安全賽道百花齊放,百家爭鳴,這是行業(yè)欣欣向榮的好景象,也讓術(shù)業(yè)有專攻的安全新銳公司得以嶄露頭角。同時,這也符合安全行業(yè)的一個常識性規(guī)律,很多業(yè)內(nèi)人士認為,大創(chuàng)新靠小公司,因為他們不怕掀桌子,小創(chuàng)新靠大公司,因為他們致力于保持領(lǐng)先優(yōu)勢,但很難下定決心來進行顛覆性創(chuàng)新,這樣不免動了自己既有的蛋糕。
這種現(xiàn)象也體現(xiàn)在應(yīng)用安全防護領(lǐng)域,很多主機安全HIDS廠商試圖引導用戶篤定“一個探針”,雖然這種方式從理論上講更方便更簡易,但所謂的超融合概念將多種安全能力至于同一客戶端,復雜性和潛在風險會成倍增加,由于前期為了“方便”,在沒有充分測試的前提下,利用主機安全產(chǎn)品批量部署RASP,風險被滯后,安全部門和業(yè)務(wù)部門的摩擦似乎很難避免。
在應(yīng)用安全賽道,即使有了WAF、HIDS等,但依然需要一款獨立的RASP產(chǎn)品,原因很簡單,WAF很容易被繞過,HIDS則在應(yīng)用層力所不及。最近,主流主機廠商紛紛推出獨立RASP產(chǎn)品似乎也佐證了這一論點。相較于主機安全衍生出的RASP產(chǎn)品,獨立架構(gòu)的RASP也擁有批量部署、無感部署的能力,傾向于哪種方案,事實已給出答案,目前金融、能源、運營商等示范性行業(yè)紛紛專項購買RASP產(chǎn)品便是最好的證明。當然,這種購買部署都建立在充分測試、充分驗證的基礎(chǔ)上。
RASP建設(shè)迫在眉睫
隨著企業(yè)日益依賴于數(shù)字化應(yīng)用系統(tǒng)來驅(qū)動關(guān)鍵業(yè)務(wù)操作,這些系統(tǒng)自然成為攻擊者的首選目標。應(yīng)用程序不僅負責處理敏感數(shù)據(jù),而且常常是安全體系中的薄弱環(huán)節(jié),使得整個企業(yè)面臨潛在的重大風險。在此背景下,傳統(tǒng)的安全措施往往無法提供足夠的應(yīng)用層保護,因此RASP建設(shè)的迫在眉睫。北京邊界無限科技有限公司(邊界無限,BoundaryX)創(chuàng)始人、CEO陳佩文表示,通過在應(yīng)用內(nèi)部直接集成,RASP提供了從內(nèi)而外的防護,使應(yīng)用程序能夠在運行時實時識別和防御威脅,從而保障業(yè)務(wù)連續(xù)性和穩(wěn)定性的前提下又具備了內(nèi)生的安全能力。這種應(yīng)用內(nèi)生安全策略不僅加強了安全防護的深度和廣度,并與應(yīng)用緊密結(jié)合,能夠在不干擾業(yè)務(wù)流程的前提下,提供高效的安全響應(yīng)。在選擇RASP產(chǎn)品時,其穩(wěn)定性和可靠性是決定性因素,它們直接影響到企業(yè)運營的效率和客戶對品牌的信任。只有高效穩(wěn)定且深度集成的RASP產(chǎn)品才能確保企業(yè)在面對日益復雜的威脅時能夠保持持續(xù)的防護與支持。
RASP可解決多項痛點頑疾
據(jù)統(tǒng)計,在一系列攻防演練中,數(shù)據(jù)顯示超過70%的得分最終來源于利用應(yīng)用系統(tǒng)的漏洞。因此可見應(yīng)用系統(tǒng)漏洞的廣泛存在和利用率高,使得企業(yè)面臨著嚴峻的安全挑戰(zhàn)。
? 您是否為漏洞積壓越來越多而頭疼?
越來越多的企業(yè)開始向DevOps模式靠攏,快速和持續(xù)的交付正在加快業(yè)務(wù)的拓展,但隨之而來的安全訴求卻得不到及時響應(yīng)。研發(fā)團隊經(jīng)常在代碼可能存在安全風險的情況下,將其推入生產(chǎn)環(huán)境,結(jié)果造成更多漏洞積壓,且上線后安全訴求因排期等問題無法修復。隨著企業(yè)積壓的漏洞數(shù)量逐漸增加,消除這些漏洞積壓往往給其軟件應(yīng)用程序開發(fā)方面的資金和生產(chǎn)力造成損失。漏洞持續(xù)累加,安全如何保障?如果您部署RASP,絕大多數(shù)漏洞無需開發(fā)人員修復即可自行免疫,在效率提升的前提下還能減少支出,提高安全防護效率。
? 您是否受過0Day、內(nèi)存馬的攻擊?
對于0day、內(nèi)存馬此類新型攻擊,主要原因在于前者難防范,后者難檢測。應(yīng)用層防護目前有部署在網(wǎng)絡(luò)邊界的WAF設(shè)備,基于特征分析原理,針對0Day攻擊這一類不存在于規(guī)則庫中的攻擊無法做到實時防御,無法提前預(yù)知規(guī)則去防御。而在內(nèi)存馬防護上,主機側(cè)的HIDS設(shè)備僅僅能基于特征掃描出部分已注入的內(nèi)存馬,不具備攔截內(nèi)存馬注入和清除內(nèi)存馬的能力。RASP目前是業(yè)界公認的應(yīng)對應(yīng)用0Day和內(nèi)存馬攻擊的有效手段,這可使您免于被這類型的新型攻擊困擾。
? 您是否對自身的應(yīng)用資產(chǎn)一清二楚?
當前企業(yè)內(nèi)部的資產(chǎn)梳理以主機ip為維度,對于主機上存在多個應(yīng)用實例的情況檢測能力有限,難以實現(xiàn)業(yè)務(wù)視角下以應(yīng)用實例為粒度去梳理組件資產(chǎn)、API資產(chǎn)等,以業(yè)務(wù)為核心,應(yīng)用實例為粒度的資產(chǎn)盤點體系有待建設(shè),RASP為實現(xiàn)此場景提供了可能,它植于應(yīng)用內(nèi)容,對應(yīng)用資產(chǎn)一目了然,這是應(yīng)用安全水平提升的前提。
? 您是否苦惱于API安全問題頻出?
當前,API攻擊成為了黑客攻擊的新目標,通過惡意請求或其他手段獲取未授權(quán)的數(shù)據(jù)或?qū)ο到y(tǒng)進行惡意操作,脆弱的API成為了攻擊者進入系統(tǒng)的門戶。攻擊者可以利用API漏洞繞過防火墻、入侵檢測系統(tǒng)等安全防護設(shè)備,從而對系統(tǒng)進行深入攻擊。RASP通過其位置優(yōu)勢,可以發(fā)現(xiàn)應(yīng)用內(nèi)部的影子API、僵尸API等,為API安全添磚加瓦。
? 您是否發(fā)現(xiàn)丟分往往出自第三方外采系統(tǒng)?
當前整個供應(yīng)鏈中各個系統(tǒng)的安全水位參差不齊,部分外購系統(tǒng)的安全風險意識薄弱,業(yè)務(wù)中存在較多開源組件漏洞和潛在的0Day漏洞利用風險。對于這些持續(xù)積壓的在線漏洞,目前沒有較為有效的排查和修復方法,攻擊者極易利用這一安全盲區(qū)展開漏洞利用。一旦部署RASP,即使第三方軟件自身沒有安全防護能力,它也可以幫助第三方外采系統(tǒng)提供自免疫功能,從而減少演練攻擊失分或是免于實際攻擊。
? 您的老舊業(yè)務(wù)系統(tǒng)是否也存在漏洞無法防御?
傳統(tǒng)架構(gòu)的老舊業(yè)務(wù)核心系統(tǒng)已經(jīng)無滿足業(yè)務(wù)快速創(chuàng)新、技術(shù)架構(gòu)靈活擴展及網(wǎng)絡(luò)安全等多方面要求。特別是一些關(guān)鍵業(yè)務(wù)系統(tǒng),由于業(yè)務(wù)對這類系統(tǒng)的依賴性太強,在修復漏洞的過程中會影響系統(tǒng)運行,進而影響到業(yè)務(wù)正常運轉(zhuǎn)。RASP可以在代碼無人維護或是業(yè)務(wù)過保期間為您提供運行時安全防護能力,解您后顧之憂。
? 您是否憂心于弱密碼屢禁不止?
近幾年來,弱密碼依然是攻防演練、重大安全事件中出現(xiàn)非常多的問題,也是最容易被忽視的問題之一。即使風險眾所周知,但仍有人使用強度不高、易于猜測的密碼,歸根結(jié)底是員工安全意識不高,且企業(yè)防范措施不盡如人意。這也就導致了攻擊者通過弱密碼獲得入口后,可以在企業(yè)網(wǎng)絡(luò)內(nèi)部進行橫向移動,尋找更多的漏洞和敏感數(shù)據(jù)。RASP可有效發(fā)現(xiàn)應(yīng)用上弱密碼,有效支持整改,降低安全風險。
? 您是否注意到DevOps搞了但生產(chǎn)運行時安全問題依然頻出?
DevOps 安全團隊和持續(xù)交付團隊往往獨立運行,信息交互頻繁且效率低導致質(zhì)量難以保證,安全問題整改的計劃外工作量大。與此同時,溝通工作也多依賴于人工,自動化工具僅僅起到檢測執(zhí)行作用,造成信息不對稱和溝通不及時。雖然供應(yīng)鏈安全、DevOps等理念被廣泛接受,但依然有大量的漏洞和風險被帶入生產(chǎn)環(huán)境,運行時安全還需RASP來守護。
? 您的云上應(yīng)用是否也是一片防護空白?
云安全建設(shè)中,傳統(tǒng)安全設(shè)備WAF等與云環(huán)境中邊界模糊、業(yè)務(wù)變化快的特性不再匹配。云安全建設(shè)需要更加契合云上業(yè)務(wù)虛擬化、資源池化、自動化特點的安全防護產(chǎn)品。同時,云數(shù)據(jù)中心架構(gòu)中的業(yè)務(wù)和組件通常分布在多個虛擬機/容器中,業(yè)務(wù)運行由多臺服務(wù)器協(xié)同完成的模式造成了東西向流量增長。東西流量取代南北流量,占比90%,需要保證東西向流量的安全問題。這正是RASP的用武之地。
? 您是否發(fā)現(xiàn)安全產(chǎn)品上了一大堆但難以有效聯(lián)動?
由于各安全產(chǎn)品之間接口不統(tǒng)一、安全數(shù)據(jù)標準不一致等問題,各安全保護環(huán)節(jié)之間缺乏有效的對接與聯(lián)動。這導致了安全保護體系形成信息孤島,使得各個環(huán)節(jié)無法協(xié)同作戰(zhàn)。在應(yīng)對日益復雜和智能化的威脅形勢下,單一的安全系統(tǒng)或產(chǎn)品已無法提供全方位的保護。RASP可以與WAF、HIDS、SOC平臺、API網(wǎng)關(guān)、CNAPP等產(chǎn)品、方案有效聯(lián)動,提升安全水位。
針對以上痛點,邊界無限推出了基于RASP技術(shù)的靖云甲ADR應(yīng)用檢測與響應(yīng)系統(tǒng),助力客戶打造更完善的應(yīng)用安全防護體系,并與多種產(chǎn)品、方案響應(yīng),助力客戶建設(shè)高效的安全運營體系與縱深防御體系。
RASP建設(shè)應(yīng)該多部門協(xié)同聯(lián)動
有效部署和運營RASP通常需要安全部門的牽頭,與應(yīng)用研發(fā)部門和運維部門緊密協(xié)作。在這種組織架構(gòu)中,安全部門負責制定RASP的整體策略并監(jiān)控安全運營,而研發(fā)部門則負責將RASP技術(shù)集成到應(yīng)用開發(fā)生命周期中,確保安全措施與應(yīng)用功能的無縫對接。此外,與應(yīng)用部門的充分溝通和協(xié)作是至關(guān)重要的,尤其在進行安全測試和落地實施時,因為應(yīng)用層與主機層或容器層的業(yè)務(wù)需求和安全需求可能不完全對應(yīng)。如果貿(mào)然由運維部門單獨推進RASP部署,而未經(jīng)過充分的應(yīng)用研發(fā)部門測試和驗證,可能會導致業(yè)務(wù)流程中斷或數(shù)據(jù)安全風險。在一些特殊的組織架構(gòu)中,如研發(fā)部門擁有自己的安全團隊或安全BP,RASP的推廣及運營可能會由研發(fā)部門的安全團隊或安全BP直接負責推進。這種模式不僅有利于快速響應(yīng)安全事件,還能更有效地實施安全更新,因為研發(fā)安全團隊通常對應(yīng)用的安全需求和潛在風險有更深入的理解。無論采用哪種組織架構(gòu),關(guān)鍵在于確保各部門之間的高效溝通與協(xié)作,以便RASP解決方案可以全面并有效地保護應(yīng)用程序免受安全威脅。
One Agent是個偽命題
在討論將RASP與主機或容器安全解決方案集成時,經(jīng)常會出現(xiàn)一個問題:是否可以通過一個單一的Agent來同時管理主機層和應(yīng)用層的安全(即所謂的 OneAgent)。陳佩文表示,實際上,盡管主機或容器的安全Agent可以用于下發(fā)RASP的Agent,便于統(tǒng)一管理和部署,但重要的是要認識到,這兩個Agent在功能和作用上仍然是分離的。主機或容器的安全Agent主要負責策略下發(fā)和基礎(chǔ)監(jiān)控,而RASP的Agent專注于應(yīng)用層的實時分析和響應(yīng)內(nèi)部事件。因此,盡管這兩個Agent可能共享某些基礎(chǔ)設(shè)施和通信機制,但它們各自處理不同的安全需求,不能簡單地視為一個單一的Agent。在組織架構(gòu)中,為避免在職責劃分上出現(xiàn)混淆,建議逐步并謹慎地推進這些Agent的部署。通過這種穩(wěn)健的方法,可以有效的將部門間的職責劃分清楚,確保每個安全層面都能得到充分的關(guān)注和精確的配置。這種多Agent架構(gòu)允許每個層級的安全措施都是針對其特定環(huán)境和威脅模型定制的,從而提供最有效的保護。One Agent,“把雞蛋放在一個籃子里”,其復雜性和潛在風險都會大大增加,一旦出現(xiàn)問題,排查難度也會成倍增加,甚至可能出現(xiàn)單產(chǎn)品問題影響整個客戶端的極端情況。
RASP可與多款產(chǎn)品、方案聯(lián)動
陳佩文介紹說,在構(gòu)建一個全面的網(wǎng)絡(luò)安全策略時,RASP不僅作為獨立防護層存在,還能與其他安全產(chǎn)品和平臺高效聯(lián)動,形成更為嚴密的安全防線。以下是RASP聯(lián)動各個產(chǎn)品和場景的具體應(yīng)用:
1. 聯(lián)動安全運營中心(SOC):RASP能夠?qū)崟r監(jiān)控應(yīng)用程序的安全事件,并將關(guān)鍵的安全警報和事件詳情上報給SOC。這種實時數(shù)據(jù)的整合使得SOC能夠快速響應(yīng)潛在的安全威脅,優(yōu)化整個組織的安全響應(yīng)策略,從而實現(xiàn)安全產(chǎn)品間的有效聯(lián)動。
2. 上報API信息至API管理平臺:通過將RASP檢測到的API調(diào)用信息上報到API平臺,可以極大地增強API平臺對流量的管理能力和API識別的準確性。這種信息共享不僅有助于收斂和優(yōu)化API詳細信息,還能加強數(shù)據(jù)流轉(zhuǎn)的監(jiān)控和管控,確保數(shù)據(jù)安全和合規(guī)性。
3. 與Web應(yīng)用防火墻(WAF)協(xié)同:RASP與WAF的聯(lián)動為Web應(yīng)用提供了一個多層次的安全防護網(wǎng)絡(luò)。通過這種協(xié)同,RASP能夠在應(yīng)用層捕捉到的威脅信息可以用來增強WAF的防護策略,反之亦然,WAF在網(wǎng)絡(luò)層面攔截到的攻擊信息也可以被用來調(diào)整RASP的防護配置。這樣的相互協(xié)作不僅提升了防御效率,也實現(xiàn)了從數(shù)據(jù)層到應(yīng)用層的全方位安全保護。
4. 聯(lián)動主機安全產(chǎn)品HIDS:RASP可以與HIDS實時共享應(yīng)用程序的行為信息和事件日志。RASP能夠捕獲應(yīng)用程序的執(zhí)行上下文、輸入輸出數(shù)據(jù)等信息,而HIDS可以通過分析這些信息,結(jié)合對WEB應(yīng)用進程的行為檢測來分析是否存在潛在的入侵行為。當HIDS檢測到異常行為或潛在的入侵時,它可以通過與RASP的聯(lián)動,將該信息傳遞給RASP進行進一步的處理和響應(yīng)。RASP可以根據(jù)接收到的信息,動態(tài)地調(diào)整應(yīng)用程序的防護策略。以防止攻擊者繼續(xù)利用已知的漏洞或攻擊方式。在產(chǎn)品部署方面也有優(yōu)勢,利用HIDS的進程采集能力,對web應(yīng)用進程自動釋放RASP檢測探針實現(xiàn)Web應(yīng)用安全能力的快速建設(shè)??偠灾琑ASP可與HIDS聯(lián)防聯(lián)控,但并不是一個安全賽道。
5. 賦能CNAPP云原生整體防護平臺:云應(yīng)用通常采用微服務(wù)架構(gòu),RASP可以采集到Web應(yīng)用在運行過程中提供實時的入侵檢測和威脅阻斷能力,加強東西向流量的安全治理。同時對于混合云場景,RASP基于應(yīng)用級別的安全策略管理可以實現(xiàn)安全策略的統(tǒng)一,賦能CNAPP在應(yīng)用層面的安全建設(shè)。可以說,RASP作為CNAPP的重要組成部分,成為了其點睛之筆。
RASP部署須充分測試
在實施RASP解決方案的初期階段,選擇一個適當?shù)臏y試和部署區(qū)域是至關(guān)重要的。為了最大化效率和效果,建議首先從企業(yè)的互聯(lián)網(wǎng)環(huán)境開始,尤其是那些涉及到供應(yīng)鏈軟件或者廣泛使用的開源軟件的部分。這些區(qū)域往往是外部攻擊的首要目標,由于其開放性和連通性,也是潛在安全漏洞的高發(fā)區(qū)。
互聯(lián)網(wǎng)環(huán)境通常包括面向客戶的應(yīng)用程序和服務(wù),這些系統(tǒng)直接暴露在外部網(wǎng)絡(luò)中,因此對安全防護的需求尤為迫切。通過在這些系統(tǒng)上首先部署RASP,組織可以快速地識別和修復那些可能被黑客利用的安全漏洞。此外,供應(yīng)鏈軟件和開源軟件由于其復雜的依賴和頻繁的更新,常常帶來額外的安全挑戰(zhàn)。RASP的引入可以實時監(jiān)控這些應(yīng)用的行為,有效地防御可能通過這些軟件渠道發(fā)起的攻擊。
陳佩文表示,開始在這些關(guān)鍵區(qū)域進行RASP的測試和部署,不僅可以提升這些系統(tǒng)的安全性,還可以為后續(xù)在全組織范圍內(nèi)的RASP實施提供寶貴的經(jīng)驗和數(shù)據(jù)。這種逐步推廣的策略有助于確保每一步的成功,并允許IT和安全團隊調(diào)整和優(yōu)化策略,以應(yīng)對發(fā)現(xiàn)的具體挑戰(zhàn)和需求。
RASP具備高運營屬性
在討論RASP系統(tǒng)時,我們認識到其強大的實時分析能力是基于其與應(yīng)用程序的深度集成。這種集成使RASP能夠有效地監(jiān)控和響應(yīng)應(yīng)用程序行為。盡管RASP設(shè)計旨在最大限度地減少誤報,但在特殊情況下,如開發(fā)者采用非常規(guī)編碼實踐或程序展現(xiàn)出非預(yù)期行為時,誤報仍可能發(fā)生。因此,有效運營RASP平臺成為確保其持續(xù)有效性的關(guān)鍵環(huán)節(jié)。
為了有效運營RASP平臺,首先需要建立一個系統(tǒng)的監(jiān)控和響應(yīng)機制。定期的策略審查和更新至關(guān)重要,這不僅能確保安全策略與應(yīng)用的發(fā)展保持同步,還有助于調(diào)整策略以應(yīng)對誤報。配置管理也至關(guān)重要,它需要細致考慮應(yīng)用的特性和業(yè)務(wù)需求,以定制適合的安全策略,并在不干擾正常業(yè)務(wù)流程的同時,最大限度地減少誤報的發(fā)生。
經(jīng)過精心配置和持續(xù)優(yōu)化,一旦RASP平臺運營穩(wěn)定,誤報率將被降至極低。在這種環(huán)境下,每個觸發(fā)的安全告警都不應(yīng)被忽視,因為它們很可能指向?qū)嶋H的安全漏洞或正在進行的攻擊。由于RASP的實時監(jiān)控和分析能力,它能夠捕捉到微妙的異常行為,這些行為在其他安全系統(tǒng)中可能被忽視。
每個告警都應(yīng)被視為一個重要的安全信號,需要通過深入分析來確認其性質(zhì)。這不僅包括驗證告警的有效性,還需評估潛在的安全影響。這種分析對于防止未來的攻擊尤為關(guān)鍵,因為它可以揭示攻擊者的行為模式和技術(shù),幫助安全團隊提前識別和阻斷新的威脅向量。
此外,每次告警的深入研究也為RASP的持續(xù)改進提供了寶貴的輸入。通過分析告警的根本原因,團隊可以進一步細化安全策略,調(diào)整RASP配置以更好地適應(yīng)應(yīng)用的變化和新出現(xiàn)的安全挑戰(zhàn)。這種迭代過程不僅提升了RASP的效率和準確性,也增強了整個企業(yè)的安全防御能力。
因此,每個由RASP產(chǎn)生的告警都值得被當作一個學習和改進的機會,無論是對付潛在的安全威脅還是作為提升系統(tǒng)性能的反饋。這種嚴密的分析和響應(yīng)機制是高效運營RASP平臺的核心,確保企業(yè)能夠在維持正常業(yè)務(wù)運營的同時,保障最高水平的安全。
陳佩文表示,任何一種鼓吹單款產(chǎn)品解決所有安全問題的論調(diào)都不過是“大忽悠”。各個安全產(chǎn)品如被市場廣泛認可,必然具備獨特的優(yōu)勢,而是大而全地解決問題,RASP之所以被青睞,無非是在應(yīng)對應(yīng)用0Day、內(nèi)存馬等新型攻擊的時候具有難以替代的優(yōu)勢,并能在應(yīng)用安全資產(chǎn)盤點、API安全能力提升、老舊業(yè)務(wù)風險治理、第三方外采系統(tǒng)內(nèi)風險防護、云上應(yīng)用防護等層面發(fā)揮作用。
風潮已至,無需猶豫!
(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )