作者丨赖文昕
编辑丨陈彩娴
应用安全危机四伏
2024年的网络安全形势依旧严峻。
2月,澳大利亚电信公司 Tangerine 遭遇网络攻击,导致23万人的个人信息泄露;3月,人工智能图像编辑工具 Cutout.Pro 有约 2000 万会员用户的电子邮件地址、IP 地址及姓名等敏感信息被放在数据泄露论坛上出售;4月,网络安全公司 Sekoia 发现蠕虫病毒 PlugX 的新变种已经在全球范围感染了超过250万台主机,传播到全球170个国家;紧接着,由 Elon Musk 创立的航空航天制造商和太空运输服务公司 SpaceX 也遭遇了网络攻击,泄露了近150 GB 数据以及三千份图纸。
短短不到半年,海外就发生了多起网络攻击与数据泄露事件。无独有偶,国内的网络安全事件也频频发生。
比如,广州20万网约车司机的个人信息被公开售卖,暴露了移动出行平台在用户数据安全上的重大漏洞;山东省互联网网络安全状况整体评价虽为“良”,但木马和僵尸网络活动增加,表明网络犯罪分子正不断寻找新的攻击手段。
而根据国际数据公司(IDC)的预测,到2025年,全球将开发并部署大约7.5亿个基于云原生技术的应用程序,到2027年,全球每年新生成的数据量预计将达到惊人的291 ZB,几乎是2022年数据量的三倍。
不难发现,在 AI 浪潮轰轰烈烈的席卷下,应用程序的增长速度正呈指数级上升,数据量的增长也呈现出爆炸性的趋势,针对应用程序的攻击越来越多,攻击手段也越来越复杂。
毋庸置疑,应用安全已经成为网络安全的首要任务。而这其实是一系列的连锁反应:
企业将越来越多的业务流程和客户服务转移到线上,意味着不得不开发和部署更多的应用程序来满足这些日益增长的需求。
应用程序数量的增加,意味着它们所处理的重要数据量也在增加,这吸引了更多的攻击者不断演进其攻击手段,利用应用程序中的漏洞发起攻击,导致数据泄露事件频繁发生。
伴随而来的还有普及率持续攀升的云服务。企业愈发依赖基础设施即服务(IaaS)和其他云服务,以支持其应用程序的运行。云环境下边界的概念模糊,更多架设在边界的传统安全自然无法发挥作用。
同时,微服务架构也成为新的焦点。为了提升灵活性和可扩展性,企业纷纷转向微服务架构,使得应用程序由多个小型、独立的服务构成,而非传统的单一应用。这也增加了应用程序的复杂性,带来了新的安全挑战。
此外,开源代码和第三方库的广泛使用,虽然为开发带来了便利,但也引入了潜在的安全风险。这些组件可能包含未被发现的安全漏洞,一旦被攻击者利用,就会对整个应用程序的安全构成威胁。
企业对业务连续性和服务可用性的要求不断提高,任何应用安全事件导致的服务中断都可能给企业带来巨大的经济损失。因此,如何确保应用程序的安全,成为了企业亟待解决的难题。
具体而言,攻击者针对应用程序的攻击手段日益多样化,包括恶意软件、0day/Nday 漏洞以及 OWASP 十大漏洞。而且,基于凭证的攻击和针对 API 的攻击也变得日益频繁。在 API 安全方面,注入攻击与配置错误导致的攻击也越来越常见。
总之,随着应用程序数量和复杂性的显著增长,企业必须采取全面和前瞻性的安全措施,以确保其应用程序和 API 的安全,同时支持业务的持续增长和创新。
RASP 技术:应用安全的终极防线
那么,究竟什么措施才能有效防护应用安全呢?
目前,市场上涌现了众多安全工具,各自在应用程序的不同生命周期阶段发挥着关键作用。这些工具包括了静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST)、交互式应用程序安全测试(IAST)、运行时应用程序自我保护(RASP)和 Web 应用防火墙(WAF)等等。
在软件开发的早期阶段,静态代码分析(SAST)通过深入检查源代码,帮助开发者发现并修复潜在的安全漏洞和编程错误。这种方法能够在不运行应用程序的情况下快速识别问题,从而降低后期修复的成本和复杂性。
随着应用程序进入预生产阶段,交互式应用程序安全测试(IAST)开始发挥作用,它结合了 SAST 的深度代码分析和 DAST 的行为分析,通过监控用户与应用程序的交互,提供更准确的漏洞检测。
当应用程序部署到生产环境后,动态应用程序安全测试(DAST)便成为关键的安全措施。DAST 通过模拟黑客攻击,对运行中的应用程序进行实时的安全检测,识别出可能的安全漏洞,为企业提供即时的安全反馈。
而运行时应用程序自我保护(RASP)技术则为应用程序提供了一种更为全面的保护机制。
与传统的 WAF 解决方案相比,RASP 在多个方面展现出其优势。
RASP 技术确保了高度的准确性和可靠性,通过精确监控数据流和逻辑,仅在恶意输入到达关键库函数时触发警报;它在高负载环境下稳定运行,持续检测代码安全;能向开发人员提供清晰的漏洞修复指导;适应多种网络协议,无需了解协议细节即可保护应用程序;能够自动适应应用变化,通过学习获得应用上下文,实现智能安全防护。
WAF 解决方案则因独立于应用架构,无法深入代码层面识别安全威胁,主要依赖已知威胁签名方法检测,面对未知威胁时效果有限。同时,WAF 在 API 支持上也存在局限,需要安全团队大量手动管理和调整,增加了成本并可能引入安全风险。
相比之下,RASP 技术通过插桩直接集成到应用内部,实现实时代码保护。这种深入到应用内部的监控方式,能够有效地识别和防御各种威胁,在应用运行时提供精确的事件监控和分析,不依赖可能出错的模型预测。
因为能够区分真正的攻击行为和无害的安全探测,RASP 避免了边界解决方案常见的误报和漏报问题,而且还能够对那些传统边界安全措施可能忽视的未知威胁和 0day 漏洞攻击提供保护。这种实时的安全检查和响应能力,使得RASP 成为了一种强大的安全工具。
然而,RASP 技术相对较新,成熟度和市场认知度与 WAF 相比仍有一定差距。更重要的是,由于 RASP 需要嵌入到应用程序内部,部署和维护难度更大,用户在选择时便会权衡 RASP 技术能带来多大价值,以及为了使用 RASP 技术需要付出多大的代价。
因此,如何在 RASP 方案中消除用户的疑虑,就成为了不少安全公司正在摸索的方向。
青藤天睿•RASP:为应用植入原生安全能力
RASP,即"Runtime Application Self-Protection"(运行时应用程序自我保护),在2014年被 Gartner 公司的应用安全报告确定为该领域的一个重要发展趋势。
但由于技术发展的限制与对其入侵性的担忧,RASP 自诞生以来并未在网络安全领域得到广泛应用。青藤云安全则是少数觉察到 RASP 技术在应用安全的重要性并采取行动的布局者之一。
青藤最新的天睿•RASP应用安全防护方案具有6大核心功能。
首先,因为攻击行为无法绕过应用程序的底层调用,青藤天睿•RASP 能通过无规则的逻辑检测,有效防御 0day 攻击和其他已知攻击。
第二,对于内存马攻击,青藤天睿•RASP 能够深入应用内部,通过三层防护措施全面拦截攻击,处理好无论是企图注入还是已经注入的情形。
第三,青藤天睿•RASP 提供应用热补丁功能,能够在不重启应用的情况下,对运行中的应用程序进行补丁修复,及时响应新爆发的漏洞。
第四,它还具备弱密码检测能力,通过监控登录行为来识别弱密码,支持应用和中间件的检测,并根据企业需求设置规则。
第五,它能获取完整的应用调用链路信息,帮助定位代码,展示微服务的拓扑结构,发现服务调用风险,以及监测不同应用间的访问关系。
最后,它还能实时监控和发现组件库的调用情况,分析版本信息,提供组件库的安全治理,避免供应链攻击。
以上六大核心功能使得青藤天睿•RASP 的防护效果十分显著。由于运行在应用程序内部,监控接口调用,因此它相比边界拦截有更高的成功率。它对业务的影响很小,Agent 可以动态安装和卸载,无需业务重启,不影响其他服务进程,并且与业务代码不冲突。其 RASP 技术还适配所有 Java 版本,与其他 Java Agent 兼容性良好,不干扰系统现有功能。模块化的设计也使得各个插件独立运作,易于扩展,并具备动态开关机制,确保资源占用最小化。
“RASP 能为应用植入原生安全能力,”胡俊认为,“我们得在确保风险是可管理的同时,让大家了解 RASP 技术的价值远不止目前所展现的这些,愿意相信并尝试它。”
那么,青藤天睿•RASP 具体能应用在什么场景之中呢?
作为应用层安全的关键组件,RASP 技术与 HIDS、WAF 等安全工具相结合,构建了一个多层次、纵深的防御体系,在多种安全场景中发挥着重要作用,特别是在攻防演练、应用风险监测、恶意攻击防护和漏洞在线修复等方面。
在攻防演练中,青藤天睿•RASP 能够深入应用程序内部,提供对东西向流量和内部调用的可视化,有效拦截 0day 和内存马等攻击,解决了传统安全工具在检测容器微服务流量和加密流量方面的不足。
应用风险监测方面,青藤天睿•RASP 通过实时监控应用程序运行过程,能够准确识别应用中间件的漏洞,并发现应用弱密码等显著风险问题。它为用户绘制了一份详尽的风险画像,指导用户确认风险问题并推进修复。
在恶意攻击防护方面,青藤天睿•RASP 基于无规则的逻辑检测,监控应用底层调用,使得攻击无法绕过,为安全人员提供详尽的攻击链路,便于漏洞定位和复现,弥补了传统入侵防护方案在未知攻击检测上的不足。
而对于漏洞在线修复,青藤天睿•RASP 展现出其热补丁能力,通过特征匹配和深入漏洞利用原理的屏蔽,有效进行漏洞应急防护,尤其对于老旧系统中的漏洞,即使没有直接补丁可用,也能提供即时的安全防护,防止黑客攻击。
此外,与其他安全产品相比,青藤云安全的优势也十分明显。
他们的产品体系采用统一的 Agent 架构,大大简化了部署和扩展工作。因为已经在大量客户中部署了 Agent,在此基础上便轻易解决了 RASP 覆盖的问题,也为产品在多种环境中的适配打下了坚实基础。
其次,产品的稳定性和适配性已得到了大规模客户的验证。胡俊分享道,在大规模 RASP 的应用中,他们摸索出通过动态注入和分批上线的策略,优化了实施部署的过程。
写在最后
十年前,主机安全领域的发展还处于早期阶段,许多组织对在服务器上部署安全代理(Agent)持有疑虑。
但随着时间的推移、技术验证和威胁形势的演变,主机安全代理因其在提高威胁检测和响应能力方面的效果,逐渐被广泛接受并成为企业网络安全的重要组成部分。
而在今天,RASP 技术的推广同样受到了限制。
据胡俊观察,目前金融和运营商行业的客户由于安全体系相对完善,技术能力强,加上有复杂的系统和大量的应用,更愿意尝试 RASP 技术,“这并不是说其他行业不会采用RASP,而是头部行业会先行一步,其他行业随后会跟上。”
总的来说,RASP 技术的推广不会受到特定规模和行业限制,随着安全意识的提高和技术的发展,它有望逐渐被更多行业接受和采用。
RASP 技术会成为“守护”网络安全的新一代“守护神”吗?让我们拭目以待。
本文作者 anna042023 将持续关注AI大模型领域的人事、企业、商业应用以及行业发展趋势,欢迎添加交流,互通有无。