边界无限陈佩文：有了WAF、HIDS 为什么还需要一款独立的RASP

投稿
APP
微信扫一扫获取更多

边界无限陈佩文：有了WAF、HIDS 为什么还需要一款独立的RASP

徐誉菁

2024-06-28 00:00:00

图灵汇官网

安全生态的繁荣与革新

在安全领域，百花齐放、百家争鸣的景象展示了行业的蓬勃发展。新兴安全初创企业崭露头角，成为推动创新的重要力量。业内人士普遍认为，大创新往往源自小型企业，它们敢于打破常规，挑战现状；而大公司在保持市场领先地位的同时，面临的挑战在于进行颠覆性创新，这往往触及自身利益，导致决策上的犹豫。

在应用安全防护领域，主机安全厂商尝试简化用户体验，倡导“一个探针”理念，即通过单个组件实现多种安全能力的整合。然而，这种超融合概念虽旨在简化部署，却也可能引发复杂性与潜在风险的增加。在未经充分测试的情况下，批量部署远程应用安全代理（RASP）可能导致风险滞后，进而加剧安全部门与业务部门之间的摩擦。

RASP：构建内生安全的新篇章

面对日益复杂的安全挑战，独立的RASP产品显得尤为重要。传统安全措施往往侧重于网络边界防护，而忽视了应用层的深层防御。RASP通过嵌入应用内部，提供实时的运行时防护，不仅强化了安全层次，还与应用紧密结合，确保了业务连续性和稳定性的同时，赋予了应用内在的安全能力。这种策略在提高安全性的同时，减少了对业务流程的干扰，确保了高效的安全响应。

解决痛点，RASP引领未来

据统计，应用系统的漏洞成为攻击者首选的目标，超过70%的得分来源于利用这些漏洞。面对这一挑战：

积压漏洞的困扰：企业常因快速交付与安全响应之间的矛盾，导致漏洞不断积累。RASP的部署能够大幅减少这一问题，通过自动化手段识别并防御大多数漏洞，从而提高效率，减少成本。
零日攻击的威胁：针对零日攻击和内存马的防御，RASP提供了业界公认的有效手段，帮助企业免受这类新型攻击的困扰。
资产盘点的精准：传统资产梳理方式难以覆盖应用层面的详细信息，RASP通过深入应用内部，实现对应用资产的一目了然，为提升安全水平奠定了基础。
API安全的加固：API攻击已成为新的安全焦点，RASP通过监测和防御影子API、僵尸API等，为API安全提供了有力支持。
第三方系统的安全防护：RASP能够为第三方外采系统提供自免疫功能，有效应对供应链中的安全风险，减少演练攻击失分或实际攻击的影响。
老旧系统的漏洞治理：对于传统架构的老旧业务系统，RASP在代码维护或业务过保期间提供运行时安全防护，解除了企业的一大后顾之忧。
弱密码管理：RASP有效识别并支持整改应用上的弱密码问题，降低了安全风险。
DevOps时代的运行时安全：在DevOps环境下，RASP与持续交付团队紧密协作，确保安全策略与应用功能无缝集成，有效解决了运行时安全问题。
云上应用的安全保障：针对云环境的特性，RASP提供了契合云业务虚拟化、资源池化的安全防护，有效应对东西向流量增长带来的安全挑战。
产品联动的重要性：RASP并非孤立存在，而是与Web应用防火墙（WAF）、主机入侵检测系统（HIDS）、安全运营中心（SOC）等产品高效联动，共同构建起全面的安全防御体系。

组织协同与RASP部署策略

RASP的有效部署与运营需要跨部门的紧密合作。安全部门负责策略制定与监控，应用研发部门负责集成RASP技术，而运维部门则关注日常运维与响应。在特殊架构下，研发部门的安全团队或安全BP可能直接负责RASP的推进。这种协同模式确保了安全措施与业务需求的精准对接。

多产品联动，构建纵深防御

RASP不仅独立发挥其作用，还与其他安全产品如WAF、HIDS、API管理平台、CNAPP（云原生应用保护平台）等高效联动，形成多层次的安全防线。与安全运营中心（SOC）的整合，实现实时的安全事件响应；与API管理平台的数据共享，优化API识别与管理；与WAF协同，提供从网络到应用的全方位防护；与HIDS联防联控，强化主机层面的安全监控。RASP作为CNAPP的重要组成部分，成为构建云原生安全体系的关键环节。

测试先行，确保RASP效能

在RASP的部署初期，选择互联网环境作为测试和部署的起点，特别是供应链软件和开源软件区域，是明智之举。这些区域常是外部攻击的重点目标，通过在此部署RASP，可以快速识别并修复潜在的安全漏洞，为后续全组织范围的部署积累经验。

运营RASP：从告警到改进

RASP平台的高效运营需建立在严格的监控和响应机制之上。通过定期策略审查和优化，确保安全策略与应用发展保持同步，减少误报率。深入分析每个安全告警，不仅确认其有效性，还评估潜在的安全影响，为未来的防御策略提供指导。每一次告警都应被视为学习和改进的机会，促进RASP配置的持续优化，提升整个组织的安全防御能力。