应用程序中存在很多漏洞,导致我们的系统面临着很多的风险。目前比较常见的有两种方式:第一种常见的方式就是跨站脚本 (XSS),黑客可以通过「HTML注入」网页,从而插入恶意的脚本,在用户浏览网页时,控制用户浏览器;第二种是 Cross-site request forgery (跨站请求伪造),像是恶意网站在我们不知情的情况下,以我们的身份在网站上发消息、买东西,甚至转账等。
对企业而言,比较常见的企业级防护方法包括:防火墙、IPS、AV、VPN、漏洞扫描和审计,还有一种就是WAF(Web Application Firewall),这种安全解决方案能够抵抗一些常见的应用层,目前国内的厂商主要有绿盟和启明星辰等。
在2014年9月份,Gartner的分析师Feiman提出了一种全新概念——实时应用技术RASP(RuntimeApplication Self-Protection),能够与应用一起运行,结合应用的逻辑和数据流,在运行时对访问应用的代码进行检测;对于已知漏洞打虚拟补丁,起到补偿控制的作用。该技术已成为目前业界已知的对SQL注入防护最高的一种手段,国外的厂商有Waratek等。
近日,OneAPM向36氪介绍他们推出的安全自适应平台OneASP(基于RASP概念的新产品OneRASP),可以集成在应用程序内部,在了解应用上下文的基础上做出判别,进行代码级检测和防护,而且提供了覆盖OWASP TOP 10和常见CVE漏洞的规则集。
OneASP首席安全顾问何迪生是前ISACA(国际信息系统审计师协会)委员会、微软大中华区信息安全总监、世界贸易组织(WTO)第六次部长会议首席安全咨询师,他强调,相对于 WAF、漏洞扫描系统等外围安全产品,OneRASP作为实时应用防护系统具备以下几方面优势:
不仅能发现系统漏洞,而且能对进行实时防护。记录完整径,将漏洞精确定位到代码行,降低修复漏洞的难度和成本。
相对应 WAF 对每个用户输入都进行全规则集匹配,OneRASP 只在检查的关键点进行防护,比如 SQL 注入只在数据库连接点进行防护。
探针程序和应用程序融合为一体,避免额外的调用或通讯消耗,对应用程序性能和用户体验影响小。
推荐:
网友评论 ()条 查看