Tổng quan về RASP

[whf]

RASP là gì?​

RASP (Runtime application self-protection) là công cụ chặn các hoạt động tiềm ẩn nguy hiểm trong khi ứng dụng đang được sản xuất. RASP theo dõi ứng dụng của công ty trong quá trình chạy, phân tích hành vi của nó cũng như bối cảnh mà hành vi đó xảy ra. Nếu RASP phát hiện một sự kiện an ninh như cố gắng chạy một shell, mở một tệp, hoặc gọi một cơ sở dữ liệu, nó sẽ tự động cố gắng chấm dứt hành động đó.

​

RASP có thể chống lại các hình thức tấn công ứng dụng web chính như Cross-Site Scripting (XSS) và SQL Injection, cũng như nỗ lực chiếm quyền sử dụng tài khoản và các lỗ hổng chưa biết khác. RASP cũng có ích cho các doanh nghiệp với nguồn lực an ninh hạn chế vì nó có thể tự động chặn các cuộc tấn công ngay lập tức mà không cần đến sự can thiệp của con người.

Khi các cuộc tấn công vào ứng dụng web ngày càng tăng, các doanh nghiệp đang gặp khó khăn trong việc bảo vệ đúng cách tất cả ứng dụng của họ, trong đó có thể chứa các lỗ hổng chưa được phát hiện hoặc khắc phục sớm trong chu trình phát triển phần mềm hoặc qua các loại kiểm tra bảo mật ứng dụng khác nhau. Đây là lý do tại sao RASP giúp các công ty cân bằng tốt hơn giữa yêu cầu bảo mật và yêu cầu triển khai ứng dụng kịp thời.

Lợi ích chính của RASP​

Một lợi ích chính của RASP là nó có thể phát hiện và chặn các cuộc tấn công vào ứng dụng ngay thời điểm thực. Bởi vì RASP được cài đặt trong ứng dụng khi chạy, nó có cái nhìn sâu sắc vào hành vi thực sự của ứng dụng. Thay vì phân tích dựa vào các signature cài đặt trước hoặc các pattern đã biết dựa trên các cuộc tấn công thường thấy, như tường lửa ứng dụng web (WAF) sẽ làm, RASP có thể tìm kiếm các hành động đáng ngờ đang diễn ra trong ứng dụng.

Điều này giảm thiểu các trường hợp false positive từ WAFs tạo ra, thông báo cho nhóm an ninh về hoạt động xấu có thực để họ không phải đoán mò về tác động của các sự kiện mạng đáng ngờ ngẫu nhiên. Bằng cách cung cấp các cảnh báo chính xác hơn, RASP cũng giúp nhóm an ninh tập trung vào các ưu tiên an ninh chiến lược. RASP cũng có thể phát cảnh báo cho người dùng, giáo dục người dùng hợp pháp đã vô tình đặt yêu cầu rủi ro về lý do yêu cầu của họ bị từ chối.

Vì RASP biết bối cảnh thực thi của ứng dụng, nó có thể cung cấp bảo mật phù hợp hơn với yêu cầu cụ thể của ứng dụng - mà không cần thay đổi mã ứng dụng.

Khác với tường lửa ứng dụng web (WAFs), RASP vẫn có thể bảo vệ ứng dụng khỏi cuộc tấn công ngay cả sau khi kẻ tấn công đã xuyên qua các phòng tuyến bảo vệ. Trong môi trường ngày càng phức tạp với nhiều điểm cuối có thể bị xâm phạm, điều này có thể là tài sản quý giá đối với an ninh ứng dụng của tổ chức.

RASP Hoạt Động Như Thế Nào​

Như Gartner giải thích, RASP là “một công nghệ an ninh được xây dựng dựa trên hoặc liên kết vào môi trường thực thi ứng dụng, có khả năng kiểm soát việc thực thi ứng dụng, và phát hiện cũng như ngăn chặn các cuộc tấn công tức thời”. Thường qua một agent đặt vào máy chủ, RASP thêm các kiểm tra an ninh vào các ứng dụng đang chạy ở đó. RASP sau đó liên tục đánh giá các yêu cầu đến các ứng dụng này để đảm bảo rằng chúng an toàn và có thể tiến hành.

Khi một yêu cầu không an toàn xuất hiện, RASP sẽ can thiệp và chặn nó - ví dụ, bằng cách kết thúc một phiên người dùng đáng ngờ hoặc từ chối một yêu cầu thực thi một ứng dụng cụ thể. Lớp bảo vệ bổ sung này ở tầng ứng dụng, đặc biệt khi kết hợp với các thực hành phát triển phần mềm an toàn và các công cụ an ninh ứng dụng khác, có thể tăng cường đáng kể an ninh ứng dụng tổng thể của một tổ chức. RASP cũng có thể cung cấp thông tin cảnh báo kịp thời và chính xác cho đội ngũ an ninh về các hành động xấu đang diễn ra trong môi trường ứng dụng, giúp phản ứng nhanh chóng trong trường hợp có cuộc tấn công.

Vì RASP không yêu cầu thay đổi mã ứng dụng, nó không ảnh hưởng đến thiết kế ứng dụng - điều này có nghĩa là công ty có thể tiếp tục phát triển và tinh chỉnh ứng dụng khi cần thiết. Điều này có thể đặc biệt có lợi trong trường hợp một doanh nghiệp đang duy trì các ứng dụng trong môi trường của mình trong tương lai gần.

Khi được sử dụng kết hợp với WAF, RASP thường xuất sắc trong việc xác định các mô hình hoạt động đáng ngờ từ nhiều nguồn như trong một cuộc tấn công botnet, RASP có thể cung cấp cái nhìn sâu sắc tức thời quý giá vào các mối đe dọa thực sự mà một tổ chức phải đối mặt. Trong khi WAF có thể cho bạn một cái nhìn, bạn cần thêm cái nhìn sâu hơn vào những gì đang thực thi để thấy toàn cảnh.

RASP so với WAF​

RASP đôi khi bị nhầm lẫn với 'người anh em' của mình, tường lửa ứng dụng web (WAF), nhưng hai công nghệ này thực sự khác biệt với nhau. Trong khi WAF liên tục phân tích lưu lượng ứng dụng để tìm kiếm hoạt động có thể gây hại bằng cách sử dụng các quy tắc tĩnh dựa trên các hình thức tấn công đã biết, RASP chặn các hoạt động gây hại xảy ra bên trong chính ứng dụng.

WAF thường yêu cầu một khoảng thời gian học hỏi để có hiệu quả và vẫn có thể không đủ linh hoạt để chống lại các hình thức tấn công mới mà nó chưa từng gặp trước đây, để lại một doanh nghiệp có thể dễ bị tổn thương trong khoảng thời gian khi WAF chưa nhận được các quy tắc mới để chống lại mối đe dọa mới nổi. Tuy nhiên, RASP cung cấp một hình thức phòng thủ linh hoạt hơn nhiều chống lại đa dạng các cuộc tấn công ở tầng ứng dụng.

Vì RASP sử dụng chính ứng dụng, nó vẫn có thể theo dõi và bảo vệ an ninh ứng dụng ngay cả khi nó được cập nhật và phát triển thêm. WAF và RASP có thể bổ sung cho nhau, kết hợp lực lượng để cung cấp cho doanh nghiệp một bảo mật ứng dụng toàn diện và mạnh mẽ hơn. WAF giúp bạn nhận biết loại yêu cầu nào đang được gửi đến ứng dụng (ví dụ, nếu ai đó có mô hình yêu cầu đáng ngờ như một bot đang cố gắng đột nhập mật khẩu hoặc ai đó đang thăm dò ứng dụng cho lỗ hổng với công cụ như Sqlmap).

Mặt khác, RASP xem xét ứng dụng đang làm gì với những yêu cầu đó. Vì vậy, trong trường hợp ai đó sử dụng Sqlmap, chủ sở hữu ứng dụng có thể thấy rằng một lỗ hổng đã dẫn đến việc truy cập SQL trái phép, hoặc tải một số tài sản không mong muốn trên trình duyệt web phía người dùng có thể dẫn đến việc rò rỉ dữ liệu.