RASP落地实践之容器云应用安全防护

在应用安全领域，RASP技术是一种基于Web应用逻辑、行为和上下文实现代码级安全检测的应用运行时安全检测能力。对于很多已经部署了WAF、HIDS等应用防护措施的企业组织，是否还需要一款独立的RASP产品呢？相较于WAF、HIDS等应用防护措施，独立架构的RASP拥有可批量部署、充分测试、实时检测等特点，能够更加深度地解决企业应用软件运行时的安全风险，同时最大程度降低对企业业务开展的影响

RASP建设的必要性
应用程序不仅负责处理敏感数据，而且常常是安全体系中的薄弱环节，使得整个企业面临潜在的重大风险。在此背景下，传统的安全措施往往无法提供足够的应用层保护，因此RASP建设的迫在眉睫。据统计，在一系列实战化的攻防演练中，超过70%的得分最终来源于利用应用系统的漏洞。因此可见应用系统漏洞的广泛存在和利用率高，使得企业面临着严峻的安全挑战。

漏洞积压越来越多
越来越多的企业开始向DevOps模式靠拢，快速和持续的交付正在加快业务的拓展，但随之而来的安全诉求却得不到及时响应。研发团队经常在代码可能存在安全风险的情况下，将其推入生产环境，结果造成更多漏洞积压，且上线后安全诉求因排期等问题无法修复。随着企业积压的漏洞数量逐渐增加，消除这些漏洞积压往往给其软件应用程序开发方面的资金和生产力造成损失。漏洞持续累加，安全如何保障？如果您部署RASP，绝大多数漏洞无需开发人员修复即可自行免疫，在效率提升的前提下还能减少支出，提高安全防护效率。

0Day、内存马攻击难以防范
对于0day、内存马此类新型攻击，主要原因在于前者难防范，后者难检测。应用层防护目前有部署在网络边界的WAF设备，基于特征分析原理，针对0Day攻击这一类不存在于规则库中的攻击无法做到实时防御，无法提前预知规则去防御。而在内存马防护上，主机侧的HIDS设备仅仅能基于特征扫描出部分已注入的内存马，不具备拦截内存马注入和清除内存马的能力。RASP目前是业界公认的应对应用0Day和内存马攻击的有效手段，这可使您免于被这类型的新型攻击困扰。

企业应用资产难以全面掌握
当前企业内部的资产梳理以主机ip为维度，对于主机上存在多个应用实例的情况检测能力有限，难以实现业务视角下以应用实例为粒度去梳理组件资产、API资产等，以业务为核心，应用实例为粒度的资产盘点体系有待建设，RASP为实现此场景提供了可能，它植于应用内容，对应用资产一目了然，这是应用安全水平提升的前提。

API安全问题频出
当前，API攻击成为了黑客攻击的新目标，通过恶意请求或其他手段获取未授权的数据或对系统进行恶意操作，脆弱的API成为了攻击者进入系统的门户。攻击者可以利用API漏洞绕过防火墙、入侵检测系统等安全防护设备，从而对系统进行深入攻击。RASP通过其位置优势，可以发现应用内部的影子API、僵尸API等，为API安全添砖加瓦。

供应链安全不容忽视
当前整个供应链中各个系统的安全水位参差不齐，部分外购系统的安全风险意识薄弱，业务中存在较多开源组件漏洞和潜在的0Day漏洞利用风险。对于这些持续积压的在线漏洞，目前没有较为有效的排查和修复方法，攻击者极易利用这一安全盲区展开漏洞利用。一旦部署RASP，即使第三方软件自身没有安全防护能力，它也可以帮助第三方外采系统提供自免疫功能，从而减少演练攻击失分或是免于实际攻击。

老旧业务系统中的漏洞难以防御
传统架构的老旧业务核心系统已经无满足业务快速创新、技术架构灵活扩展及网络安全等多方面要求。特别是一些关键业务系统，由于业务对这类系统的依赖性太强，在修复漏洞的过程中会影响系统运行，进而影响到业务正常运转。RASP可以在代码无人维护或是业务过保期间为您提供运行时安全防护能力，解您后顾之忧。

弱密码屡禁不止
近几年来，弱密码依然是攻防演练、重大安全事件中出现非常多的问题，也是最容易被忽视的问题之一。即使风险众所周知，但仍有人使用强度不高、易于猜测的密码，归根结底是员工安全意识不高，且企业防范措施不尽如人意。这也就导致了攻击者通过弱密码获得入口后，可以在企业网络内部进行横向移动，寻找更多的漏洞和敏感数据。RASP可有效发现应用上弱密码，有效支持整改，降低安全风险

生产运行时安全问题频出
DevOps 安全团队和持续交付团队往往独立运行，信息交互频繁且效率低导致质量难以保证，安全问题整改的计划外工作量大。与此同时，沟通工作也多依赖于人工，自动化工具仅仅起到检测执行作用，造成信息不对称和沟通不及时。虽然供应链安全、DevOps等理念被广泛接受，但依然有大量的漏洞和风险被带入生产环境，运行时安全还需RASP来守护。

RASP建设应该多部门协同联动
有效部署和运营RASP通常需要安全部门的牵头，与应用研发部门和运维部门紧密协作。在这种组织架构中，安全部门负责制定RASP的整体策略并监控安全运营，而研发部门则负责将RASP技术集成到应用开发生命周期中，确保安全措施与应用功能的无缝对接。此外，与应用部门的充分沟通和协作是至关重要的，尤其在进行安全测试和落地实施时，因为应用层与主机层或容器层的业务需求和安全需求可能不完全对应。如果贸然由运维部门单独推进RASP部署，而未经过充分的应用研发部门测试和验证，可能会导致业务流程中断或数据安全风险。

RASP可与多款产品、方案联动
在构建一个全面的网络安全策略时，RASP不仅作为独立防护层存在，还能与其他安全产品和平台高效联动，形成更为严密的安全防线。以下是RASP联动各个产品和场景的具体应用：

1. 联动安全运营中心（SOC）：RASP能够实时监控应用程序的安全事件，并将关键的安全警报和事件详情上报给SOC。这种实时数据的整合使得SOC能够快速响应潜在的安全威胁，优化整个组织的安全响应策略，从而实现安全产品间的有效联动。
2. 上报API信息至API管理平台：通过将RASP检测到的API调用信息上报到API平台，可以极大地增强API平台对流量的管理能力和API识别的准确性。这种信息共享不仅有助于收敛和优化API详细信息，还能加强数据流转的监控和管控，确保数据安全和合规性。
3. 与Web应用防火墙（WAF）协同：RASP与WAF的联动为Web应用提供了一个多层次的安全防护网络。通过这种协同，RASP能够在应用层捕捉到的威胁信息可以用来增强WAF的防护策略，反之亦然，WAF在网络层面拦截到的攻击信息也可以被用来调整RASP的防护配置。这样的相互协作不仅提升了防御效率，也实现了从数据层到应用层的全方位安全保护。
4. 联动主机安全产品HIDS：RASP可以与HIDS实时共享应用程序的行为信息和事件日志。RASP能够捕获应用程序的执行上下文、输入输出数据等信息，而HIDS可以通过分析这些信息,结合对WEB应用进程的行为检测来分析是否存在潜在的入侵行为。当HIDS检测到异常行为或潜在的入侵时，它可以通过与RASP的联动，将该信息传递给RASP进行进一步的处理和响应。RASP可以根据接收到的信息，动态地调整应用程序的防护策略。以防止攻击者继续利用已知的漏洞或攻击方式。在产品部署方面也有优势，利用HIDS的进程采集能力，对web应用进程自动释放RASP检测探针实现Web应用安全能力的快速建设。总而言之，RASP可与HIDS联防联控，但并不是一个安全赛道。
5. 赋能CNAPP云原生整体防护平台：云应用通常采用微服务架构，RASP可以采集到Web应用在运行过程中提供实时的入侵检测和威胁阻断能力，加强东西向流量的安全治理。同时对于混合云场景，RASP基于应用级别的安全策略管理可以实现安全策略的统一，赋能CNAPP在应用层面的安全建设。可以说，RASP作为CNAPP的重要组成部分，成为了其点睛之笔。

在讨论RASP系统时，我们认识到其强大的实时分析能力是基于其与应用程序的深度集成。这种集成使RASP能够有效地监控和响应应用程序行为。尽管RASP设计旨在最大限度地减少误报，但在特殊情况下，如开发者采用非常规编码实践或程序展现出非预期行为时，误报仍可能发生。因此，有效运营RASP平台成为确保其持续有效性的关键环节。

为了有效运营RASP平台，首先需要建立一个系统的监控和响应机制。定期的策略审查和更新至关重要，这不仅能确保安全策略与应用的发展保持同步，还有助于调整策略以应对误报。配置管理也至关重要，它需要细致考虑应用的特性和业务需求，以定制适合的安全策略，并在不干扰正常业务流程的同时，最大限度地减少误报的发生。

经过精心配置和持续优化，一旦RASP平台运营稳定，误报率将被降至极低。在这种环境下，每个触发的安全告警都不应被忽视，因为它们很可能指向实际的安全漏洞或正在进行的攻击。由于RASP的实时监控和分析能力，它能够捕捉到微妙的异常行为，这些行为在其他安全系统中可能被忽视。

每个告警都应被视为一个重要的安全信号，需要通过深入分析来确认其性质。这不仅包括验证告警的有效性，还需评估潜在的安全影响。这种分析对于防止未来的攻击尤为关键，因为它可以揭示攻击者的行为模式和技术，帮助安全团队提前识别和阻断新的威胁向量。

德迅原生安全平台由德迅云安全自主研发，能够很好集成到云原生复杂多变的环境中，如PaaS云平台、OpenShift、Kubernetes、Jenkins、Harbor、JFrog等等。通过提供覆盖容器全生命周期的一站式容器安全解决方案，德迅蜂巢可实现容器安全预测、防御、检测和响应的安全闭环。核心架构理念：
在开发阶段（Dev），遵循“安全左移”原则，做到上线即安全
在运行阶段（Ops），遵循“持续监控&响应”原则，做到完全自适应