RASP(Runtime application self-protection)運行時應用自我保護。Gartner 在2014年應用安全報告里將 RASP 列為應用安全領域的關鍵趨勢,並將其定義為:
Applications should not be delegating most of their runtime protection to the external devices. Applications should be capable of self-protection (i.e., have protection features built into the application runtime environment).
RSAP將自身注入到應用程序中,與應用程序融為一體,實時監測、阻斷攻擊,使程序自身擁有自保護的能力。並且應用程序無需在編碼時進行任何的修改,只需進行簡單的配置即可。
0x02 RASP能做什么
RASP不但能夠對應用進行基礎安全防護,由於一些攻擊造成的應用程序調用棧調用棧具有相似性,還能夠對0day進行一定的防護。
除此之外,利用RASP也能夠對應用打虛擬補丁,修復官方未修復的漏洞。或者對應用的運行狀態進行監控,進行日志采集。
0x03 WAF VS RASP
傳統的WAF主要通過分析流量中的特征過濾攻擊請求,並攔截攜帶有攻擊特征的請求。WAF雖然可以有效個過濾出絕大多數惡意請求,但是不知道應用運行時的上下文,必然會造成一定程度的誤報。並且WAF嚴重依賴於特征庫,各種花式繞過,導致特征編寫很難以不變應萬變。
RASP的不同就在於運行在應用之中,與應用融為一體,可以獲取到應用運行時的上下文,根據運行時上下文或者敏感操作,對攻擊進行精准的識別或攔截。於此同時,由於RASP運行在應用之中,只要檢測點選取合理,獲取到的payload已經是解碼過的真實payload,可以減少由於WAF規則的不完善導致的漏報。
雖然RASP擁有WAF所不具有的一些優勢,但是否能夠代替WAF還有待商榷。畢竟WAF是成熟、快速、可以大規模部署的安全產品。兩者相互補充,將WAF作為應用外圍的防線,RASP作為應用自身的安全防護,確保對攻擊的有效攔截。
0x04 RASP的缺陷
注入應用中的RASP雖然帶來了獲取應用運行時上下文的優勢,但也帶來了一定的缺陷:性能消耗。應用自身在進行常規運算的同時進行了一定的安全運算,造成了一定的性能消耗。不過根據Gartner 分析師的統計,RASP帶來的性能消耗在5%~10%之間,在一定程度上仍然是可以接受的。
除此之外,由於RASP需要運行在應用中,不能像WAF一樣在流量入口統一部署。需要根據應用開發的技術不同使用不同的RASP。比如.net應用與java應用需要不同的RASP產品,增加了部署成本。