Gartner 的报告指出:超过 80% 的攻击是以应用层为目标的,而大多数破坏活动是通过应用程序进行的。他们发现,软件提供商对应用程序安全防护的投入普遍不足。数据表明,其实周界安全防护费用与应用程序安全防护费用之比仅为 23:1。

在一个完美的模型中,开发人员的开发生命周期 ( SDLC ) 应当符合安全防护标准,从而开发出安全的软件。在如今的信息社会里,IT 技术日新月异,新的高级安全攻击层出不穷,攻击方式变得越来越隐蔽和致命, 同时为适应新的业务需求和技术革新,迭代开发和快速部署越来越流行。但是面对安全威胁,我们有什么好的方法?

修复漏洞是所有程序员的「噩梦」

应用程序安全测试 ( SAST/DAST/IAST ) 也是一种能够比较有效的工具,它能够防止安全漏洞进入生产环境。但即使最成熟的应用程序安全测试工具也不可能捕获所有漏洞。而且找出漏洞只是第一步,只有所有漏洞修复才更有意义。在大型项目里比如双 11,修复所有漏洞是所有程序员的噩梦,不仅需要花费大量的人力,同时也可能大大延迟开发和发布的进度。很多电商基本无法承受这样的代价。

OneRASP 或成工程师最佳安全伴侣 技术分享 第1张

现在网络层保护技术(如 NGFW、UTM、IPS、IDS 等)已经成为大部分企业的标准配置,当然一些应用层保护技术( WAF 等)也逐步得到应用。这些技术的确在一些场景下能够部分保护企业安全,但是在云时代网络边界越来越模糊,很多情况下企业都不清楚应用程序具体部署在什么地方,同时黑客对防火墙技术已经非常熟悉,而且翻墙技术也已经非常成熟。从这个层面而言,传统安全防护技术对于新一代威胁是无能为力的。

Gartner 推崇的解决方案:RASP(实时应用自我保护)

OneRASP 或成工程师最佳安全伴侣 技术分享 第2张

Gartner 的分析师兼研究员 Joseph Feiman 也收到了来自上百家企业的反馈,希望在应用层的安全防护方面得到很好的解决方案。经过大量的调查研究发现,可以将漏洞扫描工具的程序测试功能和 WAF 的攻击拦截功能结合在一起,并将这些功能集成到应用程序中,这样应用程序就有能力在运行时对行为进行实时扫描并有能力进行实时拦截。就像人体疫苗一样让应用程序具备自我保护的免疫能力。于是他提出了「实时应用自我保护(Runtime Application Self-Protection)」 的概念,也称为 RASP。

RASP 能以最小代价并且快速解决安全难题,用户只需要非常简单的修改一下 JVM 的启动配置,就可以将安全保护代码像疫苗一样注入应用程序,瞬间修复已知漏洞,使所有代码变成安全代码,任何攻击都无法绕过,它能全面洞察应用程序的逻辑、配置、数据和事件流,使应用程序能够保护自己,免遭通过运行时环境实施的网络攻击。

目前,由于 RASP 对技术的要求很高,目前国内外真正做这个方面的公司极少。国外的厂商有 Waratek,国内只有一家公司 OneASP 在做此类的产品。OneRASP 拥有应用程序内部的上下文,不只是监控威胁,它还会采取措施来实时阻止攻击,是一种从根上解决安全问题的有效方案。

OneRASP(实时应用自我保护)是一种基于云的应用程序自我保护服务, 可以为软件产品提供实时保护,使其免受漏洞所累。