作者丨賴文昕

編輯丨陳彩嫻

應(yīng)用安全危機(jī)四伏

2024年的網(wǎng)絡(luò)安全形勢(shì)依舊嚴(yán)峻。

2月，澳大利亞電信公司 Tangerine 遭遇網(wǎng)絡(luò)攻擊，導(dǎo)致23萬人的個(gè)人信息泄露；3月，人工智能圖像編輯工具 Cutout.Pro 有約 2000 萬會(huì)員用戶的電子郵件地址、IP 地址及姓名等敏感信息被放在數(shù)據(jù)泄露論壇上出售；4月，網(wǎng)絡(luò)安全公司 Sekoia 發(fā)現(xiàn)蠕蟲病毒 PlugX 的新變種已經(jīng)在全球范圍感染了超過250萬臺(tái)主機(jī)，傳播到全球170個(gè)國(guó)家；緊接著，由 Elon Musk 創(chuàng)立的航空航天制造商和太空運(yùn)輸服務(wù)公司 SpaceX 也遭遇了網(wǎng)絡(luò)攻擊，泄露了近150 GB 數(shù)據(jù)以及三千份圖紙。

短短不到半年，海外就發(fā)生了多起網(wǎng)絡(luò)攻擊與數(shù)據(jù)泄露事件。無獨(dú)有偶，國(guó)內(nèi)的網(wǎng)絡(luò)安全事件也頻頻發(fā)生。

比如，廣州20萬網(wǎng)約車司機(jī)的個(gè)人信息被公開售賣，暴露了移動(dòng)出行平臺(tái)在用戶數(shù)據(jù)安全上的重大漏洞；山東省互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況整體評(píng)價(jià)雖為“良”，但木馬和僵尸網(wǎng)絡(luò)活動(dòng)增加，表明網(wǎng)絡(luò)犯罪分子正不斷尋找新的攻擊手段。

而根據(jù)國(guó)際數(shù)據(jù)公司（IDC）的預(yù)測(cè)，到2025年，全球?qū)㈤_發(fā)并部署大約7.5億個(gè)基于云原生技術(shù)的應(yīng)用程序，到2027年，全球每年新生成的數(shù)據(jù)量預(yù)計(jì)將達(dá)到驚人的291 ZB，幾乎是2022年數(shù)據(jù)量的三倍。

不難發(fā)現(xiàn)，在 AI 浪潮轟轟烈烈的席卷下，應(yīng)用程序的增長(zhǎng)速度正呈指數(shù)級(jí)上升，數(shù)據(jù)量的增長(zhǎng)也呈現(xiàn)出爆炸性的趨勢(shì)，針對(duì)應(yīng)用程序的攻擊越來越多，攻擊手段也越來越復(fù)雜。

毋庸置疑，應(yīng)用安全已經(jīng)成為網(wǎng)絡(luò)安全的首要任務(wù)。而這其實(shí)是一系列的連鎖反應(yīng)：

企業(yè)將越來越多的業(yè)務(wù)流程和客戶服務(wù)轉(zhuǎn)移到線上，意味著不得不開發(fā)和部署更多的應(yīng)用程序來滿足這些日益增長(zhǎng)的需求。

應(yīng)用程序數(shù)量的增加，意味著它們所處理的重要數(shù)據(jù)量也在增加，這吸引了更多的攻擊者不斷演進(jìn)其攻擊手段，利用應(yīng)用程序中的漏洞發(fā)起攻擊，導(dǎo)致數(shù)據(jù)泄露事件頻繁發(fā)生。

伴隨而來的還有普及率持續(xù)攀升的云服務(wù)。企業(yè)愈發(fā)依賴基礎(chǔ)設(shè)施即服務(wù)（IaaS）和其他云服務(wù)，以支持其應(yīng)用程序的運(yùn)行。云環(huán)境下邊界的概念模糊，更多架設(shè)在邊界的傳統(tǒng)安全自然無法發(fā)揮作用。

同時(shí)，微服務(wù)架構(gòu)也成為新的焦點(diǎn)。為了提升靈活性和可擴(kuò)展性，企業(yè)紛紛轉(zhuǎn)向微服務(wù)架構(gòu)，使得應(yīng)用程序由多個(gè)小型、獨(dú)立的服務(wù)構(gòu)成，而非傳統(tǒng)的單一應(yīng)用。這也增加了應(yīng)用程序的復(fù)雜性，帶來了新的安全挑戰(zhàn)。

此外，開源代碼和第三方庫(kù)的廣泛使用，雖然為開發(fā)帶來了便利，但也引入了潛在的安全風(fēng)險(xiǎn)。這些組件可能包含未被發(fā)現(xiàn)的安全漏洞，一旦被攻擊者利用，就會(huì)對(duì)整個(gè)應(yīng)用程序的安全構(gòu)成威脅。

企業(yè)對(duì)業(yè)務(wù)連續(xù)性和服務(wù)可用性的要求不斷提高，任何應(yīng)用安全事件導(dǎo)致的服務(wù)中斷都可能給企業(yè)帶來巨大的經(jīng)濟(jì)損失。因此，如何確保應(yīng)用程序的安全，成為了企業(yè)亟待解決的難題。

具體而言，攻擊者針對(duì)應(yīng)用程序的攻擊手段日益多樣化，包括惡意軟件、0day/Nday 漏洞以及 OWASP 十大漏洞。而且，基于憑證的攻擊和針對(duì) API 的攻擊也變得日益頻繁。在 API 安全方面，注入攻擊與配置錯(cuò)誤導(dǎo)致的攻擊也越來越常見。

總之，隨著應(yīng)用程序數(shù)量和復(fù)雜性的顯著增長(zhǎng)，企業(yè)必須采取全面和前瞻性的安全措施，以確保其應(yīng)用程序和 API 的安全，同時(shí)支持業(yè)務(wù)的持續(xù)增長(zhǎng)和創(chuàng)新。

RASP 技術(shù)：應(yīng)用安全的終極防線

那么，究竟什么措施才能有效防護(hù)應(yīng)用安全呢？

目前，市場(chǎng)上涌現(xiàn)了眾多安全工具，各自在應(yīng)用程序的不同生命周期階段發(fā)揮著關(guān)鍵作用。這些工具包括了靜態(tài)應(yīng)用程序安全測(cè)試（SAST）、動(dòng)態(tài)應(yīng)用程序安全測(cè)試（DAST）、交互式應(yīng)用程序安全測(cè)試（IAST）、運(yùn)行時(shí)應(yīng)用程序自我保護(hù)（RASP）和 Web 應(yīng)用防火墻（WAF）等等。

在軟件開發(fā)的早期階段，靜態(tài)代碼分析（SAST）通過深入檢查源代碼，幫助開發(fā)者發(fā)現(xiàn)并修復(fù)潛在的安全漏洞和編程錯(cuò)誤。這種方法能夠在不運(yùn)行應(yīng)用程序的情況下快速識(shí)別問題，從而降低后期修復(fù)的成本和復(fù)雜性。

隨著應(yīng)用程序進(jìn)入預(yù)生產(chǎn)階段，交互式應(yīng)用程序安全測(cè)試（IAST）開始發(fā)揮作用，它結(jié)合了 SAST 的深度代碼分析和 DAST 的行為分析，通過監(jiān)控用戶與應(yīng)用程序的交互，提供更準(zhǔn)確的漏洞檢測(cè)。

當(dāng)應(yīng)用程序部署到生產(chǎn)環(huán)境后，動(dòng)態(tài)應(yīng)用程序安全測(cè)試（DAST）便成為關(guān)鍵的安全措施。DAST 通過模擬黑客攻擊，對(duì)運(yùn)行中的應(yīng)用程序進(jìn)行實(shí)時(shí)的安全檢測(cè)，識(shí)別出可能的安全漏洞，為企業(yè)提供即時(shí)的安全反饋。

而運(yùn)行時(shí)應(yīng)用程序自我保護(hù)（RASP）技術(shù)則為應(yīng)用程序提供了一種更為全面的保護(hù)機(jī)制。

與傳統(tǒng)的 WAF 解決方案相比，RASP 在多個(gè)方面展現(xiàn)出其優(yōu)勢(shì)。

RASP 技術(shù)確保了高度的準(zhǔn)確性和可靠性，通過精確監(jiān)控?cái)?shù)據(jù)流和邏輯，僅在惡意輸入到達(dá)關(guān)鍵庫(kù)函數(shù)時(shí)觸發(fā)警報(bào)；它在高負(fù)載環(huán)境下穩(wěn)定運(yùn)行，持續(xù)檢測(cè)代碼安全；能向開發(fā)人員提供清晰的漏洞修復(fù)指導(dǎo)；適應(yīng)多種網(wǎng)絡(luò)協(xié)議，無需了解協(xié)議細(xì)節(jié)即可保護(hù)應(yīng)用程序；能夠自動(dòng)適應(yīng)應(yīng)用變化，通過學(xué)習(xí)獲得應(yīng)用上下文，實(shí)現(xiàn)智能安全防護(hù)。

WAF 解決方案則因獨(dú)立于應(yīng)用架構(gòu)，無法深入代碼層面識(shí)別安全威脅，主要依賴已知威脅簽名方法檢測(cè)，面對(duì)未知威脅時(shí)效果有限。同時(shí)，WAF 在 API 支持上也存在局限，需要安全團(tuán)隊(duì)大量手動(dòng)管理和調(diào)整，增加了成本并可能引入安全風(fēng)險(xiǎn)。

相比之下，RASP 技術(shù)通過插樁直接集成到應(yīng)用內(nèi)部，實(shí)現(xiàn)實(shí)時(shí)代碼保護(hù)。這種深入到應(yīng)用內(nèi)部的監(jiān)控方式，能夠有效地識(shí)別和防御各種威脅，在應(yīng)用運(yùn)行時(shí)提供精確的事件監(jiān)控和分析，不依賴可能出錯(cuò)的模型預(yù)測(cè)。

因?yàn)槟軌騾^(qū)分真正的攻擊行為和無害的安全探測(cè)，RASP 避免了邊界解決方案常見的誤報(bào)和漏報(bào)問題，而且還能夠?qū)δ切﹤鹘y(tǒng)邊界安全措施可能忽視的未知威脅和 0day 漏洞攻擊提供保護(hù)。這種實(shí)時(shí)的安全檢查和響應(yīng)能力，使得RASP 成為了一種強(qiáng)大的安全工具。

然而，RASP 技術(shù)相對(duì)較新，成熟度和市場(chǎng)認(rèn)知度與 WAF 相比仍有一定差距。更重要的是，由于 RASP 需要嵌入到應(yīng)用程序內(nèi)部，部署和維護(hù)難度更大，用戶在選擇時(shí)便會(huì)權(quán)衡 RASP 技術(shù)能帶來多大價(jià)值，以及為了使用 RASP 技術(shù)需要付出多大的代價(jià)。

“以前 RASP 的市場(chǎng)需求并沒有得到充分釋放。它的推廣需要解決價(jià)值與成本之間的平衡問題，以便用戶能夠看到其潛在價(jià)值并愿意接受相對(duì)較高的部署成本?！鼻嗵僭瓢踩?lián)合創(chuàng)始人兼產(chǎn)品副總裁胡俊告訴雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))。

因此，如何在 RASP 方案中消除用戶的疑慮，就成為了不少安全公司正在摸索的方向。

青藤天睿?RASP：為應(yīng)用植入原生安全能力

RASP，即"Runtime Application Self-Protection"（運(yùn)行時(shí)應(yīng)用程序自我保護(hù)），在2014年被 Gartner 公司的應(yīng)用安全報(bào)告確定為該領(lǐng)域的一個(gè)重要發(fā)展趨勢(shì)。

但由于技術(shù)發(fā)展的限制與對(duì)其入侵性的擔(dān)憂，RASP 自誕生以來并未在網(wǎng)絡(luò)安全領(lǐng)域得到廣泛應(yīng)用。青藤云安全則是少數(shù)覺察到 RASP 技術(shù)在應(yīng)用安全的重要性并采取行動(dòng)的布局者之一。

青藤最新的天睿?RASP應(yīng)用安全防護(hù)方案具有6大核心功能。

首先，因?yàn)楣粜袨闊o法繞過應(yīng)用程序的底層調(diào)用，青藤天睿?RASP 能通過無規(guī)則的邏輯檢測(cè)，有效防御 0day 攻擊和其他已知攻擊。

第二，對(duì)于內(nèi)存馬攻擊，青藤天睿?RASP 能夠深入應(yīng)用內(nèi)部，通過三層防護(hù)措施全面攔截攻擊，處理好無論是企圖注入還是已經(jīng)注入的情形。

第三，青藤天睿?RASP 提供應(yīng)用熱補(bǔ)丁功能，能夠在不重啟應(yīng)用的情況下，對(duì)運(yùn)行中的應(yīng)用程序進(jìn)行補(bǔ)丁修復(fù)，及時(shí)響應(yīng)新爆發(fā)的漏洞。

第四，它還具備弱密碼檢測(cè)能力，通過監(jiān)控登錄行為來識(shí)別弱密碼，支持應(yīng)用和中間件的檢測(cè)，并根據(jù)企業(yè)需求設(shè)置規(guī)則。

第五，它能獲取完整的應(yīng)用調(diào)用鏈路信息，幫助定位代碼，展示微服務(wù)的拓?fù)浣Y(jié)構(gòu)，發(fā)現(xiàn)服務(wù)調(diào)用風(fēng)險(xiǎn)，以及監(jiān)測(cè)不同應(yīng)用間的訪問關(guān)系。

最后，它還能實(shí)時(shí)監(jiān)控和發(fā)現(xiàn)組件庫(kù)的調(diào)用情況，分析版本信息，提供組件庫(kù)的安全治理，避免供應(yīng)鏈攻擊。

以上六大核心功能使得青藤天睿?RASP 的防護(hù)效果十分顯著。由于運(yùn)行在應(yīng)用程序內(nèi)部，監(jiān)控接口調(diào)用，因此它相比邊界攔截有更高的成功率。它對(duì)業(yè)務(wù)的影響很小，Agent 可以動(dòng)態(tài)安裝和卸載，無需業(yè)務(wù)重啟，不影響其他服務(wù)進(jìn)程，并且與業(yè)務(wù)代碼不沖突。其 RASP 技術(shù)還適配所有 Java 版本，與其他 Java Agent 兼容性良好，不干擾系統(tǒng)現(xiàn)有功能。模塊化的設(shè)計(jì)也使得各個(gè)插件獨(dú)立運(yùn)作，易于擴(kuò)展，并具備動(dòng)態(tài)開關(guān)機(jī)制，確保資源占用最小化。

“RASP 能為應(yīng)用植入原生安全能力，”胡俊認(rèn)為，“我們得在確保風(fēng)險(xiǎn)是可管理的同時(shí)，讓大家了解 RASP 技術(shù)的價(jià)值遠(yuǎn)不止目前所展現(xiàn)的這些，愿意相信并嘗試它?！?/p>

那么，青藤天睿?RASP 具體能應(yīng)用在什么場(chǎng)景之中呢？

作為應(yīng)用層安全的關(guān)鍵組件，RASP 技術(shù)與 HIDS、WAF 等安全工具相結(jié)合，構(gòu)建了一個(gè)多層次、縱深的防御體系，在多種安全場(chǎng)景中發(fā)揮著重要作用，特別是在攻防演練、應(yīng)用風(fēng)險(xiǎn)監(jiān)測(cè)、惡意攻擊防護(hù)和漏洞在線修復(fù)等方面。

在攻防演練中，青藤天睿?RASP 能夠深入應(yīng)用程序內(nèi)部，提供對(duì)東西向流量和內(nèi)部調(diào)用的可視化，有效攔截 0day 和內(nèi)存馬等攻擊，解決了傳統(tǒng)安全工具在檢測(cè)容器微服務(wù)流量和加密流量方面的不足。

應(yīng)用風(fēng)險(xiǎn)監(jiān)測(cè)方面，青藤天睿?RASP 通過實(shí)時(shí)監(jiān)控應(yīng)用程序運(yùn)行過程，能夠準(zhǔn)確識(shí)別應(yīng)用中間件的漏洞，并發(fā)現(xiàn)應(yīng)用弱密碼等顯著風(fēng)險(xiǎn)問題。它為用戶繪制了一份詳盡的風(fēng)險(xiǎn)畫像，指導(dǎo)用戶確認(rèn)風(fēng)險(xiǎn)問題并推進(jìn)修復(fù)。

在惡意攻擊防護(hù)方面，青藤天睿?RASP 基于無規(guī)則的邏輯檢測(cè)，監(jiān)控應(yīng)用底層調(diào)用，使得攻擊無法繞過，為安全人員提供詳盡的攻擊鏈路，便于漏洞定位和復(fù)現(xiàn)，彌補(bǔ)了傳統(tǒng)入侵防護(hù)方案在未知攻擊檢測(cè)上的不足。

而對(duì)于漏洞在線修復(fù)，青藤天睿?RASP 展現(xiàn)出其熱補(bǔ)丁能力，通過特征匹配和深入漏洞利用原理的屏蔽，有效進(jìn)行漏洞應(yīng)急防護(hù)，尤其對(duì)于老舊系統(tǒng)中的漏洞，即使沒有直接補(bǔ)丁可用，也能提供即時(shí)的安全防護(hù)，防止黑客攻擊。

此外，與其他安全產(chǎn)品相比，青藤云安全的優(yōu)勢(shì)也十分明顯。

他們的產(chǎn)品體系采用統(tǒng)一的 Agent 架構(gòu)，大大簡(jiǎn)化了部署和擴(kuò)展工作。因?yàn)橐呀?jīng)在大量客戶中部署了 Agent，在此基礎(chǔ)上便輕易解決了 RASP 覆蓋的問題，也為產(chǎn)品在多種環(huán)境中的適配打下了堅(jiān)實(shí)基礎(chǔ)。

其次，產(chǎn)品的穩(wěn)定性和適配性已得到了大規(guī)模客戶的驗(yàn)證。胡俊分享道，在大規(guī)模 RASP 的應(yīng)用中，他們摸索出通過動(dòng)態(tài)注入和分批上線的策略，優(yōu)化了實(shí)施部署的過程。

而且，成立于2014年的青藤云安全，至今在端側(cè)安全檢測(cè)能力已有十年的積累?！笆甑募夹g(shù)積累使我們?cè)趦?nèi)存攻擊、應(yīng)用漏洞、虛擬補(bǔ)丁等方面具備了強(qiáng)大的安全檢測(cè)能力。這些能力也被應(yīng)用到了我們的 RASP 產(chǎn)品中，使其在安全檢測(cè)方面表現(xiàn)出色?！焙「嬖V雷峰網(wǎng)。

寫在最后

十年前，主機(jī)安全領(lǐng)域的發(fā)展還處于早期階段，許多組織對(duì)在服務(wù)器上部署安全代理（Agent）持有疑慮。

但隨著時(shí)間的推移、技術(shù)驗(yàn)證和威脅形勢(shì)的演變，主機(jī)安全代理因其在提高威脅檢測(cè)和響應(yīng)能力方面的效果，逐漸被廣泛接受并成為企業(yè)網(wǎng)絡(luò)安全的重要組成部分。

而在今天，RASP 技術(shù)的推廣同樣受到了限制。

“這是一種全行業(yè)適配的安全解決方案，適用于所有面臨應(yīng)用威脅的場(chǎng)景，是對(duì)安全點(diǎn)位的重要補(bǔ)充。但它本身具有一定的侵入性，對(duì)用戶技術(shù)要求較高，也需要用戶在安全建設(shè)上有一定的基礎(chǔ)。”胡俊告訴雷峰網(wǎng)，“企業(yè)不僅要有能力駕馭這項(xiàng)技術(shù)，還需要在觀念上接受它。這種觀念的轉(zhuǎn)變是一個(gè)過程，需要企業(yè)認(rèn)識(shí)到 RASP 的價(jià)值，并對(duì)其帶來的成本有清晰的認(rèn)識(shí)?！?/p>

據(jù)胡俊觀察，目前金融和運(yùn)營(yíng)商行業(yè)的客戶由于安全體系相對(duì)完善，技術(shù)能力強(qiáng)，加上有復(fù)雜的系統(tǒng)和大量的應(yīng)用，更愿意嘗試 RASP 技術(shù)，“這并不是說其他行業(yè)不會(huì)采用RASP，而是頭部行業(yè)會(huì)先行一步，其他行業(yè)隨后會(huì)跟上?！?/p>

總的來說，RASP 技術(shù)的推廣不會(huì)受到特定規(guī)模和行業(yè)限制，隨著安全意識(shí)的提高和技術(shù)的發(fā)展，它有望逐漸被更多行業(yè)接受和采用。

RASP 技術(shù)會(huì)成為“守護(hù)”網(wǎng)絡(luò)安全的新一代“守護(hù)神”嗎？讓我們拭目以待。

本文作者 anna042023 將持續(xù)關(guān)注AI大模型領(lǐng)域的人事、企業(yè)、商業(yè)應(yīng)用以及行業(yè)發(fā)展趨勢(shì)，歡迎添加交流，互通有無。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。