web 應用防火牆(waf)已經成為常見 web 應用普遍採用的安全防護工具,即便如此,waf 提供的保護方案仍舊存在諸多不足,筆者認為稱 waf 為好的安全監控工具更為恰當。幸運的是,應用安全保護技術也在快速發展,執行時應用程式自我保護系統(簡稱 rasp)之概念,一經 gartner 提出,立即受到熱烈追捧。業界普遍認為 rasp 會成為新一代應用漏洞的「超級克星」。
web 應用安全防火牆(waf)部署在 web 應用程式前線,可以實時掃瞄和過濾 web 請求與使用者輸入的資料。因此,waf 在監控進出 web 應用程式/資料庫的有害使用者輸入和不正常的資料流上非常有效率,這也使 waf 在過去十多年間非常受歡迎。
waf 有兩種工作模式:
檢測模式:尋找惡意輸入和違規行為模式。
阻塞模式:攔截可疑使用者輸入。
waf 具備防護多種常見安全攻擊(如 sql 注入和跨站攻擊(xss))的能力。但 waf 基於流量分析,不理解應用的上下文,因此它也有很多與生俱來的缺陷。
waf 最大的缺點是一旦應用程式**有所改變,相應的配置也需要改變。一旦更新不及時或者更新失敗,都會產生大量的誤報(false-positives)。當 waf 設定為攔截模式時,這些誤報會產生 ddos 攻擊或導致效能問題。
waf 無法檢查應用程式的漏洞,更無法解決已知漏洞。它不了解應用程式,不能深入到資料流裡探測系統特有的問題,比如 sql 注入。每個資料庫的 sql 語言都有諸多不同,waf 無法防範針對具體資料庫的 sql 注入之攻擊行為。
實時應用程式自我保護(rasp)繼承了 waf 的大部分功能,使應用程式很好地保護自己。rasp 會監聽每乙個與應用程式交換的節點,覆蓋所有應用程式的訪問節點,包括:使用者、資料庫、網路和檔案系統。
因為了解應用程式的上下文,rasp 完全清楚應用程式的輸入輸出,因此它可以根據具體的資料流定製合適的保護機制,從而可以達到非常精確的實時攻擊識別和攔截。
rasp 的工作原理請見下圖:
rasp 在可疑行為進入應用程式時並不攔截,而是先對其進行標記,在輸出時再檢查是否為危險行為,從而儘量減少誤報和漏報的概率。這對精確性要求極高的銀行、金融體系的應用程式保護尤其重要,因為這些應用程式對效能和可用性要求非常高。
極少誤報率:不同於 waf,rasp 不依賴於分析網路流量去尋找問題,除了發現漏洞或發現攻擊行為,它通常不會發出任何聲音。這樣能極大地減少誤報率。rasp 能非常精確地區分攻擊和合法輸入,而 waf 很多時候無法做到,這大大減少了專門請人分析結果的成本,也不需要掃瞄修復的過程。
**維護成本極低:**waf 的安裝過程非常複雜,需要非常精確的配置以盡可能廣的覆蓋應用程式。為了獲得更好的效果,幾乎每次 web 應用程式發布新版時都需要對管理員進行「培訓」並對 waf 進行針對性的重新配置。但大多數企業都無法做得這麼及時與完善,這就可能導致大量的誤報與效能問題。與之相對,rasp 幾乎可以做到開箱即用,只需要非常簡單的配置就可以使用。這得益於rasp 與應用程式融為一體的特性,在應用程式內部監控實時資料。
極高的覆蓋度和相容性:rasp 安全系統可以應用到任何可注入的應用程式,能處理絕大多數的網路協議:http、 https、ajax、sql 與 soap。而 waf 通過監控網路流量提供保護,因此只支援 web 應用程式(http)。此外,waf 需要特定的解析器、協議分析工具或其他元件來分析應用程式使用的其他網路協議,這會導致一些相容性與效能問題。
**更全面的保護:**waf 在分析與過濾使用者輸入並檢測有害行為方面還是比較有效的,但是對應用程式的輸出檢查則毫無辦法。rasp 不但能監控使用者輸入,也能監控應用程式元件的輸出,這就使 rasp 具備了全面防護的能力。rasp 解決方案能夠定位 waf 通常無法檢測到的嚴重問題——未處理的異常、會話劫持、許可權提公升和敏感資料披露等等。gartner 分析師 joseph 很清楚地描述了這一點。
**可以與 sast 完美整合:**rasp 可以與 sast 方案無縫整合,比如靜態**分析工具(sca)。這使得企業全程掌控產品的整個生命週期,從早期的開發階段,一直到後期製作和部署。waf 工具根本無法做到這一點,也不能提供任何補救措施。將 rasp 和 sast 結合使用可以帶來兩個顯著的好處:
快速緩解攻擊:從另外乙個角度看,使用 rasp 能快速定位漏洞,這得益於 sast 的先期掃瞄結果,rasp 和 sast 的結合使用對於大型企業尤其重要,快速修復漏洞能節約大量時間,大幅降低漏洞帶來的風險。這是 waf 所無法提供的。
誠然,waf 是乙個值得尊敬的後期安全保護工具,但是它先天的缺點導致公司不得不考慮其他選擇。使用 rasp 解決方案能根本性提公升應用程式的自動免疫能力,即便黑客攻擊已滲入應用程式內部,也能從容應對。隨著黑客技術日趨複雜,應用程式的安全性也必須發展提高。rasp 和 sast 的組合,可以說是當今最好的應用安全保護組合。
rasp 提供商
rasp 是乙個新興的概念,現在能真正提供 rasp 服務的公司並不多,惠普是乙個比較出名的大廠商有。但在國內只有一家安全初創企業 oneasp 在做 rasp 的產品,這也是一款擁有完全智財權的國產安全產品。onerasp(實時應用自我保護)是一種基於雲的應用程式自我保護服務, 可以為軟體產品提供實時保護,使其免受漏洞所累。
使用Mockup Plus的九大理由
mockup 是最好的輕量級原型設計工具之一。免費 夠用 敏捷,是它的主要特點。關注設計,而非工具,是它帶給設計人員的理念。1.不為工具所累,關注設計而不是工具 mockup plus超級簡單,但是功能夠用。你根本不用專門學習如何使用。記住 工具畢竟是工具,工具只是輔助你的工作,不要讓工具左右你的工...
使用Mockplus的九大理由
簡潔高效,是它的主要產品特點。關注設計,而非工具,是它帶給設計人員的理念。1.不為工具所累,關注設計而不是工具 mockplus超級簡單,但是功能夠用。你根本不用專門學習如何使用。記住 工具畢竟是工具,工具只是輔助你的工作,不要讓工具左右你的工作,讓工具成為你的負擔。真正的劍客,劍只是攻防 厲害的是...
ABAP OO的八大理由 二
1.abap oo更加明確所以更易於使用。例如在使用abap oo你的程式的執行流程不再是由執行時隱含的控制。這樣你就可以自己去設計程式所執行的流程了而不必像面向過程那樣去了解和服從外部控制機制 即報表和dialog screen的事件 2.abap oo具有更加清晰的語法和語義規則,比如一些容易出...