2016年国家网络安全宣传周终于拉开帷幕,本届宣传周以“网络安全为人民 网络安全靠人民”为主题,吸引了包含 BAT 在内的近百家企业参展,作为国内首家基于 RASP 技术的安全创新企业, OneASP 也受邀参加本次国家网络安全宣传周的展览,并给现场观众分享了 实时应用自我保护 技术RASP(RuntimeApplication Self-Protection)的概念以及客户应用案例,从普及概念到项目“落地”,这种基于SaaS 的企业级安全服务瞬间聚集了现场无数的目光。
在2014年9月份,Gartner 的分析师 Feiman 提出了一种全新概念――实时应用自我保护技术 RASP,它能够与应用一起运行,结合应用的逻辑和数据流,在运行时对访问应用的代码进行检测;对于已知漏洞打虚拟补丁,起到补偿控制的作用。该技术已成为目前业界已知的对 SQL 注入防护最高的一种手段,国外的厂商有 Waratek 等,而国内目前能够将 RASP 技术应用于实践的企业并不多。国内领军的IT运维管理平台OneAPM,再次成为应用安全领域的“探路者”,推出了国内首个安全可视化 SaaS 平台 OneASP。
OneASP 首席安全顾问何迪生是前 ISACA(国际信息系统审计师协会) 北京委员会主席、微软大中华区信息安全总监、世界贸易组织(WTO)第六次部长会议首席安全咨询师,他表示,相对于 WAF、漏洞扫描系统等外围安全产品, OneRASP 作为实时应用自我防护系统具备以下几方面优势:
不仅能发现系统漏洞,而且能对攻击进行实时自我防护。记录完整攻击路径,将漏洞精确定位到代码行,降低修复漏洞的难度和成本。
相对应 WAF 对每个用户输入都进行全规则集匹配,OneRASP 只在检查的关键点进行防护,比如 SQL 注入只在数据库连接点进行防护。
探针保护程序和应用程序融合为一体,避免额外的调用或通讯消耗,对应用程序性能和用户体验影响小。
通过探针的方式自适应不同规模和部署方式的企业应用的安全防护需求。
对企业而言,比较常见的企业级防护方法包括:防火墙、IPS、AV、VPN、漏洞扫描和审计,还有一种就是 WAF(Web Application Firewall),这种安全解决方案能够抵抗一些常见的应用层攻击,目前国内的厂商主要有绿盟和启明星辰等。
Web 应用防火墙是相对比较好的应用程序保护方案,但它只能依据一些很简单的模式匹配,因为部署在应用程序的外部,所以不了解应用程序的上下文,不知道目标数据库的类型,对企业而言并不是最好的解决方案。而一些攻击是需要了解应用程序的上下文才能被发现,WAF 会漏过此类攻击。
OneASP 建立之初的目标就是――给应用层最好的保护,RASP 探针可以集成在应用程序内部,在了解应用上下文的基础上做出判别,进行代码级检测和防护,而且提供了覆盖OWASP TOP 10 和常见 CVE 漏洞的规则集,真正帮助企业 IT 系统编织出一张最严密的安全防护网,筑起企业安全防护的“铜墙铁壁”。