应用程序中存在很多漏洞,导致我们的系统面临着很多的风险。目前比较常见的有两种攻击方式:第一种常见的攻击方式就是跨站脚本攻击 (XSS),黑客可以通过「HTML注入」篡改网页,从而插入恶意的脚本,在用户浏览网页时,控制用户浏览器;第二种是 Cross-site request forgery (跨站请求伪造),像是恶意网站在我们不知情的情况下,以我们的身份在网站上发消息、买东西,甚至转账等。
对企业而言,比较常见的企业级防护方法包括:防火墙、IPS、AV、VPN、漏洞扫描和审计,还有一种就是WAF(Web Application Firewall),这种安全解决方案能够抵抗一些常见的应用层攻击,目前国内的厂商主要有绿盟和启明星辰等。
在2014年9月份,Gartner 的分析师Feiman提出了一种全新概念——实时应用自我保护技术RASP(RuntimeApplication Self-Protection),能够与应用一起运行,结合应用的逻辑和数据流,在运行时对访问应用的代码进行检测;对于已知漏洞打虚拟补丁,起到补偿控制的作用。该技术已成为目前业界已知的对SQL注入防护最高的一种手段,国外的厂商有Waratek等。
近日,OneAPM向36氪介绍他们推出的安全自适应平台OneASP(基于RASP概念的新产品OneRASP),可以集成在应用程序内部,在了解应用上下文的基础上做出判别,进行代码级检测和防护,而且提供了覆盖OWASP TOP 10和常见CVE漏洞的规则集。
OneASP首席安全顾问何迪生是前ISACA(国际信息系统审计师协会) 北京委员会主席、微软大中华区信息安全总监、世界贸易组织(WTO )第六次部长会议首席安全咨询师,他强调,相对于 WAF、漏洞扫描系统等外围安全产品,OneRASP作为实时应用自我防护系统具备以下几方面优势:
不仅能发现系统漏洞,而且能对攻击进行实时自我防护。记录完整攻击路径,将漏洞精确定位到代码行,降低修复漏洞的难度和成本。
相对应 WAF 对每个用户输入都进行全规则集匹配,OneRASP 只在检查的关键点进行防护,比如 SQL 注入只在数据库连接点进行防护。
探针保护程序和应用程序融合为一体,避免额外的调用或通讯消耗,对应用程序性能和用户体验影响小。
通过探针的方式自适应不同规模和部署方式的企业应用的安全防护需求。