运行时应用程序自我保护技术(RASP)可直接从运行时引擎(如JVM)缓解应用程序级漏洞。
开发人员依靠Python,Node.js和Java等语言来编写和发布复杂的Web应用程序,但是他们快速的开发周期使这些应用程序的安全成为一项挑战。输入RASP(运行时应用程序自我保护),它将漏洞保护直接整合到应用程序中,以阻止出现的威胁。
应用程序使用RASP通过将安全控件包含到应用程序运行时引擎(如JVM)中来自我防御内部和外部攻击。由于控件是运行时引擎的一部分,因此RASP可以全面了解应用程序的逻辑流程,数据流和配置。
在基本级别,RASP通过阻止未经授权的尝试执行shell命令来保护应用程序。完成所有这些操作无需对应用程序代码进行任何更改。
“RASP在应用程序内部移动保护,”Immunio的首席技术官Mike Milner说,它提供了一个保护Java和其他动态语言的平台,包括Python,Node.js和Ruby on Rails。
Immunio的平台不仅限于检测和防范代码级漏洞和跨站点脚本和SQL注入等应用程序问题。它还可以检测和阻止帐户接管。 Immunio最近在平台上添加了Node.js支持,以反映企业内Node.js的增长。
许多企业将其开发工作集中在单一语言(如Java或.Net)上,并使用静态分析工具来查找这些应用程序中的漏洞。动态语言的采用率的增长使得依靠静态代码分析来发现漏洞变得更加困难。动态语言越来越多地为大量互联网提供动力,企业需要更快的方法来缓解生产环境中的漏洞。
企业通常必须等待供应商发布商业应用程序的补丁,这为攻击者留下了机会之窗。开源应用程序的情况甚至更加模糊。但是,使用RASP,组织可以在等待官方补丁时保护应用程序,无论它何时到达。
考虑一下今年早些时候公布的Java反序列化漏洞。该漏洞已经在JBoss和Websphere等应用程序中进行了修补,但在较旧的Rails应用程序中可能仍未修补,而且Milner指出许多自定义Java应用程序可能仍然存在缺陷。这就是RASP派上用场的地方,因为它可以保护应用程序免受试图触发该漏洞的攻击。
毫无疑问 - RASP并不能解决Web应用程序中的软件漏洞问题。它不应被视为Web应用程序防火墙的替代品,甚至不应被视为转储应用程序安全测试和静态代码分析的借口。 WAF擅长检测和阻止针对应用程序的网络级攻击,例如检测恶意IP和自动机器人,以及阻止拒绝服务攻击。另一方面,RASP更适合监视代码级漏洞并减轻跨站点脚本和SQL注入威胁。
应用程序受到攻击,因此企业需要结合使用跨越开发和运营的检测和保护技术,而不是寻找一颗银弹来保护它们。开发人员仍然需要通过静态代码分析扫描程序运行代码,以便在开发阶段发现漏洞。应用程序安全测试有助于在软件上线之前发现安全问题。
对于devops爱好者,安全测试和代码扫描解决了方程式的“开发”部分,而RASP涵盖了“操作”,因为它让团队“主动应对其应用程序中的漏洞,而不是被动反应”,Milner说。
原文:https://www.infoworld.com/article/3089951/how-rasp-protects-applications-from-attacks.html
本文:
讨论:请加入知识星球或者小红圈【首席架构师圈】