RASP工艺，"入侵者"如何成为网络保障"守护神"？-看点观测站- 动人趣事，让你精彩生活

作者丨赖文昕

编辑丨陈彩娴

应用保障危机四伏

2024年的入侵者网络保障形势依旧严峻。

2月，工艺澳大利亚电信公司 Tangerine 遭遇网络攻击，何成护神导致23万人的为网个人信息泄露；3月，机器智能图像编辑工具 Cutout.Pro 有约 2000 万会员客户的络保电子邮件地址、IP 地址及姓名等敏感信息被放在信息泄露论坛上出售；4月，入侵者网络保障公司 Sekoia 发现蠕虫病毒 PlugX 的工艺新变种已经在全球范围感染了超过250万台主机，传播到全球170个国家；紧接着，何成护神由 Elon Musk 创立的为网航空航天制造商和太空运输支持公司 SpaceX 也遭遇了网络攻击，泄露了近150 GB 信息以及三千份图纸。络保

短短不到半年，入侵者海外就发生了多起网络攻击与信息泄露事件。工艺无独有偶，何成护神国内的为网网络保障事件也频频发生。

比如，络保广州20万网约车司机的个人信息被公开售卖，暴露了移动出行平台在客户信息保障上的重大漏洞；山东省互联网网络保障状况整体评价虽为“良”，但木马和僵尸网络活动增加，表明网络犯罪分子正不断寻找新的攻击手段。

而根据国际信息公司（IDC）的预测，到2025年，全球将开发并部署大约7.5亿个基于云原生工艺的应用程序，到2027年，全球每年新生成的信息量预计将达到惊人的291 ZB，几乎是2022年信息量的三倍。

不难发现，在 AI 浪潮轰轰烈烈的席卷下，应用程序的增长速度正呈指数级上升，信息量的增长也呈现出爆炸性的趋势，针对应用程序的攻击越来越多，攻击手段也越来越复杂。

毋庸置疑，应用保障已经成为网络保障的首要任务。而这其实是一系列的连锁反应：

企业将越来越多的业务流程和客户支持转移到线上，意味着不得不开发和部署更多的应用程序来满足这些日益增长的需求。

应用程序数量的增加，意味着它们所处理的关键信息量也在增加，这吸引了更多的攻击者不断演进其攻击手段，利用应用程序中的漏洞发起攻击，导致信息泄露事件频繁发生。

伴随而来的还有普及率持续攀升的云支持。企业愈发依赖基础设施即支持（IaaS）和其他云支持，以支持其应用程序的运行。云环境下边界的概念模糊，更多架设在边界的传统保障自然无法发挥作用。

同时，微支持架构也成为新的焦点。为了提升灵活性和可扩展性，企业纷纷转向微支持架构，使得应用程序由多个小型、独立的支持构成，而非传统的单一应用。这也增加了应用程序的复杂性，带来了新的保障挑战。

此外，开源代码和第三方库的广泛使用，虽然为开发带来了便利，但也引入了潜在的保障风险。这些组件可能包含未被发现的保障漏洞，一旦被攻击者利用，就会对整个应用程序的保障构成威胁。

企业对业务连续性和支持可用性的要求不断提高，任何应用保障事件导致的支持中断都可能给企业带来巨大的经济损失。因此，如何确保应用程序的保障，成为了企业亟待解决的难题。

具体而言，攻击者针对应用程序的攻击手段日益多样化，包括恶意软件、0day/Nday 漏洞以及 OWASP 十大漏洞。而且，基于凭证的攻击和针对 API 的攻击也变得日益频繁。在 API 保障方面，注入攻击与配置错误导致的攻击也越来越常见。

总之，随着应用程序数量和复杂性的显著增长，企业必须采取全面和前瞻性的保障措施，以确保其应用程序和 API 的保障，同时支持业务的持续增长和创新。

RASP 工艺：应用保障的终极防线

那么，究竟什么措施才能有效防护应用保障呢？

目前，市场上涌现了众多保障工具，各自在应用程序的不同生命周期阶段发挥着关键作用。这些工具包括了静态应用程序保障测试（SAST）、动态应用程序保障测试（DAST）、交互式应用程序保障测试（IAST）、运行时应用程序自我保护（RASP）和 Web 应用防火墙（WAF）等等。

在软件开发的早期阶段，静态代码分析（SAST）通过深入检查源代码，帮助开发者发现并修复潜在的保障漏洞和编程错误。这种方法能够在不运行应用程序的情况下快速识别问题，从而降低后期修复的成本和复杂性。

随着应用程序进入预生产阶段，交互式应用程序保障测试（IAST）开始发挥作用，它结合了 SAST 的深度代码分析和 DAST 的行为分析，通过监控客户与应用程序的交互，提供更准确的漏洞检测。

当应用程序部署到生产环境后，动态应用程序保障测试（DAST）便成为关键的保障措施。DAST 通过模拟黑客攻击，对运行中的应用程序进行实时的保障检测，识别出可能的保障漏洞，为企业提供即时的保障反馈。

而运行时应用程序自我保护（RASP）工艺则为应用程序提供了一种更为全面的保护机制。

与传统的 WAF 解决方案相比，RASP 在多个方面展现出其优势。

RASP 工艺确保了高度的准确性和可靠性，通过精确监控信息流和逻辑，仅在恶意输入到达关键库函数时触发警报；它在高负载环境下稳定运行，持续检测代码保障；能向开发人员提供清晰的漏洞修复指导；适应多种网络协议，无需了解协议细节即可保护应用程序；能够自动适应应用变化，通过学习获得应用上下文，实现智能保障防护。

WAF 解决方案则因独立于应用架构，无法深入代码层面识别保障威胁，主要依赖已知威胁签名方法检测，面对未知威胁时效果有限。同时，WAF 在 API 支持上也存在局限，需要保障团队大量手动运营和调整，增加了成本并可能引入保障风险。

相比之下，RASP 工艺通过插桩直接集成到应用内部，实现实时代码保护。这种深入到应用内部的监控方式，能够有效地识别和防御各种威胁，在应用运行时提供精确的事件监控和分析，不依赖可能出错的模型预测。

因为能够区分真正的攻击行为和无害的保障探测，RASP 避免了边界解决方案常见的误报和漏报问题，而且还能够对那些传统边界保障措施可能忽视的未知威胁和 0day 漏洞攻击提供保护。这种实时的保障检查和响应能力，使得RASP 成为了一种强大的保障工具。

然而，RASP 工艺相对较新，成熟度和市场认知度与 WAF 相比仍有一定差距。更关键的是，由于 RASP 需要嵌入到应用程序内部，部署和维护难度更大，客户在选择时便会权衡 RASP 工艺能带来多大价值，以及为了使用 RASP 工艺需要付出多大的代价。

“以前 RASP 的市场需求并没有得到充分释放。它的推广需要解决价值与成本之间的平衡问题，以便客户能够看到其潜在价值并愿意接受相对较高的部署成本。”青藤云保障联合创始人兼产物副总裁胡俊告诉雷峰网(公众号：雷峰网)。

因此，如何在 RASP 方案中消除客户的疑虑，就成为了不少保障公司正在摸索的方向。

青藤天睿•RASP：为应用植入原生保障能力

RASP，即"Runtime Application Self-Protection"（运行时应用程序自我保护），在2014年被 Gartner 公司的应用保障报告确定为该领域的一个关键增长趋势。

但由于工艺增长的限制与对其入侵性的担忧，RASP 自诞生以来并未在网络保障领域得到广泛应用。青藤云保障则是少数觉察到 RASP 工艺在应用保障的关键性并采取行动的布局者之一。

青藤最新的天睿•RASP应用保障防护方案具有6大核心功能。

首先，因为攻击行为无法绕过应用程序的底层调用，青藤天睿•RASP 能通过无规则的逻辑检测，有效防御 0day 攻击和其他已知攻击。

第二，对于内存马攻击，青藤天睿•RASP 能够深入应用内部，通过三层防护措施全面拦截攻击，处理好无论是企图注入还是已经注入的情形。

第三，青藤天睿•RASP 提供应用热补丁功能，能够在不重启应用的情况下，对运行中的应用程序进行补丁修复，及时响应新爆发的漏洞。

第四，它还具备弱密码检测能力，通过监控登录行为来识别弱密码，支持应用和中间件的检测，并根据企业需求设置规则。

第五，它能获取完整的应用调用链路信息，帮助定位代码，展示微支持的拓扑结构，发现支持调用风险，以及监测不同应用间的访问关系。

最后，它还能实时监控和发现组件库的调用情况，分析版本信息，提供组件库的保障治理，避免供应链攻击。

以上六大核心功能使得青藤天睿•RASP 的防护效果十分显著。由于运行在应用程序内部，监控接口调用，因此它相比边界拦截有更高的成功率。它对业务的作用很小，Agent 可以动态安装和卸载，无需业务重启，不作用其他支持进程，并且与业务代码不冲突。其 RASP 工艺还适配所有 Java 版本，与其他 Java Agent 兼容性良好，不干扰系统现有功能。模块化的设计也使得各个插件独立运作，易于扩展，并具备动态开关机制，确保资源占用最小化。

“RASP 能为应用植入原生保障能力，”胡俊认为，“我们得在确保风险是可运营的同时，让大家了解 RASP 工艺的价值远不止目前所展现的这些，愿意相信并尝试它。”

那么，青藤天睿•RASP 具体能应用在什么场景之中呢？

作为应用层保障的关键组件，RASP 工艺与 HIDS、WAF 等保障工具相结合，构建了一个多层次、纵深的防御体系，在多种保障场景中发挥着关键作用，特别是在攻防演练、应用风险监测、恶意攻击防护和漏洞在线修复等方面。

在攻防演练中，青藤天睿•RASP 能够深入应用程序内部，提供对东西向流量和内部调用的可视化，有效拦截 0day 和内存马等攻击，解决了传统保障工具在检测容器微支持流量和加密流量方面的不足。

应用风险监测方面，青藤天睿•RASP 通过实时监控应用程序运行过程，能够准确识别应用中间件的漏洞，并发现应用弱密码等显著风险问题。它为客户绘制了一份详尽的风险画像，指导客户确认风险问题并推进修复。

在恶意攻击防护方面，青藤天睿•RASP 基于无规则的逻辑检测，监控应用底层调用，使得攻击无法绕过，为保障人员提供详尽的攻击链路，便于漏洞定位和复现，弥补了传统入侵防护方案在未知攻击检测上的不足。

而对于漏洞在线修复，青藤天睿•RASP 展现出其热补丁能力，通过特征匹配和深入漏洞利用原理的屏蔽，有效进行漏洞应急防护，尤其对于老旧系统中的漏洞，即使没有直接补丁可用，也能提供即时的保障防护，防止黑客攻击。

此外，与其他保障产物相比，青藤云保障的优势也十分明显。

他们的产物体系采用统一的 Agent 架构，大大简化了部署和扩展工作。因为已经在大量客户中部署了 Agent，在此基础上便轻易解决了 RASP 覆盖的问题，也为产物在多种环境中的适配打下了坚实基础。

其次，产物的稳定性和适配性已得到了大规模客户的验证。胡俊分享道，在大规模 RASP 的应用中，他们摸索出通过动态注入和分批上线的策略，优化了实施部署的过程。

而且，成立于2014年的青藤云保障，至今在端侧保障检测能力已有十年的积累。“十年的工艺积累使我们在内存攻击、应用漏洞、虚拟补丁等方面具备了强大的保障检测能力。这些能力也被应用到了我们的 RASP 产物中，使其在保障检测方面表现出色。”胡俊告诉雷峰网。

写在最后

十年前，主机保障领域的增长还处于早期阶段，许多组织对在支持器上部署保障代理（Agent）持有疑虑。

但随着时间的推移、工艺验证和威胁形势的演变，主机保障代理因其在提高威胁检测和响应能力方面的效果，逐渐被广泛接受并成为企业网络保障的关键组成部分。

而在今天，RASP 工艺的推广同样受到了限制。

“这是一种全行业适配的保障解决方案，适用于所有面临应用威胁的场景，是对保障点位的关键补充。但它本身具有一定的侵入性，对客户工艺要求较高，也需要客户在保障建设上有一定的基础。”胡俊告诉雷峰网，“企业不仅要有能力驾驭这项工艺，还需要在观念上接受它。这种观念的转变是一个过程，需要企业认识到 RASP 的价值，并对其带来的成本有清晰的认识。”

据胡俊观察，目前金融和运营商行业的客户由于保障体系相对完善，工艺能力强，加上有复杂的系统和大量的应用，更愿意尝试 RASP 工艺，“这并不是说其他行业不会采用RASP，而是头部行业会先行一步，其他行业随后会跟上。”

总的来说，RASP 工艺的推广不会受到特定规模和行业限制，随着保障意识的提高和工艺的增长，它有望逐渐被更多行业接受和采用。

RASP 工艺会成为“守护”网络保障的新一代“守护神”吗？让我们拭目以待。

本文作者 anna042023 将持续关注AI大模型领域的人事、企业、商业应用以及行业增长趋势，欢迎添加交流，互通有无。

雷峰网原创文章，未经授权禁止转载。详情见转载须知。