攻防演練 | 攻防在即，RASP為上

資訊安全的關鍵因素是人，有人的地方就有江湖，江湖中避免不了攻防博弈，而博弈是攻防雙方采用越來越新的技術進行較量的過程。對于國家、企事業機關甚至個人而言，守護安全防線，確定資料不遺失是最終目的。然而，并沒有一勞永逸或者可以防止所有威脅、漏洞的安全防護工具，對于資訊安全從業者而言，需要“動态”思維的根據安全威脅制定相應的解決方案。

攻防演練活動中“以攻促防”、“以攻驗防”的思維正是運用了​這種思想，并希望通過這種形式找到安全防線缺失的地方，鞏固安全邊界，讓攻擊者無處遁形，所有的“陰謀論”無計可施。而且，攻防演練活動自興起以來，越來越常态化。但是，每年的這個時刻，都是攻防雙方激烈博弈、尤為緊張的時刻。面對0day/Nday、郵件釣魚、社工、Web攻擊等諸多手段，縱然有蜜罐、WAF、IDS/IPS等諸多防護工具，仍然有安全防護能力的缺失，缺少運作時應用程式保護的RASP技術。

防守方的困境

​攻防對抗是“敵在明，我在暗”，攻守不對等對于防守方而言更像是一個猜謎遊戲，因為完全猜想不到攻擊者會從哪個地方發起攻擊，采用什麼樣的攻擊手段，比較薄弱的防守面是否已經暴露，自身的資料是否已經洩露等等諸多問題，可謂是神經緊繃、夜晚失眠、飯菜不香，真希望攻防演練的活動抓緊結束，避免自身丢分，被吊打的很慘。

圖1 攻擊關注點​

衆所周知，在攻防中為了牢固防線安全營運團隊會部署安全防護工具、制定安全解決方案對防線進行實施保護。包括防火牆、IPS/ IDS、漏洞檢測解決方案、嗅探、安全資訊和事件管理(SIEM)系統，期望通過持續不斷的檢測分析資料活動，改善安全事件的檢測。但是，防火牆、IPS/ IDS基于流量檢測的機制，容易造成攻擊繞過；而且攻擊者會通過滲透對伺服器、作業系統和容器的加強應用程式平台進行攻擊，勢必會造成嚴重後果。特别是，如果存在漏洞，則利用漏洞會更容易完成攻擊行為。

而且，整個攻擊的程序攻擊者會進行有預謀、有步驟的攻擊，防守者會參照ATT&CK或者洛克希德·馬丁網絡殺傷鍊（cyber kill chain）模型制定相應的防禦措施，具體的戰略、戰術會在後面的文章中為大家描述，這都對防守方造成了很大的困惑。

RASP的必要性

對于防守方而言​，總希望找到一個解決方案，縮短 MTTD（平均檢測時間）和 MTTR（平均響應時間），實作更成熟的SecOps 和更好的整體安全性。不得不提到RASP，它是實作内部安全的絕佳技術。運作時應用程式安全保護 (RASP) 工具通過使用直接嵌入到應用程式中或與應用程式相鄰的安全引擎來保護應用程式。RASP解決了現有的用于保護網絡和Web應用程式的外圍安全技術的局限性。RASP使安全營運團隊能夠以前所未有的方式監控應用程式，并使用應用程式威脅情報在攻擊發生時擷取有關攻擊的完整上下文，并立即阻止攻擊。運作時應用程式自我保護 (RASP) 技術通過使用Deep Security Instrumentation 盡可能深入地進入應用程式堆棧并保護其免受威脅，進而提供前所未有的可見性。對于每次攻擊，RASP 都會看到：​

​● 攻擊嚴重程度和攻擊頻次

● 攻擊向量、攻擊者 IP 位址

● 具有完整堆棧跟蹤詳細資訊的攻擊目标

這也是與防火牆（WAF）不同的地方，借助RASP安全團隊可以自動收集、發現和量化威脅，并進行補救。而且，RASP技術相對于WAF具有超準确的可見性和低誤報率，同時還可以使用您已經熟悉的現有常見SOC工具和控制台(日志、SIEM)一起實作内部安全。

運作時情境安全

雖然RASP經常拿來與WAF做對比，然而它更像是WAF後面的一道防線，增強了安全性。RASP通過在現有應用程式代碼中植入傳感器來實時監控和控制關鍵執行點。利用這些技術，RASP 成為應用程式的一部分，使它們能夠獨立于其部署環境而受到保護。而且，RASP可以在本地、雲和容器的任何部署架構中運作。在安全政策制定時，可以将RASP技術內建到SOC/SecOps威脅監控和響應工具中，包括 SIEM 可視化、以及可定制的應用程式和使用者活動日志。

日志增強功能将RASP威脅監控深入到應用程式和使用者行為的内部工作，無需開發人員幹預，是以最終使用者可以記錄應用程式内的任何内容并将威脅情報直接發送到日志管理平台。像登入失敗、權限提升、特定資料庫調用、應用程式環境的任何方面都可以被記錄下來，并監控威脅與危害名額 (IoC) 和攻擊 (IoA) 的相關性。是以，當通路應用程式的特定區域或出現特定條件(敏感資料/檔案操作或敏感指令)時，立即發出警報。由于RASP在應用程式打開時立即自動運作，所有來自應用程式運作時内部的應用程式威脅監視和日志記錄都将持續運作，而無需修改任何一行源代碼，無需調優或掃描，也無需重新部署，當威脅産生時，RASP會立刻對威脅做出反應，進行阻止。

除此之外，​​RASP技術​​結合​​SCA分析技術​​、​​IAST技術​​可以在​​DevSecOps​​模型的整個生命周期中對代碼安全進行檢測、防禦，實作安全左移，不局限于應用運作時的事後防禦。而且，RASP技術集合BAS技術可以在攻防演練活動中實作自動化檢測，對安全威脅進行驗證，確定安全鍊路完整。正是以，RASP技術可以更好的在攻防演練中發揮作用，確定防線安全，避免防守方丢分。​