《數字安全藍皮書》明確了運行時應用自保護(RASP)的定義��、核心能力���、應用場景等內容�。
RASP定義
RASP(Runtime Application Self-Protection���,運行時應用自保護)指一種安全技術���,能被構建或連接到應用程序或應用程序的運行環(huán)境中,并能夠控制應用程序的執(zhí)行并實時檢測和防止攻擊��。
核心能力
探針:根據不同計算機語言開發(fā)相對應的探針�,如常見的 Java、Golang��、Python�����、PHP(頁面超文本預處理器)等計算機語言��。在不同語言中使用的探針是不同的���,RASP依賴于向應用程序注入的探針��,利用探針對不同語言虛擬機敏感方法進行插樁���,在進行插樁之后就能獲取應用程序執(zhí)行上下文及參數信息。
高級威脅檢測:具備對0day漏洞��、內存馬等高級威脅的檢測技術和能力����。針對0day漏洞,RASP對應用程序中的關鍵執(zhí)行函數進行監(jiān)聽�����,同時結合上下文信息進行判斷�,因此能夠更加全面地覆蓋攻擊路徑,進而從行為模式層面�,對0day漏洞進行有效感知,彌補傳統(tǒng)流量規(guī)則檢測方案無法實現的未知漏洞攻擊防御�����。針對內存馬�,RASP首先可通過建立內存馬檢測模型�,持續(xù)檢測內存中可能存在的惡意代碼�����,覆蓋大部分特征已知的內存馬���。其次�����,RASP可以對內存馬注入可能利用到的關鍵函數進行實時監(jiān)測�����,從行為模式層面以“主被動結合”的方式發(fā)現內存馬�,以此覆蓋剩余的特征未知的內存馬���。
響應阻斷與修復:在應用內部��,基于應用訪問關系��,梳理應用的拓撲關系與數據流,逐步形成應用的安全運行基線�����,降低在不同應用區(qū)域間潛在的攻擊者橫向移動風險。
應用場景
攻防實戰(zhàn)演練
伴隨著演習經驗的不斷豐富�����,攻擊隊更加專注于應用安全的研究��,在演習中經常使用供應鏈攻擊等迂回手法來挖掘出特定0day漏洞���,由于攻防對抗技術不對等�����,導致防守方經常處于被動劣勢���。此時,用戶可通過部署和運營RASP��,搶占對抗先機�。
演練前,可梳理應用資產�����,收斂潛在攻擊暴露面。RASP可進行應用資產梳理���,形成應用資產清單�����,明確應用中間件的類型���、運行環(huán)境、版本信息等關鍵信息���。同時�����,通過漏洞發(fā)現���、基線安全等檢測功能,結合修復加固手段對問題逐一整改�,消除應用安全隱患,使應用安全風險維持在可控范圍�����。
演練中����,可持續(xù)檢測與分析,實現有效防御與溯源��。RASP通過探針對應用程序的訪問請求進行持續(xù)監(jiān)控和分析���,結合應用上下文和攻擊檢測引擎���,使得應用程序在遭受攻擊,特別是0day�、內存馬等高級別攻擊時能夠實現有效的自我防御。另外���,RASP可以從多維度捕獲攻擊者信息����,聚合形成攻擊者畫像��,同時溯源整個攻擊到防御的閉環(huán)過程�。
演練后,結合上下文信息,全面提高應用安全等級���。RASP不僅關注攻擊行為中的指令和代碼本身�,還關注涉及到的上下文�����。因此安全人員可以通過RASP提供的調用堆棧信息等內容�,推動研發(fā)人員進行代碼級漏洞修復,調整安全策略����,進行整體加固,全面提高應用安全等級��。同時�,RASP支持攻擊事件統(tǒng)計分析和日志功能,幫助安全人員快速整理安全匯報材料�����,顯著地提升安全運營工作效率���。
業(yè)務在線修復
研發(fā)團隊會引入第三方組件庫來加速軟件開發(fā)過程����,且在已知代碼存在安全風險的情況下,推入生產環(huán)境�����,造成更多漏洞積壓�,且上線后安全訴求因排期等問題無法修復��。企業(yè)可部署RASP���,設定符合組件漏洞特征的專屬漏洞補丁�����,無需業(yè)務重啟即可實現在線修復���。
邊界無限明星產品靖云甲ADR應用檢測與響應系統(tǒng)基于RASP技術,以云原生為場景��,以數據鏈路為核心��,以流量安全��、API安全和數據安全作為安全能力切入點,引入多項前瞻性的技術理念��,通過對應用風險的持續(xù)檢測和安全風險快速響應����,幫助企業(yè)應對來自業(yè)務增長、技術革新和基礎設施環(huán)境變化所產生的等諸多應用安全新挑戰(zhàn)����,獲評RASP領航者的稱號可謂是實至名歸。
靖云甲ADR核心能力:
0day漏洞無規(guī)則防御�����,采用RASP技術�,無需任何規(guī)則即可實現0day漏洞攔截,可天然免疫業(yè)界90%以上0day漏洞��。
內存馬免重啟查殺:應用內存級別的內存馬查殺��,有效提高檢測效率和準確性�,無需重啟業(yè)務一鍵清除內存馬。
組件庫動態(tài)采集管理:采用動態(tài)捕獲技術��,在應用運行過程中自動收集并展示第三方組件信息及調用情況�,實現供應鏈資產的清點和管理��。
API和敏感數據清點:采用“流量+框架”的雙層檢測機制�����,更細顆粒度地采集API資產���,并內置敏感數據檢測模型。
靖云甲ADR典型應用場景:
攻防演練:在HW或實戰(zhàn)��,靖云甲ADR可視為RASP2.0����,以探針形式注入應用�,對內存馬、0Day漏洞這兩個最令人頭疼的問題����,ADR的防護作用獨樹一幟。在演練場景或是實際攻防����,如被內存馬注入,靖云甲ADR還可以作為清除內存馬的應急手段����。
供應鏈風險治理:不僅可以幫助用戶防護OA���、財務系統(tǒng)、報表���、應用集權和研發(fā)系統(tǒng)�、中間件等(如泛微����、致遠、用友等)容易被攻擊的系統(tǒng)����,還可以加強開源組件庫風險治理,洞悉應用運行時的組件調用關系�,將組件漏洞分類分級,為研發(fā)及第三方修補提供依據��。
云上應用安全防護:適應復雜IT環(huán)境�����,實現統(tǒng)一管控策略��,打破云邊界,提高安全水平�,應用發(fā)布即可免疫0day漏洞,確保發(fā)布即安全��。
老舊業(yè)務風險治理:不需要任何代碼改動的情況下將安全防護能力注入老舊業(yè)務中�,消除由于老舊代碼無人維護,需要長期“負傷”運行的安全風險�����,特別是早期采購的業(yè)務系統(tǒng)���,往往出現沒有源碼難以自行維護的情況��,ADR可以采用虛擬補丁技術,保障老舊業(yè)務平穩(wěn)運行�����。
API安全水位提升:ADR嵌入應用內部����,可全量盤點API資產,發(fā)現影子API��、僵尸API,提高安全防護水平��。
整體應用安全能力增強:已經部署WAF��、SOC��、HIDS等的客戶��,可與ADR聯防聯控���、內外結合��、縱深防御��,補足短板�。
在實戰(zhàn)演練長常態(tài)化的今天�����,RASP作為應用0day漏洞防御�����、內存馬注入防御等高危風險的領防技術����,已經被客戶廣泛認可��,邊界無限連續(xù)中標三大金融客戶及核心能源央企RASP建設項目便是最有力的證明�����。
