web APP应用程序防火墙(WAF )已成为常见web APP应用程序中普遍采用的安全保护工具,但WAF提供的保护方案仍存在许多不足,我认为将WAF称为良好的安全监控工具更为合适幸运的是,APP应用安全技术也在迅速发展,运行时APP应用自保护系统(RASP )的概念一由Gartner提出就立即得到了热烈的支持。 业界普遍认为,RASP将成为新一代APP应用漏洞的“超级明星”。
WAF:未致力于安全防护的应用
Web APP应用程序安全防火墙(WAF )位于web APP应用程序的前沿,可实时扫描和过滤web请求和用户输入的数据。 因此,WAF在监控进出web APP应用程序/数据库的有害用户输入和异常数据流方面非常高效,在过去的十多年中,WAF已经非常受欢迎。
WAF有两种工作模式。
检测模式:查找恶意输入和违规行为的模式。
阻止模式:阻止可疑的用户输入。
WAF提供了抵御常见安全攻击的功能,例如SQL注入和跨站点攻击(XSS )。 但是,WAF基于流量分析,并不了解APP应用程序的上下文,因此也存在许多天生的缺陷。
WAF的最大缺点是,如果APP应用程序代码发生更改,则还必须相应地更改配置。 如果更新延迟或失败,会发生很多误报(False-Positives )。 如果WAF设置为阻止模式,则这些错误报告会导致DDOS攻击或性能问题。
WAF无法检查APP应用程序漏洞,也无法解决已知漏洞。 它不了解APP划分,因此无法深入到数据流中检测系统特定的问题,如SQL注入。 各数据库的SQL语言存在很多差异,WAF无法防止SQL注入对特定数据库的攻击行为。
RASP可中继WAF为APP应用提供了额外的保护
实时APP应用程序自我保护(RASP )继承了WAF的大部分功能,使APP应用程序能够保护自己。 RASP监视与APP应用程序交换的所有节点,包括所有APP应用程序的访问节点,包括用户、数据库、网络和文件系统。
由于了解APP应用的上下文,RASP完全了解APP应用的输入和输出,因此可以根据特定数据流定制相应的保护机制,以实现非常准确的实时攻击识别和拦截。
RASP的结构请参见下图。
RASP不是在可疑行为进入APP时屏蔽,而是首先对其进行标记,在输出时检查是否为危险行为,从而将误报或漏报的概率降低到最小限度。 这对于对性能和可用性要求极高的银行和金融系统的APP应用保护尤为重要。
RASP优于WAF的五大优势
误报率极少:与WAF不同,RASP不依赖于分析网络流量查找问题,除了发现漏洞和攻击行为外,通常不会发出任何声音。 这样可以大幅减少误报率。 RASP可以非常准确地区分攻击和合法输入,但WAF往往无法做到。 这大大减少了分析结果的特殊成本,也不需要扫描修复过程。
维护成本极低: WAF的安装过程非常复杂,需要非常准确的配置才能尽可能广泛地覆盖APP应用。 为了获得更好的结果,每次发布新版本的web APP应用程序时,都必须对管理员进行“培训”,并针对WAF进行重新配置。 但是,大多数企业无法做到这种及时、完美,可能会造成很多误报和性能问题。 相比之下,RASP开箱即可使用,因此可以在非常简单的配置中使用。 它将RASP和APP应用程序集成在一起,使您可以在APP应用程序中监视实时数据。
极高的复盖率和兼容性: RASP安全系统适用于任何可注入的APP应用程序,能够处理大多数网络协议,如HTTP、HTTPS、AJAX、SQL和SOAP。 WAF通过监视网络通信量来保护,因此仅支持web APP应用程序(HTTP )。 此外,WAF还需要特定的解析器、协议分析工具或其他组件来分析APP应用程序使用的其他网络协议,从而导致兼容性和性能问题。
更全面的保护: WAF在分析和过滤用户输入、检测不良行为方面很有效,但无法接受APP应用程序的输出检查。 RASP完全受到保护,因为它不仅可以监视用户输入,还可以监视APP应用程序组件的输出。 RASP解决方案可识别WAF通常无法检测到的重大问题——未处理的异常、会话劫持、权限提升、敏感数据披露等。 Gartner分析师Joseph清楚地说明了这一点。
可与SAST完全集成RASP可与SAST方案(如静态代码分析工具(SCA ) )无缝集成。 这使企业能够管理产品的整个生命周期,从初期开发阶段到后期制作和部署。 WAF工具无法做到这一点,也无法提供补救措施。 RASP和SAST的结合提供了两大好处:
提供虚拟补丁程序:虽然扫描工具通常可以在开发阶段发现所有已知漏洞,但由于资源和在线周期的压力,无法修复所有漏洞,而且经常会生病在线。 RASP使企业可以放心地发布产品。 RASP就像一个大的虚拟补丁,在线修复所有漏洞。 系统安全运行,在资源允许的情况下可以修复和更新这些漏洞。
快速缓解攻击:从另一个角度看,使用RASP可以快速识别漏洞。 这是SAST前期扫描的结果,RASP和SAST的联合使用非常大
型企业尤其重要,快速修复漏洞能节约大量时间,大幅降低漏洞带来的风险。这是 WAF 所无法提供的。诚然,WAF 是一个值得尊敬的后期安全保护工具,但是它先天的缺点导致公司不得不考虑其他选择。使用 RASP 解决方案能根本性提升应用程序的自动免疫能力,即便黑客攻击已渗入应用程序内部,也能从容应对。随着黑客技术日趋复杂,应用程序的安全性也必须发展提高。RASP 和 SAST 的组合,可以说是当今最好的应用安全保护组合。
RASP 提供商
RASP 是一个新兴的概念,现在能真正提供 RASP 服务的公司并不多,惠普是一个比较出名的大厂商有。但在国内只有一家安全初创企业 OneASP 在做 RASP 的产品,这也是一款拥有完全知识产权的国产安全产品。OneRASP(实时应用自我保护)是一种基于云的应用程序自我保护服务, 可以为软件产品提供实时保护,使其免受漏洞所累。