Gartner 如何看 RASP 和 WAF?
在这个计算机网络飞速发展的网络时代里,新兴的网络威胁正在不断「侵蚀」着的应用程序和核心数据的安全,各种繁杂的防护手段也随之接踵而来。众所周知,Gartner 是全球最具权威的 IT 研究与顾问咨询公司,WAF 和 RASP 就是在不同时期被 Gartner 分析师所推崇的两种防护技术。
一、什么是 WAF?
WAF,即Web Application Firewall,Web 应用防火墙属于边界防火墙的一种。它通常设在 Web 应用程序的入口,拦截并分析所有用户请求,如果其中存在与某种攻击模式相匹配的内容,则禁止这些内容到达 Web 应用程序。WAF 需要提前收集签名,需要使用模式匹配引擎,而 WAF 防御力的强弱就取决于这些签名和引擎的质量。
2014年2月28日,Gartner 发布了题为《Web 应用防火墙值得企业投资》的报告。Gartner 在这份报告中指出,对于大部分公共网站、内部关键业务以及自定义 Web 应用而言,防火墙和入侵防御系统所提供的保护并不足够。报告还指出,WAF 能有效帮助企业的自定义 Web 应用防御网络攻击。
二、什么是 RASP?
RASP, Runtime Application Self-Protection, 实时应用自我保护。RASP 运行在应用程序的内部,它的安全保护控制点通常放在应用程序和其他系统的交互连接点上,包括和用户、数据库、网络以及文件系统的连接点,从而,实时监测并拦截漏洞攻击。RASP 的亮点在于「自我保护」,能够在运行时结合上下文采取相应的保护方案。
Gartner 在2014年应用安全报告里将 RASP 列为应用安全领域的关键趋势,原文引用如下:「Applications should not be delegating most of their runtime protection to the external devices. Applica-tions should be capable of self- protection (i.e., have protection features built into the application runtime environment).」(应用程序不应该依赖外部组件进行运行时保护,而应该具备自我保护的能力,也即建立应用运行时环境保护机制。)
三、Gartner 分析师的辩论 —— Firewall VS RASP
现如今,网络攻防就好像猫鼠游戏。一方面攻击者不断研究出更新、更聪明的方法,生成恶意输入,绕过边界防火墙的过滤器。导致 WAF 不考虑是否真会发起攻击,可疑即阻止,从而造成了比较高的误杀率。另一方面,黑客对现有的应用程序安全防火墙已经越来越熟悉,FQ技术越来越高,再加上现代移动互联和云计算的流行,明显边界的网络拓扑已经越来越少,WAF 起到的作用也越来越小。所以,如果说防火墙还没有「死」,那它也已经无法胜任其本职工作了,那么 RASP 是否可以接替其大部分工作呢?
针对上述问题,在2014年 Gartner 安全和风险管理峰会上,Gartner 分析师们对 Firewall 和 RASP 的价值进行了辩论。Joseph Feiman 认为 RASP 是比传统防火墙(WAF),更好的方法,RASP 是在服务器或客户端中的运行时设备,用来保护应用程序抵御 SQL 注入攻击、XSS 和未经授权的访问等攻击。然而,Gartner 分析师 Greg Young 提出了切中要害的问题,询问:「为什么我们会突然有这种神奇的技术?」
两年来,Gartner 公司一直在追踪 RASP 服务器、客户端和移动应用程序产品,这些产品来自惠普、OneASP、Prevoty、Shape Security、Waratec、Bluebox 和 Lacoon Mobile Security 等。Feiman
表示,尽管边界防火墙可以检测流量和内容,并作出决定终止会话,但边界防火墙并不能看到应用程序内流量是如何处理的,误杀率太高。所以,「停止无休止地投资在边界安全,我们应该教会应用程序保护自己。」,这种运行时保护功能才是安全产品的「未来」。
但 Young 认为 RASP 并不是接替边界防火墙的下一件大事。一方面,现在使用的安全技术中,只有不到1%的安全是基于 RASP,RASP 存在潜在的缺点,例如 RASP 给服务器增加了处理开销和额外的工作量,从而影响了性能。另一方面,目前还不清楚 RASP 是否可以及时修复漏洞以及攻击路径,并抵御拒绝服务攻击。但 Feiman 回复,供应商称这种性能影响不超过服务器生产力的1%。与同类方法(例如 Web 应用程序防火墙)不同,RASP 已经被添加到它要保护的每个操作系统或者手机,这提出了可扩展性以及语言依赖的问题。Young 承认说,Web 应用程序防火墙仍然保持相当小的市场份额。
虽然 RASP 存在性能和潜在的误报的问题,但 Feiman 仍然对这种新兴技术充满热情,他认为这种技术将会被开发出来,在边界防火墙根本无法应对的企业安全发挥关键作用。“我们的边界安全已经失守,”他表示,“我希望大家能够改变我们的观点。”
四、小结
Web 应用防火墙放置在 Web 应用程序外层,拦截所有它认为可疑的输入而并不分析这些输入是如何被应用程序处理的。RASP 会精确分析用户输入在应用程序里的行为,根据分析结果区分合法行为还是攻击行为,然后对攻击行为进行拦截。 RASP 不依赖于网络流量分析,因此避免了新协议解析,字符解码,复杂的正则表达式匹配以及基于签名的威胁鉴别等麻烦。
所以,就像 Gartner 分析师 Feiman 所表述的,改变我们的观点,尝试 RASP,让它成为安全防御体系中最难以逾越的一层。
Gartner 如何看 RASP 和 WAF?的更多相关文章
- RASP 完爆 WAF 的5大理由!
Web 应用防火墙(WAF)已经成为常见 Web 应用普遍采用的安全防护工具,即便如此,WAF 提供的保护方案仍旧存在诸多不足,笔者认为称 WAF 为好的安全监控工具更为恰当.幸运的是,应用安全保护技 ...
- Gartner 2018 年WAF魔力象限报告:云WAF持续增长,Bot管理与API安全拥有未来
Gartner 2018 年WAF魔力象限报告:云WAF持续增长,Bot管理与API安全拥有未来 来源 https://www.freebuf.com/articles/paper/184903.ht ...
- WAF 与 RASP 的安装使用大比拼!
什么是WAF和RASP? WAF全称是Web application firewall,即 Web 应用防火墙.RASP 全称是 Runtime Application Self-protect,即应 ...
- 减少 WAF 漏报的 8 种方法 !
近十年来,WAF 已经逐渐发展成熟,被软件行业接受并成为无数企业保护应用的不二选择.很多大型企业甚至相继亲自设计或通过并购涉足其中,在这个硕大的市场里逐鹿竞争,同时也推动了应用层防火墙的技术演进. 与 ...
- WAF攻防研究之四个层次Bypass WAF
从架构.资源.协议和规则4个层次研究绕过WAF的技术,助于全方位提升WAF防御能力. 绕过WAF的相关技术研究是WAF攻防研究非常重要的一部分,也是最有趣的部分,所以我在写WAF攻防时先写攻击部分.还 ...
- 亚洲唯一:瀚思科技入选2019 Gartner SIEM 领域 Peer Insights,其他第一象限的有splunk和logrithym,elastic==,RSA、fortinet、rapid7和翰思一样都在第二象限
亚洲唯一:瀚思科技入选 Gartner SIEM 领域 Peer Insights 网络安全技术与产业,正在由传统的合规驱动,走向合规与需求双轮驱动.关注用户需求.倾听用户声音,根据实际情况打 ...
- 基于Openresty+Naxsi的WAF:从小白到实践
序 2019年2月18日,加入妈妈网,至今已经有四个月的时间,上周进到一个网关项目组,这个项目的主要目的是基于openResty+Naxsi实现WAF,相关技术初定涉及到openResty.Lua.N ...
- Apache Log4j2,RASP 防御优势及原理
Apache Log4j2 远程代码执行漏洞已爆发一周,安全厂商提供各类防御方案和检测工具,甲方团队连夜应急. 影响持续至今,网上流传的各种利用和绕过姿势还在层出不穷,影响面持续扩大.所有安全人都开始 ...
- RASP | 远程Java应用的RASP调试教程
远程Java应用的RASP调试教程 介绍 Java RASP是基于Java Agent技术实现的,而Java Agent代码无法独立启动,必须依赖于一个Java运行时程序才能运行. 如何调试一个Jav ...
随机推荐
- CodeFile与CodeBehind的区别
引自:http://blog.163.com/wentworth0119@126/blog/static/17321924220122852720103/ asp.net发布项目之后 存在" ...
- linux下神奇的script命令
script 是一个神奇命令,script 能够将终端的会话过程录制下来,然后使用 scriptreplay 就可以将其录制的结果播放给他人观看.script 的好处就在于你在终端中的所有操作.敲过的 ...
- gdal中文路径无法打开问题
在C#中使用OGR读写矢量数据时,需要引用“using OSGeo.OGR;”. 同时为了处理中文路径和中文字段,需要在开始设置下面两个属性,代码如下: //为了支持中文路径,请添加下面这句代码(大多 ...
- ubuntu 安装 fcitx
安装fcitx (1)添加ppa源 sudo add-apt-repository ppa:fcitx-team/nightly 或 sudo add-apt-repository ppa:fcitx ...
- JavaScript高级程序设计(五): js的关键字instanceof和typeof使用
JavaScript中instanceof和typeof 常用来判断一个变量是否为空,或者是什么类型的.但它们之间还是有区别的: 一.typeof 1.含义:typeof返回一个表达式的数据类型的字符 ...
- Codevs 1648 最大和
1648 最大和 时间限制: 1 s 空间限制: 256000 KB 题目等级 : 钻石 Diamond 传送门 题目描述 Description N个数围成一圈,要求从中选择若干个连续的数(注意每个 ...
- Linux的进程优先级
Linux的进程优先级 为什么要有进程优先级?这似乎不用过多的解释,毕竟自从多任务操作系统诞生以来,进程执行占用cpu的能力就是一个必须要可以人为控制的事情.因为有的进程相对重要,而有的进程则没那么重 ...
- datatable 行列转换
using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.T ...
- jsonp 使用示例
客户端: <!DOCTYPE html><html xmlns="http://www.w3.org/1999/xhtml"><head>< ...
- Jquery EasyUI中treegrid的中右键菜单和一般按钮同时绑定事件时的怪异事件
做个项目使用jquery easyui来做前端,也许是对此不是很熟悉,总是发现一些不可理解的事件. 主要源代码如下: <script type="text/javascript&qu ...