# 云鲨RASP白皮书
# 1. 概述
# 1.1 应用安全面临的挑战
# 1.1.1 非法攻击愈发难以识别
每个应用程序都有其独特的漏洞,这些漏洞只能通过特定的攻击加以利用。对某个应用程序完全无害的HTTP请求可能对另一个应用程序造成破坏,这使得传统规则型防御产品难以完全匹配使用场景。
# 1.1.2 传输协议愈发多元
现代应用程序使用的格式和协议复杂,如JSON、XML、序列化对象和自定义二进制等格式。请求不仅使用HTTP,还使用各种包括WebSocket在内的个性化协议,传统WAF难以对传输协议做到完全支持。
# 1.1.3 传统防御措施愈发无助
传统WAF通过在网络流量到达应用程序服务器之前对其进行分析,完全独立于应用程序进行工作。在门外处理的方式,使其无法真正核实请求的合法性,漏杀错杀成为常态,因此管理员只能使其处于“日志模式”。
# 1.1.4 应用运行场景愈发多样
软件行业发展迅速,容器、IaaS、PaaS、虚拟和弹性环境激增。在不同环境下,快速部署应用程序和API成为了核心要求。DevOps的大行其道进一步地加快了集成、部署和交付的速度,这使得需要独立部署的WAF在灵活性上的欠缺成为其致命弱点。
# 1.1.5 业务逻辑漏洞愈发显著
随着各类框架的不断成熟和完善,传统的SQL注入、XSS等常规漏洞在Web系统中逐渐减少,而攻击者更倾向于使用业务逻辑漏洞来进行突破。所有应用程序都是通过代码逻辑来实现各种功能,即便是一个简单的功能,都可能包含着复杂的业务逻辑操作,而这些逻辑就是一个攻击面,但它通常会被忽略,这给攻击者以可乘之机。
# 1.2 RASP技术背景
2012年,Gartner 的分析师兼研究员Joseph Feiman引入了“Runtime application self-protection”一词,简称RASP; 2014年,Gartner 在应⽤安全分析报告⾥将 RASP 列为应⽤安全领域的关键趋势:“Applications should not be delegating most of their runtime protection to the external devices. Applications should be capable of self-protection (i.e., have protection features built into the application runtime environment)”。即应用程序不应该依赖外部组件进⾏运⾏时保护,⽽应该具备⾃我保护的能⼒,也即建⽴应⽤运⾏时环境保护机制。 面对应用现代化,安全防护需要“左移”,推动安全战略实现从“传统基于边界防护的安全”向“面向应用现代化的内生安全”模式转变,RASP作为降低应用风险的一项关键技术,必将加快企业数字化转型,推动实现产品创新、供应链优化、业务模式创新和用户体验的提升。
# 1.3 RASP技术概述
# 1.3.1 技术原理
RASP技术(Runtime application self-protection,运行时应用程序自我保护)作为一种新型Web防护手段,将保护代码像一剂疫苗注入到应用程序中,与应用程序融为一体,使应用程序具备自我保护能力,结合应用的逻辑及上下文,对访问应用系统的每一段代码进行检测,当应用程序遭受到实际攻击和伤害时,RASP可以实时检测和阻断安全攻击,无需人工干预。 RASP技术弥补了传统边界安全防护产品的先天性防护不足,可应对无处不在的应用漏洞与网络威胁,为应用程序提供全生命周期的动态安全保护。
图 1-1 RASP技术原理图
# 1.3.2 RASP优缺点分析
作为一种新型的Web防护手段,RASP有望成为安全防御体系中最难以逾越的一层,RASP的主要优势有:
- 实时发现与阻断:由于RASP是注入到应用程序中,对访问应用请求的每一段代码进行检测,因此当应用程序遭受到实际攻击和伤害时,RASP可以实时检测和阻断安全攻击,无需人工干预。
- 误报或漏报率极低:不同于WAF,RASP不依赖于分析网络流量去寻找问题,它运行在应用之中,与应用融为一体,基于应用运行时的上下文检测,对攻击进行精准的识别或拦截,漏洞发现准确率高。
- 兼容性强,覆盖面广:RASP可注入到任何可注入的应用程序,快速适配应用程序架构,能处理绝大多数的网络协议,如:HTTP/HTTPS、AJAX、SQL与SOAP,甚至可以保护非web标准,如RPC。
- 维护成本极低:RASP不用配置流量规则,节省了产品维护及使用成本,极大地提高了运营团队的工作效率。
- 防护全面且精准:RASP可以全面检测OWASP Top10等常规漏洞并防护,既可以监控用户输入,也能监控应用程序组件的输出,这就使RASP具备了全面防护的能力。RASP解决方案能够定位 WAF 通常无法检测到的严重问题,如:未处理的异常、会话劫持、权限提升和敏感数据披露等。
另一方面,RASP技术也存在一定的缺陷:
- 对服务器性能有一定影响:由于RASP是注入到应用程序中,应用自身在进行常规运算的同时也进行安全运算,因此会给服务器增加处理开销和额外的工作量,造成一定的性能消耗;不过根据Gartner分析师统计,RASP带来的性能消耗在5%~10%左右,一定程度上可以接受。
- 部署成本的增加:由于不同的开发语言需要使用不同的RASP探针,所以需要根据不同的语言针对性部署。
# 2. 云鲨(Xshark)RASP自适应威胁免疫平台
悬镜安全在RASP技术原理的基础上,结合自身独有的专利级算法及技术,研发出基于运行时情境感知技术的新一代应用威胁免疫平台——云鲨RASP自适应威胁免疫平台。
云鲨RASP自适应威胁免疫平台(以下简称“云鲨RASP”)通过专利级AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术,将主动防御能力“注入”到业务应用中,借助强大的应用上下文情景分析能力,可捕捉并防御各种绕过流量检测的攻击方式,提供兼具业务透视和功能解耦的内生主动安全免疫能力,为业务应用出厂默认安全免疫迎来革新发展。
云鲨RASP通过对访问应用请求的每一段代码进行检测,当应用程序受到实际攻击和伤害时,实时检测和阻断安全攻击,无需人工干预;同时云鲨RASP提供的IAST及SCA解决方案,结合悬镜独有的应用探针技术,精准识别应用运行时存在的各种安全漏洞(如OWASP Top10、业务逻辑漏洞等),在此基础上进行深度且更加有效的威胁分析,帮助政企用户快速定位应用漏洞,大大提升修复效率,保障应用程序的安全。
图2-1 云鲨RASP原理图
# 2.1 实时的检测与阻断
云鲨RASP的疫苗式特性将自身安全保护代码嵌入到运行中的服务器应用程序,通过对访问应用系统的每一段代码进行检测,实时检测所有的应用请求并有效阻断安全攻击,最终实现应用系统的自我保护,确保应用系统的安全运行。
可在管理后台自定义检测和阻断两种基础的威胁免疫模式。检测模式是指在检测到安全攻击时,将详细的攻击参数记录下来;阻断模式不仅能够检测到安全攻击,同时实时拦截检测到的安全攻击,通过相应的风险监控配置,及时获取告警动态及安全风险。
# 2.2 全面的应用漏洞防御
云鲨RASP支持防御Web通用漏洞(如SQL注入、命令执行、XXE、XXS等OWASP漏洞)、第三方框架及开源组件的漏洞(如CNNVD/CNVD/NVD漏洞)和0day漏洞等。
| 覆盖漏洞攻击类型 | |||
|---|---|---|---|
| XSS | SQL注入 | 敏感信息泄露 | SSRF |
| 任意文件上传 | 任意文件修改 | 任意文件读取 | SS任意文件下载 |
| 文件包含 | 命令注入 | 不安全的类/库加载 | 不安全的反序列化 |
| 目录遍历 | XML 外部实体注入(XXE) | SPEL 表达式注入 | MVEL 表达式注入 |
| OGNL 表达式注入 | 命令执行异常暴露 | SQL 注入异常暴露 | WebShell |
表 2-1 覆盖漏洞攻击类型
# 2.3 有效的攻击溯源
云鲨RASP通过对被攻击应用程序与内网流量进行分析,一定程度上还原攻击者的攻击路径与攻击手法,对所有攻击以及攻击特征等信息记录下来并加以分析,通过列表、数据图标等可视化方式进行展示,将攻击特征信息转换成防御优势,针对性地抑制网络攻击。
# 3. 平台主要特性
# 3.1 不让频繁误报造成防护无效
云鲨RASP的疫苗式特性使得其能够有效避免误报,获取来自应用程序体系结构(静态视图)和运行时(动态视图)的丰富信息,从而可以做出准确的决策,这使得零误报成为了可能。相反,传统WAF对应用程序内部逻辑一无所知,这导致大量似是而非的网络攻击载荷被拦截,从而出现大量的误报。根据波内蒙研究院的调查,由于WAF频繁的误报,大量企业的WAF长期处于“检测/仅告警”模式。
# 3.2 消减配置实现降本增效
相比于传统WAF繁琐的规则配置,云鲨RASP被设计为“无感知”的使用方式。日常使用中,不用配置流量规则,没有学习过程,也没有黑名单。这为安全运营团队节省了大量的产品学习、维护、使用成本,为企业的安全运营工作实现了显著的效率提升。
# 3.3 实时自我防护更加灵活高效
云鲨RASP将安全防御能力嵌入到应用自身当中,这意味着程序在何处执行,都会受到完整的保护。这一特性让业务团队可以不再考虑繁杂的应用安全产品部署,更无需更改防火墙规则配置,从而灵活多变地将应用执行于任何的场景之中。
# 4. 专家服务
- 电话热线
全年 365 天、每周 7*24 小时电话热线提供漏洞验证、修复和安全编码指导。用户可以直接电话联系悬镜安全专家探讨内部安全建设和产品使用问题。
- 专属钉钉群
一对一专属微信/钉钉群,解决用户在使用过程中遇到的问题。
- 在线技术支持
悬镜华北、华东、西南及华南技术支持与应急响应中心,7*24 全天候专人值守,结合用户官方授权,第一时间为政企用户提供远程在线诊断、分析和专业咨询服务。
# 5. 获得帮助
云鲨RASP小助手
- 企业电话:010-86469499
- 商务与市场微信:anpro_xmirror
- 邮箱:raspsaas@anpro-tech.com
- 网址:https://www.xmirror.cn/ (opens new window)
- 地址:北京市海淀区中关村软件园一期27号院千方大厦C座
操作手册 →