RASP技術，"入侵者"如何成為網絡安全"守護神"？

作者丨賴文昕

編輯丨陳彩嫻

應用安全危機四伏

2024年的網絡安全形勢依舊嚴峻。

2月，澳大利亞電信公司 Tangerine 遭遇網絡攻擊，導致23萬人的個人信息泄露；3月，人工智能圖像編輯工具 Cutout.Pro 有約 2000 萬會員用戶的電子郵件地址、IP 地址及姓名等敏感信息被放在數據泄露論壇上出售；4月，網絡安全公司 Sekoia 發現蠕蟲病毒 PlugX 的新變種已經在全球范圍感染了超過250萬臺主機，傳播到全球170個國家；緊接著，由 Elon Musk 創立的航空航天制造商和太空運輸服務公司 SpaceX 也遭遇了網絡攻擊，泄露了近150 GB 數據以及三千份圖紙。

短短不到半年，海外就發生了多起網絡攻擊與數據泄露事件。無獨有偶，國內的網絡安全事件也頻頻發生。

比如，廣州20萬網約車司機的個人信息被公開售賣，暴露了移動出行平臺在用戶數據安全上的重大漏洞；山東省互聯網網絡安全狀況整體評價雖為“良”，但木馬和僵尸網絡活動增加，表明網絡犯罪分子正不斷尋找新的攻擊手段。

而根據國際數據公司（IDC）的預測，到2025年，全球將開發并部署大約7.5億個基于云原生技術的應用程序，到2027年，全球每年新生成的數據量預計將達到驚人的291 ZB，幾乎是2022年數據量的三倍。

不難發現，在 AI 浪潮轟轟烈烈的席卷下，應用程序的增長速度正呈指數級上升，數據量的增長也呈現出爆炸性的趨勢，針對應用程序的攻擊越來越多，攻擊手段也越來越復雜。

毋庸置疑，應用安全已經成為網絡安全的首要任務。而這其實是一系列的連鎖反應：

企業將越來越多的業務流程和客戶服務轉移到線上，意味著不得不開發和部署更多的應用程序來滿足這些日益增長的需求。

應用程序數量的增加，意味著它們所處理的重要數據量也在增加，這吸引了更多的攻擊者不斷演進其攻擊手段，利用應用程序中的漏洞發起攻擊，導致數據泄露事件頻繁發生。

伴隨而來的還有普及率持續攀升的云服務。企業愈發依賴基礎設施即服務（IaaS）和其他云服務，以支持其應用程序的運行。云環境下邊界的概念模糊，更多架設在邊界的傳統安全自然無法發揮作用。

同時，微服務架構也成為新的焦點。為了提升靈活性和可擴展性，企業紛紛轉向微服務架構，使得應用程序由多個小型、獨立的服務構成，而非傳統的單一應用。這也增加了應用程序的復雜性，帶來了新的安全挑戰。

此外，開源代碼和第三方庫的廣泛使用，雖然為開發帶來了便利，但也引入了潛在的安全風險。這些組件可能包含未被發現的安全漏洞，一旦被攻擊者利用，就會對整個應用程序的安全構成威脅。

企業對業務連續性和服務可用性的要求不斷提高，任何應用安全事件導致的服務中斷都可能給企業帶來巨大的經濟損失。因此，如何確保應用程序的安全，成為了企業亟待解決的難題。

具體而言，攻擊者針對應用程序的攻擊手段日益多樣化，包括惡意軟件、0day/Nday 漏洞以及 OWASP 十大漏洞。而且，基于憑證的攻擊和針對 API 的攻擊也變得日益頻繁。在 API 安全方面，注入攻擊與配置錯誤導致的攻擊也越來越常見。

總之，隨著應用程序數量和復雜性的顯著增長，企業必須采取全面和前瞻性的安全措施，以確保其應用程序和 API 的安全，同時支持業務的持續增長和創新。

RASP 技術：應用安全的終極防線

那么，究竟什么措施才能有效防護應用安全呢？

目前，市場上涌現了眾多安全工具，各自在應用程序的不同生命周期階段發揮著關鍵作用。這些工具包括了靜態應用程序安全測試（SAST）、動態應用程序安全測試（DAST）、交互式應用程序安全測試（IAST）、運行時應用程序自我保護（RASP）和 Web 應用防火墻（WAF）等等。

在軟件開發的早期階段，靜態代碼分析（SAST）通過深入檢查源代碼，幫助開發者發現并修復潛在的安全漏洞和編程錯誤。這種方法能夠在不運行應用程序的情況下快速識別問題，從而降低后期修復的成本和復雜性。

隨著應用程序進入預生產階段，交互式應用程序安全測試（IAST）開始發揮作用，它結合了 SAST 的深度代碼分析和 DAST 的行為分析，通過監控用戶與應用程序的交互，提供更準確的漏洞檢測。

當應用程序部署到生產環境后，動態應用程序安全測試（DAST）便成為關鍵的安全措施。DAST 通過模擬黑客攻擊，對運行中的應用程序進行實時的安全檢測，識別出可能的安全漏洞，為企業提供即時的安全反饋。

而運行時應用程序自我保護（RASP）技術則為應用程序提供了一種更為全面的保護機制。

與傳統的 WAF 解決方案相比，RASP 在多個方面展現出其優勢。

RASP 技術確保了高度的準確性和可靠性，通過精確監控數據流和邏輯，僅在惡意輸入到達關鍵庫函數時觸發警報；它在高負載環境下穩定運行，持續檢測代碼安全；能向開發人員提供清晰的漏洞修復指導；適應多種網絡協議，無需了解協議細節即可保護應用程序；能夠自動適應應用變化，通過學習獲得應用上下文，實現智能安全防護。

WAF 解決方案則因獨立于應用架構，無法深入代碼層面識別安全威脅，主要依賴已知威脅簽名方法檢測，面對未知威脅時效果有限。同時，WAF 在 API 支持上也存在局限，需要安全團隊大量手動管理和調整，增加了成本并可能引入安全風險。

相比之下，RASP 技術通過插樁直接集成到應用內部，實現實時代碼保護。這種深入到應用內部的監控方式，能夠有效地識別和防御各種威脅，在應用運行時提供精確的事件監控和分析，不依賴可能出錯的模型預測。

因為能夠區分真正的攻擊行為和無害的安全探測，RASP 避免了邊界解決方案常見的誤報和漏報問題，而且還能夠對那些傳統邊界安全措施可能忽視的未知威脅和 0day 漏洞攻擊提供保護。這種實時的安全檢查和響應能力，使得RASP 成為了一種強大的安全工具。

然而，RASP 技術相對較新，成熟度和市場認知度與 WAF 相比仍有一定差距。更重要的是，由于 RASP 需要嵌入到應用程序內部，部署和維護難度更大，用戶在選擇時便會權衡 RASP 技術能帶來多大價值，以及為了使用 RASP 技術需要付出多大的代價。

“以前 RASP 的市場需求并沒有得到充分釋放。它的推廣需要解決價值與成本之間的平衡問題，以便用戶能夠看到其潛在價值并愿意接受相對較高的部署成本?！鼻嗵僭瓢踩摵蟿撌既思娈a品副總裁胡俊告訴雷峰網(公眾號：雷峰網)。

因此，如何在 RASP 方案中消除用戶的疑慮，就成為了不少安全公司正在摸索的方向。

青藤天睿?RASP：為應用植入原生安全能力

RASP，即"Runtime Application Self-Protection"（運行時應用程序自我保護），在2014年被 Gartner 公司的應用安全報告確定為該領域的一個重要發展趨勢。

但由于技術發展的限制與對其入侵性的擔憂，RASP 自誕生以來并未在網絡安全領域得到廣泛應用。青藤云安全則是少數覺察到 RASP 技術在應用安全的重要性并采取行動的布局者之一。

青藤最新的天睿?RASP應用安全防護方案具有6大核心功能。

首先，因為攻擊行為無法繞過應用程序的底層調用，青藤天睿?RASP 能通過無規則的邏輯檢測，有效防御 0day 攻擊和其他已知攻擊。

第二，對于內存馬攻擊，青藤天睿?RASP 能夠深入應用內部，通過三層防護措施全面攔截攻擊，處理好無論是企圖注入還是已經注入的情形。

第三，青藤天睿?RASP 提供應用熱補丁功能，能夠在不重啟應用的情況下，對運行中的應用程序進行補丁修復，及時響應新爆發的漏洞。

第四，它還具備弱密碼檢測能力，通過監控登錄行為來識別弱密碼，支持應用和中間件的檢測，并根據企業需求設置規則。

第五，它能獲取完整的應用調用鏈路信息，幫助定位代碼，展示微服務的拓撲結構，發現服務調用風險，以及監測不同應用間的訪問關系。

最后，它還能實時監控和發現組件庫的調用情況，分析版本信息，提供組件庫的安全治理，避免供應鏈攻擊。

以上六大核心功能使得青藤天睿?RASP 的防護效果十分顯著。由于運行在應用程序內部，監控接口調用，因此它相比邊界攔截有更高的成功率。它對業務的影響很小，Agent 可以動態安裝和卸載，無需業務重啟，不影響其他服務進程，并且與業務代碼不沖突。其 RASP 技術還適配所有 Java 版本，與其他 Java Agent 兼容性良好，不干擾系統現有功能。模塊化的設計也使得各個插件獨立運作，易于擴展，并具備動態開關機制，確保資源占用最小化。

“RASP 能為應用植入原生安全能力，”胡俊認為，“我們得在確保風險是可管理的同時，讓大家了解 RASP 技術的價值遠不止目前所展現的這些，愿意相信并嘗試它?！?/p>

那么，青藤天睿?RASP 具體能應用在什么場景之中呢？

作為應用層安全的關鍵組件，RASP 技術與 HIDS、WAF 等安全工具相結合，構建了一個多層次、縱深的防御體系，在多種安全場景中發揮著重要作用，特別是在攻防演練、應用風險監測、惡意攻擊防護和漏洞在線修復等方面。

在攻防演練中，青藤天睿?RASP 能夠深入應用程序內部，提供對東西向流量和內部調用的可視化，有效攔截 0day 和內存馬等攻擊，解決了傳統安全工具在檢測容器微服務流量和加密流量方面的不足。

應用風險監測方面，青藤天睿?RASP 通過實時監控應用程序運行過程，能夠準確識別應用中間件的漏洞，并發現應用弱密碼等顯著風險問題。它為用戶繪制了一份詳盡的風險畫像，指導用戶確認風險問題并推進修復。

在惡意攻擊防護方面，青藤天睿?RASP 基于無規則的邏輯檢測，監控應用底層調用，使得攻擊無法繞過，為安全人員提供詳盡的攻擊鏈路，便于漏洞定位和復現，彌補了傳統入侵防護方案在未知攻擊檢測上的不足。

而對于漏洞在線修復，青藤天睿?RASP 展現出其熱補丁能力，通過特征匹配和深入漏洞利用原理的屏蔽，有效進行漏洞應急防護，尤其對于老舊系統中的漏洞，即使沒有直接補丁可用，也能提供即時的安全防護，防止黑客攻擊。

此外，與其他安全產品相比，青藤云安全的優勢也十分明顯。

他們的產品體系采用統一的 Agent 架構，大大簡化了部署和擴展工作。因為已經在大量客戶中部署了 Agent，在此基礎上便輕易解決了 RASP 覆蓋的問題，也為產品在多種環境中的適配打下了堅實基礎。

其次，產品的穩定性和適配性已得到了大規?？蛻舻尿炞C。胡俊分享道，在大規模 RASP 的應用中，他們摸索出通過動態注入和分批上線的策略，優化了實施部署的過程。

而且，成立于2014年的青藤云安全，至今在端側安全檢測能力已有十年的積累?！笆甑募夹g積累使我們在內存攻擊、應用漏洞、虛擬補丁等方面具備了強大的安全檢測能力。這些能力也被應用到了我們的 RASP 產品中，使其在安全檢測方面表現出色?！焙「嬖V雷峰網。

寫在最后

十年前，主機安全領域的發展還處于早期階段，許多組織對在服務器上部署安全代理（Agent）持有疑慮。

但隨著時間的推移、技術驗證和威脅形勢的演變，主機安全代理因其在提高威脅檢測和響應能力方面的效果，逐漸被廣泛接受并成為企業網絡安全的重要組成部分。

而在今天，RASP 技術的推廣同樣受到了限制。

“這是一種全行業適配的安全解決方案，適用于所有面臨應用威脅的場景，是對安全點位的重要補充。但它本身具有一定的侵入性，對用戶技術要求較高，也需要用戶在安全建設上有一定的基礎。”胡俊告訴雷峰網，“企業不僅要有能力駕馭這項技術，還需要在觀念上接受它。這種觀念的轉變是一個過程，需要企業認識到 RASP 的價值，并對其帶來的成本有清晰的認識?！?/p>

據胡俊觀察，目前金融和運營商行業的客戶由于安全體系相對完善，技術能力強，加上有復雜的系統和大量的應用，更愿意嘗試 RASP 技術，“這并不是說其他行業不會采用RASP，而是頭部行業會先行一步，其他行業隨后會跟上?！?/p>

總的來說，RASP 技術的推廣不會受到特定規模和行業限制，隨著安全意識的提高和技術的發展，它有望逐漸被更多行業接受和采用。

RASP 技術會成為“守護”網絡安全的新一代“守護神”嗎？讓我們拭目以待。

本文作者 anna042023 將持續關注AI大模型領域的人事、企業、商業應用以及行業發展趨勢，歡迎添加交流，互通有無。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。