路由器设备工作模式桥接,路由器设备工作模式选路由还是桥接
定义RASP运行时app自保护(RASP)是一种内置于APP应用或APP运行时环境中的安全技术,用于在APP应用层检查请求,实时检测攻击和滥用。
锉刀产品通常包括以下功能:
一般解包检查app应用上下文的APP应用请求产品,都有完整的功能,可以分析完整的请求,在多个执行点进行监控和拦截,在某些情况下修改请求,删除恶意内容。这些函数适合rest风格的API访问。此外,具体的代码行仪表板功能和使用报告使用示例RASP的主要功能是保护web APP应用程序免受已知和新出现的威胁。在某些情况下,RASP会部署在APP应用层,在漏洞被利用之前阻止攻击,但在大多数情况下,RASP工具会在检测到攻击之前处理请求并阻止这些非法操作。
这些基本都是IDS和WAF的经典强项。你为什么需要一个新的计划?答案不是RASP要做什么,而是它如何在APP应用的上下文中工作。在这里,我们可以判断攻击是否相关,并在广泛的场景中发挥更有效的作用。让我们仔细看看客户的需求。
市场驱动的RASP是一个比较新的技术,所以目前的市场驱动力主要集中在解决两个不同“购买中心”的安全需求上。安全团队通常在没有严格管理要求的情况下寻找可靠的WAF替代品,但开发团队需要安全技术来保护现有开发流程框架中的APP应用。
安全团队的需求是有争议的。web APP应用防火墙通常使用两种检测方式:黑名单和白名单。是黑名单。一般应避免——收到的APP应用请求与攻击特征库不匹配。例如SQL注入。黑名单有助于筛选很多对APP注入的基础攻击,但是新攻击的变种层出不穷。攻击者继续寻找绕过它们的方法。黑名单和SQL注入的许多变种一样是最新的,但是白名单是WAF提供真正价值的地方。白名单是观察和学习可接受的APP应用行为,记录一段时间的合法行为,停止不符合批准行为列表的请求。这种方法提供了比黑名单更大的优势。该列表是针对被监控的APP应用的,因此它可以提供33,354个枚举的功能,而不是试图按恶意请求进行排序,从而更容易、更快速地发现欺诈。
不幸的是,开发人员抱怨WAF未能完成白名单,一直处于学习模式,跟不上现代软件开发的步伐,因此被列入黑名单并被执行。此外,WAF还没有完全启用api,配置需要安全专业人员来管理和协调规则。在IaaS公共云上部署时缺乏api支持是一个失败。本地云架构缺乏支持,包括app应用自动扩展、临时APP应用栈、模板和云脚本/部署支持。随着应用程序团队变得更加敏捷,企业继续扩大其云足迹,传统的WAF变得不那么有用。
WAF提供——的真正价值,尤其是商用的WAF“安全即服务”产品,注重黑名单、DDoS缓解等附加保护。云通常作为代理服务运行,在将“云”请求提交给应用程序或RASP解决方案之前过滤它们。然而,这种晶片部署模式受到“半个晶片”状态3354限制,且缺少白名单功能。传统WAF继续为有时间建立和使用白名单的非敏捷本地应用程序工作。因此,现有的WAF大部分没有被“撕毁或替换”,但在云计算和更敏捷的开发团队中很大程度上没有被使用。
安全团队正在寻找一种有效且易于管理的APP应用安全工具来替代WAF。并不是所有的缺陷都能在代码中快速修复,所以APP应用缺陷和技术债一定要覆盖。
开发人员倾向于寻求能够完全集成到现有应用程序的构建和认证流程中的解决方案。为了与开发管道集成,安全工具需要做出更多努力来抵御攻击。该解决方案需要像现代应用程序开发一样敏捷,并与自动化功能兼容。你需要扩展适应app应用,“知道”APP应用,自定义APP应用运行时的保护。安全工具不应该要求开发人员是安全专家。开发团队“向左移动”。为了在生产过程中更快地获得安全的测量标准和工具,他们需要能够在生产前环境和生产环境中运行的工具。
功能市场的提升改变了产品功能的需求。
简单来说,有效性就是现有的工具不能很好的工作,错误信息太多不能用,或者需要太多的维护浪费时间和精力。在许多情况下,RASP提供了完整的功能。运行时不需要学习APP的功能。在上下文中执行可以扩大APP连接威胁的范围,可以在阻塞模式下执行。
我们知道,随着攻击者的发展,针对app应用框架和语言的攻击越来越多,从网络到服务器再到APP应用。RASP的区别在于能够在安全策略中包含APP的应用上下文。许多WAFs提供“主动”安全功能。该应用程序请求白名单,但RASP内置于应用程序中,可以提供其他应用程序访问和仪表板。此外,一些RASP平台通过识别可疑的模块和代码行来帮助开发人员。对于许多开发团队来说,RASP识别易受攻击的代码越准确,拥有更好的检测能力就越不重要。
随着API支持、自动化云服务和DevOps中断APP的提供,安全产品编程接口的需求迅速扩大。API是一种构建、测试和部署APP应用的方法。RASP等安全产品通过API提供完整的平台功能。3354在某些情况下作为构建服务器插件使用,或者作为云服务3354供软件工程师在本地使用。它还提供在APP应用程序堆栈上运行的代理、容器或插件。
覆盖范围和语言支持仍然是RASP的最大问题,阻碍了它在最初几年的采用。RASP平台为不同的语言或平台提供了安全性,并需要自定义的规则和逻辑来检测攻击。
击中。其中大部分都提供了对核心平台的全面支持,比如Java和。网;况且对Python,PHP,Node.js,Ruby的支持还是参差不齐的。另一部分是环境的复杂性——不仅是服务器端,还有客户端。在过去的几年中,框架、客户端实用程序、面向web的API不断发展,数据编码也在不断变化。RASP需要解析用户提供的输入,处理运行JavaScript和Angular.js的不同客户端,微服务架构,可能还有多个版本的API,这些都是同时发生的。应用环境的多样性使得RASP厂商很难提供全面的支持。
部署前验证越早发现生产周期中的错误,修复它们就越容易,成本也越低。因此,一般的测试,尤其是安全性测试,在开发过程的早期阶段效果更好。越来越多的应用程序安全测试在部署前进行,而不是在应用程序部署后依赖漏洞扫描器和渗透测试器。当然,这在其他以应用程序为中心的工具中是可能的,但是RASP更容易构建到自动化测试中,并且通常可以确定应用程序的哪些部分有缺陷,并且它通常用于红队实践和预生产“蓝/绿”部署场景。
与工单系统的业务集成几乎每个安全平台现在都必须与内部系统集成,以便在发现、调查、修复、测试和重新部署期间跟踪安全问题。工单系统主要是集成工作,比如控制任务的分配,所以这种类型的集成是必不可少的。还可能有人要求与Syslog、SIEM和Splunk集成,这些功能是大多数供应商提供的。
Compliance WAF广泛用于PCI-DSS中,本质上,它是用于处理信用卡数据的系统的合同强制安全性3354,因为它被专门列为web应用程序的适当控制。随着WAF普及度的减弱,在PCI需求依然存在的情况下,使用RASP作为补偿控制。事实上,一些RASP供应商已经与主要的QSA组织进行了第三方验证,以验证已经过应用程序安全性审查的控制。
虚拟补丁大多数公司都有很多“技术债”,因为应用程序及其平台包含的安全漏洞比开发团队短时间内可以修复的还要多。用基本的安全补丁更新开发、QA和生产版本的底层软件是一个挑战,更不用说修复所有易受攻击的代码了。RASP有助于检测应用程序库的哪些版本已经过时。如果用脆弱子模块来知道是否需要打补丁,也是通过提供“虚拟补丁”来防止对剩余漏洞的攻击。大多数开发和运营团队不会跟踪源源不断的安全补丁,因此拥有用于自动发现和报告的工具会很有帮助。该功能很少出现在公司的五大需求中,但在RFP(征求建议书)中还是很常见的。
DevOps和度量标准对于确定是否存在问题、应该在哪里投入资源以及安全投资是否实际有效至关重要。RASP可以对应用功能和开源用法进行分类,知道每个API的参数的正确数量和类型,然后在运行应用的代码中应用策略。但它也能理解运行时代码路径、服务器交互、框架的细微差别、库的使用和定制代码。这有助于安全团队可视化代码中的安全问题,并定制他们想要的响应方式。在生产前部署它,您可以在生产部署之前发现缺陷。最后,有些RASP平台还提供了IAST(Interactive Application Security Testing,交互式应用安全测试),或者部署在开发者的桌面上,这样就可以在代码签入之前运行,在开发过程的前期发现问题。
概述技术如何工作在过去的几年里,在锉刀市场上出现了一些基本的方法和变化-检测能力、可靠性和性能都得到了增强。理解技术对于理解不同产品的优缺点是很重要的。
原生API回调:在这种部署模型中,系统在应用栈的关键节点插入传感器或回调,观察应用代码、库、框架和底层操作系统之间的应用行为。此方法使用本机应用程序分析器/检测API来监控运行时应用程序行为。当传感器被击中时,RASP将得到一个回调,并根据上下文相关的策略评估请求。例如,检查数据库查询是否有SQL注入(SQLi)。但它们也提供了请求反序列化“沙箱”来检测恶意的有效载荷,我称之为“检查点”:到达检查点A但绕过检查点B的请求可以被认为是有敌意的,可信度很高。这些方法提供了比WAF更高级的应用程序监控,可以检测攻击和滥用的细节。但是,完整的可视化需要监控所有相关接口,这会带来性能和可扩展性的代价。客户需要平衡全面的覆盖范围和性能。
-** Servlet过滤器和插件**:有些RASP平台是web服务器插件或Java Servlet,通常安装在Apache Tomcat、JBoss或微软中。net来处理请求。该插件在执行功能(如支付交易)之前过滤请求,并在收到请求时对每个请求应用检测规则。匹配已知攻击特征的请求会被阻止。这其实和WAF黑名单的作用一样。这样无需深入应用就能有效防止恶意请求。
库或JVM替换:有些RASP产品是通过替换标准应用程序库和/或JAR文件来安装的,至少有一家厂商提供了完整的替换Java虚拟机。这种方法基本上将对底层平台的调用劫持到一个定制的应用程序中。RASP平台被动地观察应用程序对支持函数的调用,并在请求被拦截时应用规则。例如,在JVM替换的情况下,RASP可以在类被加载到内存中时修改类,并添加或修补应用程序及其堆栈。像仪器集成一样,这种方法提供了对应用程序行为和用户请求的完全可见性。
静态混合:像许多防火墙一样,可以部署几个RASP平台作为反向代理。在一种情况下,新的变体偶联剂、仪器模块和具有有限功能的静态分析扫描仪。本质上,它生成一个代码属性图(类似于静态分析工具),为所有应用程序和开源函数构建定制的安全控制。这种方法需要完全集成到应用程序构建管道中,以扫描所有源代码。然后,当部署应用程序时,它将扫描结果绑定到RASP引擎,有效地提供了特定于应用程序的功能的白名单。安全性是根据应用定制的,以完整的构建集成为代价,拥有——的优秀代码覆盖率,需要定期重新构建CPG配置文件,部分安全检查的延迟。
【外链图像传输失败,源站可能有防盗链机制。建议保存图片直接上传(IMG-P7WQR SWF-1599276061120)(C:\ users \ Yong \ pictures \ a 9 r 21 DC . jpg)]
检测RASP攻击检测很复杂,根据请求的类型使用不同的技术。大多数产品同时检查请求及其参数,并以多种方式检查每个组件。RASP在检测应用程序攻击方面比它的前辈更有效。与使用基于签名的检测的其他技术不同,RASP监控应用程序行为和外部引用,映射应用程序函数和第三方代码的使用,映射执行序列,反序列化有效负载,并相应地应用策略。类似于沙盒请求以查看它们如何工作,语义分析以检测滥用,输入跟踪以检测人为引入的代码,行为分析以匹配签名和IP地址信誉等传统工具。这不仅可以实现更准确的检测,还可以通过优化检查类型来提高性能。根据请求上下文和代码执行路径。使用时通过执行规则,更容易理解正确用法和检测误用。
大部分RASP平台也采用结构分析,这样可以知道使用中的框架以及它们的常用。RASP可以访问整个应用程序堆栈,并可以检测第三方代码库的变化——相当于开源库的漏洞扫描,以检测过期代码的使用。RASP还可以快速检查传入的请求并检测注入攻击。有几种方法——一种是使用某种形式的标记化(用标记替换参数)来验证请求是否与其预期的结构相匹配。例如,SQL查询中标记的子句和参数可以快速检测到带有更多标记(如FROM 或WHERE 等)的子句指示查询已被更改。
拦网是新一代RASP平台擅长的领域。WAF通常根据传入的HTTP请求判断是否被阻止。它依靠签名来检测已知的恶意模式或已知的良好模式,并基于这些特征库进行阻止。这种类型的检查既缺乏应用程序上下文(一个特定的请求将涉及所有功能的可见性),也没有让恶意请求在一定程度上“发挥”以阐明其决定的意图。新一代的RASP工具同时提供了这两种功能,以及多种检测技术,如沙盒检测、语义分析、输入跟踪和行为分析等。当您将多种检测技术(每种技术都适用于特定类型的攻击)与多个执行点相结合时,您在准确性上比传统WAF有了巨大的飞跃。可以肯定的是,RASP不仅仅是应用程序中的WAF,而是一种完全改进的防止应用程序攻击的方法。从采访客户得知,以全阻塞模式运行的RASP客户比例要高得多,而且这种跃升在过去两年里一直在加速。而性能可扩展性RASP是嵌入在应用程序或者它的栈中的,所以它是随着应用程序扩展的。例如,如果一个应用程序在多个服务器实例上扩展副本,RASP将随之扩展。如果部署在虚拟服务器或云服务器上,RASP将受益于应用程序增加的CPU和内存资源。RASP执行规则、它们的操作模式和检查次数可能会影响延迟和性能。越来越深入的请求分析增强了安全性,但增加了延迟。如果第三方威胁情报不在本地缓存,或者使用外部查找,延迟会增加。如果传感器或集成点仅收集事件并将它们传输到外部服务器进行分析,则增加的服务可能会增加延迟。与所有安全产品一样,不要相信供应商编号——会用您环境中的典型流量来运行您自己的测试。幸运的是,供应商在过去几年中在性能方面投入了大量的工程资源,大大减少了延迟问题。仪表团队通常希望了解应用安全,他们越来越多地使用扫描来开发指标,并了解管道构建、预生产和生产中的应用安全状态。这表明他们哪里需要更多的资源,并有助于衡量所部署资源的有效性。RASP的一个很大的优势就是可以在运行时持续测量应用的利用率和缺陷率。此功能的一部分来自于它对应用程序功能进行分类、理解参数的正确数量和类型以及在运行的应用程序代码中应用策略的能力。但是RASP也可以理解运行时代码路径、服务器交互、开源库、框架的细微差别、库的使用和自定义代码,这在定制检测规则时提供了优势,例如启用特定策略来检测针对Spring框架的攻击。RASP可以配置为防止针对旧版本库的特定攻击,并提供虚拟补丁。这也提供了非安全性的好处,帮助质量保证和操作团队理解如何使用代码,并提供了可以识别性能瓶颈和未使用代码的运行时映射。
特定攻击的版本,提供虚拟补丁。这也提供了非安全性的好处,帮助质量保证和操作团队理解如何使用代码,并提供了可以识别性能瓶颈和未使用代码的运行时映射。
原文链接:3359cn.securosis.com/assets/library/main/understanding _拉斯普_ 2019 _ final2.pdf
郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。