RASP가 있어야 했던 것

최근 몇 년 동안 응용 프로그램 보안 세계는 의 상승을 보았다 런타임 애플리케이션 자체 보호(RASP) 기술. Gartner에서 설명한 바와 같이 RASP는 실시간 공격을 제어하고 방지할 수 있는 애플리케이션 또는 해당 런타임 환경에 통합되는 보안 기술입니다. 불행히도 많은 웹 애플리케이션 방화벽(WAF) 회사는 용어를 활용할 기회를 보았습니다. 그들은 RASP 기술의 정의를 완전히 수용하지 않는 네트워크 계층에 "RASP와 같은" 에이전트를 도입했습니다.

반대로 진정한 RASP 기술은 사용자, 애플리케이션 논리 및 도메인 정보에 대한 전체 컨텍스트가 있는 애플리케이션 계층에서 작동합니다. 이 컨텍스트를 통해 RASP는 응용 프로그램의 보안에 대해 정보에 입각한 결정을 내리고 피해를 입히기 전에 악용을 방지할 수 있습니다. 결과적으로 진정한 RASP는 오탐이 XNUMX이고 대기 시간이 줄어들어 즉각적인 성능 향상을 제공해야 합니다. 진정한 RASP에는 새로운 취약성이 도입되는 시기를 이해하고 그에 따라 조치를 취하기 위해 컨텍스트를 사용하는 불변 규칙 목록이 필요합니다. 이 불변성은 규칙이 애플리케이션 계층의 코드 기반에 구워지고 일단 배포되면 변경할 필요가 없을 때 가능합니다.

RASP가 잘못된 세 가지 영역

1. 짖는 개 문제: 대부분의 경고는 오탐지입니다.

WAF의 문제는 애플리케이션 실행의 지연 지표인 네트워크 계층에서 작동한다는 것입니다. 결과적으로 컨텍스트가 부족하면 WAF가 이전에 노출된 것을 기반으로 취약점의 특성을 추측할 수 있기 때문에 높은 오탐률, 긴 대기 시간 및 성능 저하로 이어집니다.

마당에 있는 경비견이 울타리 너머에서 소리가 나면 짖는다고 상상해 보십시오. 이러한 소음은 침입자의 접근일 수도 있지만 지나가는 자동차일 수도 있습니다. 경비견은 그 차이를 정확하게 측정할 수 없기 때문에 주어진 소음의 심각성을 상실하여 집안 사람들이 어떤 경보가 진짜이고 어떤 경보가 오탐인지 알 수 없습니다. 이 시나리오는 기본적으로 표준 RASP 오퍼링의 기능입니다.

2. 999 Bad Guys 문제: 샘플만 테스트할 수 있음

믿거나 말거나 일부 공급업체는 샘플 크기만 보호하는 경우에만 생산 환경에서 보안 솔루션을 실행하라고 말합니다. 즉, 샘플(아마도 1,000건의 요청 중 하나)을 가져오고 다음 999에 대해 어떤 일이 발생하는지 파악하면서 해당 샘플을 테스트합니다. 즉, 당신이 좋은 배우라면 당신의 서명이 확인될 것입니다. 하지만 뒤에 오는 999명의 배우들은 나쁜 의도를 가지고 있든 없든 상관없이 통과될 것입니다. 이러한 일관성 부족은 WAF 기반 RASP가 모든 요청을 테스트해야 하는 성능 요구 사항을 처리할 수 없기 때문입니다.

3. "시간이 너무 오래 걸린다" 문제: 지연 시간이 성능에 영향을 미침

WAF 기반 RASP가 있을 때마다 애플리케이션의 코드 베이스에 어떤 식으로든 영향을 줄 수 없기 때문에 대기 시간이 증가합니다. 한편 널리 사용되는 RASP는 전체 텍스트 페이로드를 웹 분석기로 보낸 다음 다시 보낼 때까지 기다려야 하므로 시간이 오래 걸릴 수 있습니다. 그리고 고객이 결제가 완료되기를 기다리고 있다면 포기하고 대신 경쟁사를 찾을 수 있습니다.

이 프로세스를 개선하는 것은 코드 최적화와 유사합니다. 목록을 만들 때 개발자는 목록의 끝이 아닌 시작 부분에 새 항목을 추가하도록 설정합니다. 이 최적화는 새 항목이 추가될 때마다 VM이 전체 목록을 다시 작성하지 않도록 하여 목록이 커짐에 따라 대기 시간이 늘어나는 것을 방지합니다. 컴파일러 엔지니어는 2000년대 초반에 주어진 언어의 뉘앙스를 기반으로 코드를 자동으로 최적화하는 JIT(Just-In-Time) 컴파일을 구현하여 이러한 문제를 해결했습니다.

RASP의 정의가 왜 그렇게 축소되었습니까?

RASP 기술을 개발하려면 보안 엔지니어링과 소프트웨어 엔지니어링 기술의 조합이 필요합니다. 효과적이려면 RASP 개발자는 응용 프로그램의 아키텍처와 사용 중인 프로그래밍 언어의 미묘한 차이를 깊이 이해해야 합니다. 이를 위해서는 보안 전문가들 사이에서 드문 도메인 전문 지식이 필요합니다.

True RASP는 성능과 보안을 위해 코드를 최적화합니다.

대부분의 RASP 플랫폼은 WAF처럼 동작하기 때문에 샘플 모드에서 실행해야 하는 막대한 오버헤드가 수반됩니다. 반대로 정품 RASP는 런타임에서 실제 보호를 수행합니다.

이러한 작업은 매우 효율적인 메모리에 존재하며 애플리케이션과 동일한 공간에 존재하기 때문에 성능이 매우 뛰어납니다. 런타임에서 보호를 수행하면 실제 작업이 몇 밀리초 밖에 걸리지 않기 때문에 속도 제한이나 샘플 크기 보호를 수행할 필요가 없습니다.

애플리케이션에 대한 변경 사항에 관계없이 고성능 보안은 일정하게 유지됩니다. 이 철학은 인프라의 원하는 상태를 정의하고 환경에서 어떤 일이 발생하더라도 인프라의 상태는 동일하게 유지되는 코드형 인프라의 철학과 일치합니다.

RASP는 정의상 코드로서의 인프라의 많은 원칙과 유사합니다. 이러한 유사성은 응용 프로그램과 해당 응용 프로그램이 구축된 언어에 대한 심층적인 컨텍스트 인식으로 인해 가능합니다. 좋다 코드로서의 인프라, RASP에 대한 진정한 접근 방식은 코드베이스의 변경 사항에 관계없이 규칙이 적용되도록 하기 위해 불변성을 활용할 수 있고 사용해야 합니다.

불변성은 함수가 처음 호출될 때 함수의 출력에 대한 검사를 수행하고 비정상 기능을 보호된 기능으로 전환하여 애플리케이션이 실행될 때 항상 정상 상태임을 보장함으로써 가능합니다.

이 접근 방식을 통해 보안은 배포에 구애받지 않으며 애플리케이션 코드에 대한 코드 변경, 조정 또는 배포 기간 대기가 필요하지 않습니다.

런타임에서 보호를 수행하고 애플리케이션의 실행 중인 모든 인스턴스에 대한 즉각적인 보호로 결과를 패칭함으로써 지속적인 오탐지의 필요성을 제거하고 향후 악용의 위험을 제거합니다.

RASP는 더 높은 기준을 유지할 수 있고 유지해야 합니다.

요컨대, RASP는 더 높은 기준을 따라야 합니다. 이렇게 하면 수천 개의 애플리케이션을 보호하여 WAF의 총 소유 비용을 낮추고 보안 팀의 번아웃을 방지할 수 있습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/attacks-breaches/what-rasp-should-have-been