外采系統內風險防護、云上應用防護等層面發揮重要作用。
RASP建設應該多部門協同聯動
有效部署和運營RASP通常需要安全部門的牽頭,與應用研發部門和運維部門緊密協作。在這種組織架構中,安全部門負責制定RASP的整體策略并監控安全運營,而研發部門則負責將RASP技術集成到應用開發生命周期中,確保安全措施與應用功能的無縫對接。
此外,與應用部門的充分溝通和協作是至關重要的,尤其在進行安全測試和落地實施時,因為應用層與主機層或容器層的業務需求和安全需求可能不完全對應。如果貿然由運維部門單獨推進RASP部署,而未經過充分的應用研發部門測試和驗證,可能會導致業務流程中斷或數據安全風險。
在一些特殊的組織架構中,如研發部門擁有自己的安全團隊或安全BP,RASP的推廣及運營可能會由研發部門的安全團隊或安全BP直接負責推進。這種模式不僅有利于快速響應安全事件,還能更有效地實施安全更新,因為研發安全團隊通常對應用的安全需求和潛在風險有更深入的理解。無論采用哪種組織架構,關鍵在于確保各部門之間的高效溝通與協作,以便RASP解決方案可以全面并有效地保護應用程序免受安全威脅。
RASP可與多款產品、方案聯動
在構建一個全面的網絡安全策略時,RASP不僅作為獨立防護層存在,還能與其他安全產品和平臺高效聯動,形成更為嚴密的安全防線。以下是RASP聯動各個產品和場景的具體應用:
1. 聯動安全運營中心(SOC):RASP能夠實時監控應用程序的安全事件,并將關鍵的安全警報和事件詳情上報給SOC。這種實時數據的整合使得SOC能夠快速響應潛在的安全威脅,優化整個組織的安全響應策略,從而實現安全產品間的有效聯動。
2. 上報API信息至API管理平臺:通過將RASP檢測到的API調用信息上報到API平臺,可以極大地增強API平臺對流量的管理能力和API識別的準確性。這種信息共享不僅有助于收斂和優化API詳細信息,還能加強數據流轉的監控和管控,確保數據安全和合規性。
3. 與Web應用防火墻(WAF)協同:RASP與WAF的聯動為Web應用提供了一個多層次的安全防護網絡。通過這種協同,RASP能夠在應用層捕捉到的威脅信息可以用來增強WAF的防護策略,反之亦然,WAF在網絡層面攔截到的攻擊信息也可以被用來調整RASP的防護配置。這樣的相互協作不僅提升了防御效率,也實現了從數據層到應用層的全方位安全保護。
4. 聯動主機安全產品HIDS:RASP可以與HIDS實時共享應用程序的行為信息和事件日志。RASP能夠捕獲應用程序的執行上下文、輸入輸出數據等信息,而HIDS可以通過分析這些信息,結合對WEB應用進程的行為檢測來分析是否存在潛在的入侵行為。當HIDS檢測到異常行為或潛在的入侵時,它可以通過與RASP的聯動,將該信息傳遞給RASP進行進一步的處理和響應。RASP可以根據接收到的信息,動態地調整應用程序的防護策略。以防止攻擊者繼續利用已知的漏洞或攻擊方式。在產品部署方面也有優勢,利用HIDS的進程采集能力,對web應用進程自動釋放RASP檢測探針實現Web應用安全能力的快速建設。總而言之,RASP可與HIDS聯防聯控,但并不是一個安全賽道。
5. 賦能CNAPP云原生整體防護平臺:云應用通常采用微服務架構,RASP可以采集到Web應用在運行過程中提供實時的入侵檢測和威脅阻斷能力,加強東西向流量的安全治理。同時對于混合云場景,RASP基于應用級別的安全策略管理可以實現安全策略的統一,賦能CNAPP在應用層面的安全建設。可以說,RASP作為CNAPP的重要組成部分,成為了其點睛之筆。
RASP部署須充分測試
在實施RASP解決方案的初期階段,選擇一個適當的測試和部署區域是至關重要的。為了最大化效率和效果,建議首先從企業的互聯網環境開始,尤其是那些涉及到供應鏈軟件或者廣泛使用的開源軟件的部分。這些區域往往是外部攻擊的首要目標,由于其開放性和連通性,也是潛在安全漏洞的高發區。
互聯網環境通常包括面向客戶的應用程序和服務,這些系統直接暴露在外部網絡中,因此對安全防護的需求尤為迫切。通過在這些系統上首先部署RASP,組織可以快速地識別和修復那些可能被黑客利用的安全漏洞。此外,供應鏈軟件和開源軟件由于其復雜的依賴和頻繁的更新,常常帶來額外的安全挑戰。RASP的引入可以實時監控這些應用的行為,有效地防御可能通過這些軟件渠道發起的攻擊。
開始在這些關鍵區域進行RASP的測試和部署,不僅可以提升這些系統的安全性,還可以為后續在全組織范圍內的RASP實施提供寶貴的經驗和數據。這種逐步推廣的策略有助于確保每一步的成功,并允許IT和安全團隊調整和優化策略,以應對發現的具體挑戰和需求。
RASP具備高運營屬性
在討論RASP系統時,我們認識到其強大的實時分析能力是基于其與應用程序的深度集成。這種集成使RASP能夠有效地監控和響應應用程序行為。盡管RASP設計旨在最大限度地減少誤報,但在特殊情況下,如開發者采用非常規編碼實踐或程序展現出非預期行為時,誤報仍可能發生。因此,有效運營RASP平臺成為確保其持續有效性的關鍵環節。
為了有效運營RASP平臺,首先需要建立一個系統的監控和響應機制。定期的策略審查和更新至關重要,這不僅能確保安全策略與應用的發展保持同步,還有助于調整策略以應對誤報。配置管理也至關重要,它需要細致考慮應用的特性和業務需求,以定制適合的安全策略,并在不干擾正常業務流程的同時,最大限度地減少誤報的發生。
經過精心配置和持續優化,一旦RASP平臺運營穩定,誤報率將被降至極低。在這種環境下,每個觸發的安全告警都不應被忽視,因為它們很可能指向實際的安全漏洞或正在進行的攻擊。由于RASP的實時監控和分析能力,它能夠捕捉到微妙的異常行為,這些行為在其他安全系統中可能被忽視。
每個告警都應被視為一個重要的安全信號,需要通過深入分析來確認其性質。這不僅包括驗證告警的有效性,還需評估潛在的安全影響。這種分析對于防止未來的攻擊尤為關鍵,因為它可以揭示攻擊者的行為模式和技術,幫助安全團隊提前識別和阻斷新的威脅向量。
此外,每次告警的深入研究也為RASP的持續改進提供了寶貴的輸入。通過分析告警的根本原因,團隊可以進一步細化安全策略,調整RASP配置以更好地適應應用的變化和新出現的安全挑戰。這種迭代過程不僅提升了RASP的效率和準確性,也增強了整個企業的安全防御能力。
因此,每個由RASP產生的告警都值得被當作一個學習和改進的機會,無論是對付潛在的安全威脅還是作為提升系統性能的反饋。這種嚴密的分析和響應機制是高效運營RASP平臺的核心,確保企業能夠在維持正常業務運營的同時,保障最高水平的安全。
來源:安全牛