用什么来保护Web应用的安全?
猜想大部分安全从业者都会答复:“WAF(Web Application Firewall, 应用步伐防火墙)。”不过RASP(Runtime Application Self-Protection,应用运行时自我保护)横空出世,好像有取而代之的意味。
恒久以来,防火墙一直是大家公认的反抗外部攻击的关键步伐。而WAF作为防火墙中的“偏科生”,更善于于分析应用流量。简单而言,WAF是一种专门用于分析HTTP/HTTPS流量的专用防火墙,可以深入到每一次 HTTP/HTTPS请求和详情中去检查是否包罗敏感字段,然后放行正常行为,拦截恶意行为,就像自来水过滤器一样,把“杂质”从庞大的流量中剔除出去,这样应用步伐就只会响应正常的请求,从而到达保护应用步伐的目的。
图1 WAF的工作位置
WAF的逆境
WAF粗看起来像是一个浅易且成熟的解决方案,但在实际真正使用时,大概会面临很多挑战。
1. 规则与业务场景无法对应
WAF实际上是以一种简单粗暴的方式来保护应用的。WAF在分析流量时,只会针对一条流量举行分析,不会关联上下文。例如某个请求参数为:
1+AND+3*2*1%3D6+AND+388%3D388
这种流量在WAF解析时大概会面临以下两种情况。
这个参数虽然看起来像是 SQL注入的情势,但是背后的逻辑大概和SQL处理惩罚没有关系,比如在SPEL等表达式中,也大概会有类似的写法。如果严格按照该逻辑去分析流量,就有大概造成误报。
另外一种情况是,如果处理惩罚这条请求背后的应用确实举行了SQL操纵,但是已经使用了预编译等方式对传入数据举行了清洗,那么这个请求实际上并不会对业务自己造成危害,所以也会产生误报。
因此,在设置WAF规则的时候,如果过于严格,就会造成误报;过于宽松,又会导致真正具有风险的流量被放过。这便需要专家针对企业的业务场景举行调整,这个工作并不是一劳永逸,随着时间的推移、应用的更迭,WAF计谋也需要不断调整。
2. 可以被轻松绕过
绕过WAF防御的紧张方式是对流量举行加密和混淆。WAF在解密流量时,由于无法深入到应用内部,因此只能对HTTPS流量举行解密,再深一层就无能为力了,比如将数据通过Base64加密,乃至只需简单切换字母的巨细写就可以绕过WAF的防御。
例如Shiro RememberMe字段是使用AES加密的Base64编码,但是其AES加密密钥却是硬编码的,因此可以使用如下游程举行WAF绕过:
图2 WAF绕过示例流程
当Shiro服务器吸收到恶意构造的RememberMe Cookie后,将会对其举行Base64解码、AES解密,最终将会反序列化构造好的恶意命令,最终导致被攻击。针对此类攻击,所有的通信数据都是颠末加密的,WAF从流量侧无法理解这样的流量,也就无法举行有用的拦截。
3. 无法防御0day漏洞
由于自身工作机制,WAF可以在防御已知漏洞方面起到效果,但是无法防御0day漏洞。攻击者可以在厂商发布计谋更新前就开始使用0day漏洞,而WAF通常在漏洞爆发的数小时后才华完成计谋更新。
4. 维护成本高
WAF的维护不仅限于上述防护计谋的维护,还体如今对于应用的适配上。目前很多WAF产品都提供了“虚拟补丁”功能,可以用来修复应用步伐的缺陷,而不需要修改源代码。但这实际上给WAF维护职员带来了巨大的挑战,因为安全运营职员需要同时对业务逻辑和WAF设置参数具备深入了解后,才华写出精准且高效的计谋。
RASP真能取代WAF吗?
就像WAF是防火墙的演进版本一样,大家喜欢把RASP称为下一代WAF。WAF紧张解决了防火墙不能根据流量内容举行拦截的问题,而RASP虽然解决了WAF所不能解决的上下文关联的问题,但是它的出现实在并不是为了取代WAF。
图3 RASP工作原理表示图
从原理上来看,RASP是从应用内部对关键函数操纵的数据举行分析,纵然原始请求颠末加密和混淆,但是它在应用内传播到最终的底层函数时将会以明文方式被RASP截获,因此相比WAF能减少大量的误报和漏报问题。基于此特性,RASP还能为安全职员和开发职员提供更为详尽的攻击链路,包括攻击原始 Payload、代码调用堆栈等信息,方便他们举行漏洞定位、复现以及修复。
虽然RASP较为友好地解决了WAF的不敷之处,可以截获真正具有风险的操纵,但是它由于构建在应用步伐内部,而且只对风险操纵举行拦截,这样相对 WAF缺失了从宏观上对流量的监控,对于例如CC攻击、爬虫、恶意扫描等攻击行为缺少有用的防御本领。另外,RASP由于和运行时情况耦合,在实际应用时,会更关注性能和兼容性影响:
01
性能影响
RASP工作在应用运行时情况,不可制止会占用应用的计算资源。例如对于XSS(跨站脚本攻击)类攻击,需要在用户请求和服务器响应中分析有无恶意脚本,目前业界接纳的办法是使用正则表达式举行匹配。然而在一些使用庞大表单的应用中,XSS的正则匹配将会消耗大量的资源。对于这种情况,可以根据业务场景,控制匹配精度(正则匹配范围)来调整检测精度和检测速率。
02
兼容性
RASP虽然可以关联应用步伐上下文,但是对于业务的真实应用场景的理解仍旧不能做到精准。例如对于一些有运维属性的应用,需要管理员从Web直接编辑命令举行实验,但是探针并不能理解类似这样的业务场景,导致命令实验被拦截。对于此类情况,可以通过设置白名单等方式来解决。另外一点,由于 RASP 探针需要工作在应用运行时情况,这就对探针的语言支持和框架支持提出了较高要求。悬镜通过“单探针”计谋,在探针兼容性层面已经得到金融电商、泛互联网、车联网、电信运营商、能源电力等行业的广泛验证。
合则两利,分则两败
当单独使用WAF或者RASP的时候,它们都因为自身的短板,在一些问题上显得力不从心。但当两者结合时,它们都将在自己善于的领域大放异彩。
1. WAF的上风
(1)攻击前流量预警:攻击者在实施真正的攻击前,会产生大量的异常流量,这些流量包括推测服务器情况信息、可注入点尝试等。这些流量通常不会直接造成危害,因此RASP大概无法获悉全量的攻击流量(只会处理惩罚大概有危害的流量),而WAF可以完备记录异常流量。
(2)对于CC攻击、爬虫、恶意扫描和脚本小子(script kiddie)这些大流量的攻击或者有明显攻击特征的流量,如果让其直接打到装有RASP插桩的应用上,会造成不须要的性能占用;另外由于RASP会占用应用步伐的计算资源,因此也不适合举行过于复杂的计算。所以对于此类攻击,最好的办法就是使用WAF从流量侧对其分析和拦截。
2. RASP的上风
(1)拦截混淆和加密的流量:如前文所述,RASP并不需要对流量举行解密,可以根据场景对恶意行为举行分析,有用拦截被经心筹划的攻击流量。
(2)针对业务场景举行优化:基于RASP函数Hook的特性,不仅可以对通用类、框架类的函数举行插桩,也可以对自研代码部分举行插桩。例如对于应用在交付前来不及修补的漏洞,可以通过函数级别的虚拟补丁提供防护,保证应用按时交付。
(3)极低的维护成本:除了根据需要设置虚拟补丁外,由于RASP从底层函数举行保护,所以根本上不需要对RASP的规则做任何调整即可实现应用的安全内建。
(4)兼顾东西向流量安全:RASP工作在应用步伐内部,不仅可以分析南北向流量的风险,也可以分析企业内部,应用之间东西向流量的风险。例如微服务架构中涉及多个模块间的调用,它们之间通常会使用rpc等非http协议来举行数据交换,传统的 WAF 通常对其无能为力。而 RASP 则可以很好的解决这样的问题。
(5)防御0day漏洞:RASP可以保护应用运行时情况中的所有代码,包括自研代码、第三方组件、Web应用容器(Tomcat、Django、Flask等)。例如最近几个波及范围较广的0day漏洞:Log4j2 RCE(CVE-2021-44228)、Spring4Shell(CVE-2022-22965)、Fastjson反序列化漏洞(https://github.com/alibaba/fastjson/wiki/security_update_20220523),虽然攻击方式有变化,但是最终实施攻击总是需要调用一些底层的方法/函数。无论攻击入口如何变化、攻击本领如何潜伏,都无法绕开最终关键函数的实验过程,因此RASP一定能对其举行有用拦截。
3. RASP + WAF
图4 WAF与RASP组成纵深防御体系
(1)WAF提供真实的攻击来源:企业的应用通常都是在网关或者反向代理之后的,当流量进入应用时,RASP探针在大多数情况下实在只能拿到反向代理或者网关的IP地址,这对于分析攻击来源非常不利。可以借助WAF对所有进入的流量添加Headers(例如 X-Forwarded-For),标记真实来源IP,方便对RASP拦截的攻击事件举行溯源。
(2)通过RASP拦截信息生成WAF黑名单:攻击者如果能绕过WAF举行攻击,将会给应用带来负担。通过自动化流程将RASP拦截的攻击者来源IP生成WAF IP黑名单,将会大大减慢攻击者的攻击进程,给安全职员夺取应急响应的时间。
(3)根据RASP拦截信息生成WAF计谋:例如RASP将异常的SQL实验上报后,安全职员可以通过分析得出那些敏感参数,并在WAF中举行标记,这既可以大大降低RASP给应用带来的性能消耗,同时也能让WAF警报更加正确。
(4)WAF与RASP联动,可以扩大应用安全防护范围:近期攻防演练活动中,红方越来越喜欢使用 0day、内存马这样的本领举行攻击,RASP可以有用举行防御。
图5 WAF+RASP部署架构表示图
总结
RASP和WAF最大的区别是:WAF的目的是发现可疑的流量,RASP则是发现具有威胁的行为。由于近期反复大的0day漏洞事件,RASP因其特点,在防护未知攻击方面,发挥了紧张的作用。但是RASP并不是要取代WAF,两者是完全不同的技术,各有各的上风,也各有各的不敷。WAF作为恪尽职守的哨兵,监视来自外部的可疑入侵;RASP则作为应用的贴身保镖,防御来自内部和外部的致命攻击。
国内RASP工具推荐
1.云鲨RASP
基于运行时情境感知技术的新一代应用威胁免疫平台
悬镜云鲨RASP自顺应威胁免疫平台作为悬镜安全第三代DevSecOps数字供应链安全管理体系中运营环节的一连检测响应平台,通过专利级AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调理算法及纵深流量学习算法等关键技术,将主动防御本领“注入”到业务应用中,借助强盛的应用上下文情景分析本领,可捕捉并防御各种绕过流量检测的攻击方式,提供兼具业务透视和功能解耦的内生主动安全免疫本领,为业务应用出厂默认安全免疫迎来革新发展。
核心本领
Al智 能 威 胁 发 现
传统边界防御产品对应用内部逻辑一无所知,云鲨RASP 可智能获取来自应用步伐体系结构和运行时的丰富 信息,结合上下文感知异常行为,全面发现各类已知及未知威胁,包括 OWASP Web/API应用代码漏洞、第 三方开源组件漏洞、各类组件反序列化、WebShell 及内存马等,误报率更低、检测更精准,更能代码级定位 漏洞源头,极大提升修复效率。
组件级资产测绘
结合运行时SCA 技术,在应用运行过程中实时获取所调用的第三方组件信息,包括组件名称、版本、路径 等,并能获取到调用组件的具体方法、传入参数和返回值等运行时上下文数据,帮助企业全面正确地把握应用中的第三方组件资产,为后续的组件管理、风险评估和合规审计等工作提供紧张基础。
攻击检测及溯源
对访问应用请求的每 一 段代码举行检测,实时监测非法操纵和攻击行为,毫秒级告警攻击事件、阻断恶意攻 击;通过分析被攻击应用步伐与内网流量,还原攻击者的攻击路径与攻击手法、记录攻击特征,实现对未知 攻击本领的狩猎。
API 防 护
可 自 动 识 别 应 用API 资产,可视化展示全量接口,基于攻击数据统计生成API 接口风险品级,并可 一 键添加热补 丁 , 及 时 修 复API风 险 。
风险修复
可动态下发热补丁,在不停止业务的条件下为应用体系提供应急防护;同时支持自由编辑表达式,用户可灵活 创建及组合多个子补丁,面对APT 高级威胁时构筑 一 道全面的防御墙。
供应链安全谍报预警
实时监控和分析环球数字供应链谍报,通过Al智能算法和威胁模型,自动识别组件和供应商的潜在安全风险, 并精准预警可疑活动和新出现的威胁,结合企业组件资产地图,精准推送风险预警消息的同时生成相关热修复 补丁,保障线上数字资产安全。
2. 安百科技:灵蜥 — 应用体系攻击自免疫平台
灵蜥平台是北京安百科技研发的一款RASP防御产品,基于RASP技术原理,与应用步伐的运行情况和开发语言无缝结合并高度融合。通过修复应用自身内部缺陷,使应用自身具备攻击免疫本领,依托安百科技全网态势感知与漏洞谍报下发防御计谋,灵蜥同时还能够提供虚拟补丁举行“热修复”,使应用自身防御本领不断提升,应对已知和未知风险。 目前灵蜥平台已经升级到了2.0版本,在RASP技术研究方面处于行业该领域先列。
·3.百度安全:OpenRASP
OpenRASP是百度安全开源的一款RASP产品,从属于百度 OAESE 智能终端安全生态联盟,是此中五大开放技术之一。目前OpenRASP已经上线两年,得到了国内很多安全研究员的关注。OpenRASP插件开发简单,大大降低了使用门槛,开源的rasp产品让更多的企业以及安全研究者接触和认识到了rasp技术。
4.安数云:WEB应用实时防护体系RASP WAF
安数云RASP WAF体系是安数云2017年研发的一款RASP产品,是国内较早推出RASP WAF体系的安全厂商之一。
作为提供RASP安全产品的代表性企业,安百科技CEO王青龙以为, RASP 技术基于这种独特的上风有望在应用安全市场上形成新的趋势。尽管久远来看RASP技术大概会与传统的WAF技术形成竞争关系,但接下来很长一段时间内,RASP仍旧是对边界防护产品的一种良性补充。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 | 
