在这个计算机网络飞速发展的网络时代里,新兴的网络威胁正在不断「侵蚀」着的应用程序和核心数据的安全,各种繁杂的防护手段也随之接踵而来。众所周知,Gartner 是全球最具权威的 IT 研究与顾问咨询公司,WAF 和 RASP 就是在不同时期被 Gartner 分析师所推崇的两种防护技术。

一、什么是 WAF?

WAF,即Web Application Firewall,Web 应用防火墙属于边界防火墙的一种。它通常设在 Web 应用程序的入口,拦截并分析所有用户请求,如果其中存在与某种攻击模式相匹配的内容,则禁止这些内容到达 Web 应用程序。WAF 需要提前收集签名,需要使用模式匹配引擎,而 WAF 防御力的强弱就取决于这些签名和引擎的质量。

2014年2月28日,Gartner 发布了题为《Web 应用防火墙值得企业投资》的报告。Gartner 在这份报告中指出,对于大部分公共网站、内部关键业务以及自定义 Web 应用而言,防火墙和入侵防御系统所提供的保护并不足够。报告还指出,WAF 能有效帮助企业的自定义 Web 应用防御网络攻击。

二、什么是 RASP?

RASP, Runtime Application Self-Protection, 实时应用自我保护。RASP 运行在应用程序的内部,它的安全保护控制点通常放在应用程序和其他系统的交互连接点上,包括和用户、数据库、网络以及文件系统的连接点,从而,实时监测并拦截漏洞攻击。RASP 的亮点在于「自我保护」,能够在运行时结合上下文采取相应的保护方案。

Gartner 在2014年应用安全报告里将 RASP 列为应用安全领域的关键趋势,原文引用如下:「Applications should not be delegating most of their runtime protection to the external devices. Applica-tions should be capable of self- protection (i.e., have protection features built into the application runtime environment).」(应用程序不应该依赖外部组件进行运行时保护,而应该具备自我保护的能力,也即建立应用运行时环境保护机制。)

三、Gartner 分析师的辩论 —— Firewall VS RASP

现如今,网络攻防就好像猫鼠游戏。一方面攻击者不断研究出更新、更聪明的方法,生成恶意输入,绕过边界防火墙的过滤器。导致 WAF 不考虑是否真会发起攻击,可疑即阻止,从而造成了比较高的误杀率。另一方面,黑客对现有的应用程序安全防火墙已经越来越熟悉,FQ技术越来越高,再加上现代移动互联和云计算的流行,明显边界的网络拓扑已经越来越少,WAF 起到的作用也越来越小。所以,如果说防火墙还没有「死」,那它也已经无法胜任其本职工作了,那么 RASP 是否可以接替其大部分工作呢?

针对上述问题,在2014年 Gartner 安全和风险管理峰会上,Gartner 分析师们对 Firewall 和 RASP 的价值进行了辩论。Joseph Feiman 认为 RASP 是比传统防火墙(WAF),更好的方法,RASP 是在服务器或客户端中的运行时设备,用来保护应用程序抵御 SQL 注入攻击、XSS 和未经授权的访问等攻击。然而,Gartner 分析师 Greg Young 提出了切中要害的问题,询问:「为什么我们会突然有这种神奇的技术?」

两年来,Gartner 公司一直在追踪 RASP 服务器、客户端和移动应用程序产品,这些产品来自惠普、OneASP、Prevoty、Shape Security、Waratec、Bluebox 和 Lacoon Mobile Security 等。Feiman
表示,尽管边界防火墙可以检测流量和内容,并作出决定终止会话,但边界防火墙并不能看到应用程序内流量是如何处理的,误杀率太高。所以,「停止无休止地投资在边界安全,我们应该教会应用程序保护自己。」,这种运行时保护功能才是安全产品的「未来」。

但 Young 认为 RASP 并不是接替边界防火墙的下一件大事。一方面,现在使用的安全技术中,只有不到1%的安全是基于 RASP,RASP 存在潜在的缺点,例如 RASP 给服务器增加了处理开销和额外的工作量,从而影响了性能。另一方面,目前还不清楚 RASP 是否可以及时修复漏洞以及攻击路径,并抵御拒绝服务攻击。但 Feiman 回复,供应商称这种性能影响不超过服务器生产力的1%。与同类方法(例如 Web 应用程序防火墙)不同,RASP 已经被添加到它要保护的每个操作系统或者手机,这提出了可扩展性以及语言依赖的问题。Young 承认说,Web 应用程序防火墙仍然保持相当小的市场份额。

虽然 RASP 存在性能和潜在的误报的问题,但 Feiman 仍然对这种新兴技术充满热情,他认为这种技术将会被开发出来,在边界防火墙根本无法应对的企业安全发挥关键作用。“我们的边界安全已经失守,”他表示,“我希望大家能够改变我们的观点。”

四、小结

Web 应用防火墙放置在 Web 应用程序外层,拦截所有它认为可疑的输入而并不分析这些输入是如何被应用程序处理的。RASP 会精确分析用户输入在应用程序里的行为,根据分析结果区分合法行为还是攻击行为,然后对攻击行为进行拦截。 RASP 不依赖于网络流量分析,因此避免了新协议解析,字符解码,复杂的正则表达式匹配以及基于签名的威胁鉴别等麻烦。

所以,就像 Gartner 分析师 Feiman 所表述的,改变我们的观点,尝试 RASP,让它成为安全防御体系中最难以逾越的一层。

Gartner 如何看 RASP 和 WAF?的更多相关文章

  1. RASP 完爆 WAF 的5大理由!

    Web 应用防火墙(WAF)已经成为常见 Web 应用普遍采用的安全防护工具,即便如此,WAF 提供的保护方案仍旧存在诸多不足,笔者认为称 WAF 为好的安全监控工具更为恰当.幸运的是,应用安全保护技 ...

  2. Gartner 2018 年WAF魔力象限报告:云WAF持续增长,Bot管理与API安全拥有未来

    Gartner 2018 年WAF魔力象限报告:云WAF持续增长,Bot管理与API安全拥有未来 来源 https://www.freebuf.com/articles/paper/184903.ht ...

  3. WAF 与 RASP 的安装使用大比拼!

    什么是WAF和RASP? WAF全称是Web application firewall,即 Web 应用防火墙.RASP 全称是 Runtime Application Self-protect,即应 ...

  4. 减少 WAF 漏报的 8 种方法 !

    近十年来,WAF 已经逐渐发展成熟,被软件行业接受并成为无数企业保护应用的不二选择.很多大型企业甚至相继亲自设计或通过并购涉足其中,在这个硕大的市场里逐鹿竞争,同时也推动了应用层防火墙的技术演进. 与 ...

  5. WAF攻防研究之四个层次Bypass WAF

    从架构.资源.协议和规则4个层次研究绕过WAF的技术,助于全方位提升WAF防御能力. 绕过WAF的相关技术研究是WAF攻防研究非常重要的一部分,也是最有趣的部分,所以我在写WAF攻防时先写攻击部分.还 ...

  6. 亚洲唯一:瀚思科技入选2019 Gartner SIEM 领域 Peer Insights,其他第一象限的有splunk和logrithym,elastic==,RSA、fortinet、rapid7和翰思一样都在第二象限

    亚洲唯一:瀚思科技入选 Gartner SIEM 领域 Peer Insights     网络安全技术与产业,正在由传统的合规驱动,走向合规与需求双轮驱动.关注用户需求.倾听用户声音,根据实际情况打 ...

  7. 基于Openresty+Naxsi的WAF:从小白到实践

    序 2019年2月18日,加入妈妈网,至今已经有四个月的时间,上周进到一个网关项目组,这个项目的主要目的是基于openResty+Naxsi实现WAF,相关技术初定涉及到openResty.Lua.N ...

  8. Apache Log4j2,RASP 防御优势及原理

    Apache Log4j2 远程代码执行漏洞已爆发一周,安全厂商提供各类防御方案和检测工具,甲方团队连夜应急. 影响持续至今,网上流传的各种利用和绕过姿势还在层出不穷,影响面持续扩大.所有安全人都开始 ...

  9. RASP | 远程Java应用的RASP调试教程

    远程Java应用的RASP调试教程 介绍 Java RASP是基于Java Agent技术实现的,而Java Agent代码无法独立启动,必须依赖于一个Java运行时程序才能运行. 如何调试一个Jav ...

随机推荐

  1. VB学习笔记

    stack segment stack 'stack' dw dup() ;此处输入堆栈段代码 stack ends data segment ;IBUF OBUF 看成是内存的地址,IBUF+1和I ...

  2. skynet启动过程_bootstrap

    这遍摘自skynet 的wiki skynet 由一个或多个进程构成,每个进程被称为一个 skynet 节点.本文描述了 skynet 节点的启动流程. skynet 节点通过运行 skynet 主程 ...

  3. 单台电脑上启动多个Modelsim图形环境窗口的简单办法(windows)

    1 单台电脑上启动多个Modelsim图形环境窗口的简单办法(windows) http://blog.21ic.com/user1/3128/archives/2010/73447.html   单 ...

  4. 通过文件读写方式实现Matlab和Modelsim的联合仿真

    虽然Modelsim的功能非常强大,仿真的波形可以以多种形式进行显示,但是当涉及到数字信号处理的算法的仿真验证的时候,则显得有点不足.而进行数字信号处理是Matlab的强项,不但有大量的关于数字信号处 ...

  5. hdu 1570 AC

    A C Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others) Total Submis ...

  6. 关于利用动态代理手写数据库连接池的异常 java.lang.ClassCastException: com.sun.proxy.$Proxy0 cannot be cast to java.sql.Connection

    代码如下: final Connection conn=pool.remove(0); //利用动态代理改造close方法 Connection proxy= (Connection) Proxy.n ...

  7. pageContext.request.contextPath

    jsp:<c:set var="ctxStatic" value="${pageContext.request.contextPath}"/>嵌套d ...

  8. Runtime运行时学习(一)

    其实Runtime已经开源: 下载objc4-437.1.tar.gz来看看源码: 参考: http://blog.cocoabit.com/2014-10-06-yi-li-jie-objctive ...

  9. OC - 7.Foundation框架的简单介绍

    OC语言-07-OC语言-Foundation框架   结构体 NSRange/CGRange 用来表示一个元素在另一个元素中的范围,NSRange等价于CGRange 包含两个属性: NSUInte ...

  10. bzoj2732: [HNOI2012]射箭 半平面交

    这题乍一看与半平面交并没有什么卵联系,然而每个靶子都可以转化为两个半平面. scanf("%lf%lf%lf",&x,&ymin,&ymax); 于是乎就有 ...