談到企業級網站應用程式防護的產品,絕大多數人想到的都是網站應用程式防火牆(WAF),不過,在2018年的DevOpsDays Taipei大會,以及 2019年臺灣資安大會,我們皆看到有講者提到一種新的作法,稱為「執行期間應用系統自我防護(Runtime Application Self-Protection,RASP)」,能跟著應用系統一同運作,若偵測到攻擊行為,RASP會予以攔截,提供自我保護的作用。

但當時他們著重的使用層面,主要是應用程式安全測試、程式碼安全掃描,以及軟體安全開發流程整合,與SAST、DAST、IAST等應用程式安全測試工具並列。事實上,RASP還可以用於網站應用系統正式上線之後,「就近」在執行時期提供即時保護。

市面上有哪些RASP解決方案?我們看到目前有兩家廠商主推這樣的產品,例如,精誠資訊去年6月宣布代理Contrast Security,而該廠牌旗下就有RASP產品,名為Contrast Protect;另一家是叡揚資訊,他們在5月底舉行的資安系列講座,以「應用程式的最後一道防護」為名,介紹Imperva RASP。

事實上,原本就以網站應用程式防火牆而聞名的Imperva,後來之所以也能提供RASP產品,其實是源於2018年併購Prevoty而來,他們的Autonomous Application Protection(AAP),也就是現在我們看到的Imperva RASP。

相較於一般的網站應用程式防護系統,Imperva RASP的作法是從應用系統內部的執行時期著手,抵禦那些可能危害應用系統的威脅,它會利用單一的外掛程式來填補應用系統的資安漏洞,能夠同時保護傳統與新開發的應用系統,並且涵蓋內部、外部的應用程式、第三方程式碼,以及相依性元件。

同時,這樣的外掛程式具有自主能力、可移植性,適用於任何部署架構,像是內部環境、雲端服務、容器。基本上,它可以是應用程式、服務、API的一部分,與所要防護的應用系統之間,不需要額外配置網路連線與調整網路架構。

運用LANGSEC技術,能將使用者輸入的資料當做程式碼,來檢驗與預防不良意圖

在攻擊手法的快速偵測上,Imperva RASP採用的作法相當特別,稱為程式語言理論安全性(Language Theoretic Security,LANGSEC),系統可藉此了解惡意程式彈頭如何執行在特定環境的脈絡,以及抵消已知與零時差攻擊行為的方式,達成預設安全性的要求,因應各種潛在的應用程式弱點。

LANGSEC會處理與評估所有輸入的應用程式資料,而且毋須仰賴預先的設置的定義、模式、正規表示式、感染分析或行為學習。它會理解資料在特定環境中如何執行,有效預防輸入任何資料模糊、混淆的狀況,並且能夠透過前後文脈絡,讓已知的資安威脅能夠受到淨化或阻擋,即時使其失效與進行記錄,因此可守護機密資料與使用者安全。

在適用的場合上,這套產品可以整合在軟體開發週期,也能針對傳統應用系統安全性的弱點管理作法,提供補充防護,並基於真實攻擊的資料來進行攻擊威脅的減緩處理。

從功能來看,Imperva RASP可以指出攻擊濫用的漏洞,甚至深入程式碼確切的行數位置所在,還能防護各種漏洞,讓企業能有更多時間去修補,對於實際受到攻擊的漏洞,也能提升瞭解的程度。

在應用程式執行時,Imperva RASP為何可以提供更好的透明度?它會針對每個企圖發動惡意行為的威脅,產生深層、詳細的資訊,像是程式碼當中的被其他人所發現的弱點、使用者與位置的初始量測等,而有了這樣層級的資料,就能在持續性威脅攻擊發生時,縮短反應時間,並且替未來的應用程式開發提供更好的資安情報。而這些資料可能也會選擇性地傳送至用戶自定的資料儲存區,或餵送至Splunk、QRadar、ArcSight等安全資訊與事件管理系統(SIEM)。

易於部署,透過外掛的方式就近為應用程式提供保護

就本身的系統架構而言,Imperva RASP分成兩大部分:執行時期代理程式、管理主控臺。

以前者為例,能夠自主監控應用程式行為、分析使用者輸入與資料的內容裝載、偵測威脅,以及對資料進行消毒,以便讓這些資料能夠在應用程式內部安全執行。目前RASP代理程式可支援多種程式語言,主要是Java與.NET──Java的部份,是以JAR檔的形態來實作,.NET的部份是以MSI檔案型態的HTTP模組來實作。而在2019年10月,Imperva宣布RASP支援.NET Core,能夠運用基於Langsec的決策引擎,防護以這套語言寫成的應用程式,抵禦各種已知攻擊、零時差漏洞濫用攻擊。

至於後者則是提供網頁管理主控臺,讓用戶能夠設定應用程式組態、建立資安政策,隨後將這樣的設定檔,下載、複製到應用系統內部,即可套用。此外,用戶也能以圖像化的方式查看事件記錄。

.

產品資訊

Imperva RASP
●經銷商:叡揚資訊
●建議售價:廠商未提供
●軟體元件:代理程式Runtime Agents、管理主控臺RASP Management Console
●管理主控臺系統需求:4個虛擬處理器核心、4GB記憶體、2GB硬碟空間、作業系統RHEL / CentOS 6.5 - 7、資料庫MySQL 5.6 / MySQL Cluster NDB 7.4
●支援程式語言:Java、.NET Core

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容