V zadnjih letih je varnost aplikacije svet je bil priča vzponu samozaščita izvajalne aplikacije (RASP) tehnologija. Kot opisuje Gartner, je RASP varnostna tehnologija, ki je integrirana v aplikacijo ali njeno izvajalno okolje in je sposobna nadzorovati in preprečevati napade v realnem času. Na žalost, mnogi Požarni zid spletne aplikacije (WAF) podjetja so videla priložnost, da izraz izkoristijo. Na omrežni plasti so uvedli agente, podobne RASP, ki ne zajemajo v celoti definicije tehnologije RASP.
Nasprotno pa pristna tehnologija RASP deluje na ravni aplikacije, kjer ima celoten kontekst uporabnika, logike aplikacije in informacij o domeni. Ta kontekst omogoča RASP-u sprejemanje premišljenih odločitev o varnosti aplikacije in preprečevanje izkoriščanj, preden lahko povzročijo škodo. Posledično mora imeti pravi RASP nič napačnih pozitivnih rezultatov in zmanjšano zakasnitev, kar zagotavlja takojšnje povečanje učinkovitosti. Pravi RASP zahteva seznam nespremenljivih pravil, ki uporabljajo kontekst, da razumejo, kdaj se pojavi nova ranljivost, in ustrezno ukrepajo. Ta nespremenljivost je mogoča, ko so pravila zapečena v osnovo kode na aplikacijski ravni in ne zahteva nobenih sprememb, ko so uvedena.
Tri področja, kjer je RASP šel narobe
1. Problem lajajočega psa: večina opozoril je lažno pozitivnih
Težava z WAF-ji je, da delujejo na omrežni ravni, kar je indikator zaostajanja pri izvajanju aplikacije. Posledično pomanjkanje konteksta vodi do visokih lažno pozitivnih stopenj, dolgih čakalnih dob in slabe zmogljivosti, saj lahko WAF le ugibajo o naravi ranljivosti na podlagi tega, čemur so bili prej izpostavljeni.
Predstavljajte si psa čuvaja na dvorišču, ki laja, ko zasliši hrup za ograjo. Ti zvoki so lahko znak približevanja vsiljivca, lahko pa so tudi mimovozeči avtomobili. Pes čuvaj ne more natančno izmeriti razlike, zato se resnost katerega koli hrupa izgubi, zaradi česar ljudje v hiši ne morejo vedeti, katera opozorila so pristna in katera lažno pozitivna. Ta scenarij je v bistvu zmogljivost standardne ponudbe RASP.
2. Problem 999 Bad Guys: zmožen samo testiranja vzorca
Verjeli ali ne, nekateri prodajalci vam sporočajo, da njihovo varnostno rešitev izvajate samo v produkcijskih okoljih, če zaščitite le velikost vzorca. To pomeni, da izvleče vzorec – morda enega na vsakih 1,000 zahtev – in testira ta vzorec, medtem ko ujame, kaj se zgodi za naslednjih 999. To pomeni, da če ste dober igralec, bo vaš podpis preverjen. Toda ne glede na to, ali ima naslednjih 999 akterjev slabe namene ali ne, bodo prišli skozi. Razlog za to pomanjkanje doslednosti je, ker RASP-ji, ki temeljijo na WAF, ne morejo obvladati zahtev glede zmogljivosti, ki zahtevajo testiranje vsake zahteve.
3. Težava »Traja predolgo«: Zakasnitev vpliva na zmogljivost
Kadarkoli imate RASP, ki temelji na WAF, doživite povečano zakasnitev, saj na noben način ne more vplivati na kodno osnovo aplikacije. Medtem morajo široko dostopni RASP-ji poslati celotno besedilno vsebino svojemu spletnemu analizatorju in nato počakati, da se pošlje nazaj, kar lahko traja dolgo časa. In če vaše stranke čakajo na plačilo, bodo morda obupale in raje poiskale vaše konkurente.
Izboljšanje tega procesa je podobno optimizaciji kode. Ko ustvarjajo seznam, ga razvijalci nastavijo tako, da nove elemente dodajajo na začetek seznama namesto na konec. Ta optimizacija preprečuje, da bi navidezni računalnik znova zgradil celoten seznam vsakič, ko je dodan nov element, s čimer prepreči naraščajočo zakasnitev, ko seznam raste. Inženirji prevajalnika so te težave obravnavali z implementacijo pravočasnega prevajanja (JIT) v zgodnjih 2000-ih, ki samodejno optimizira kodo glede na nianse danega jezika.
Zakaj je bila definicija RASP tako razvodenela?
Razvoj tehnologije RASP zahteva kombinacijo veščin varnostnega inženiringa in programskega inženiringa. Da bi bil razvijalec RASP učinkovit, mora globoko razumeti arhitekturo aplikacije in nianse uporabljenega programskega jezika. To zahteva strokovno znanje na tem področju, ki je med varnostnimi strokovnjaki redko.
True RASP optimizira kodo za učinkovitost in varnost
Ker se večina platform RASP obnaša kot WAF, so vključeni ogromni stroški, ki jih je treba izvajati v vzorčnem načinu. Nasprotno pa pristen RASP izvede dejansko zaščito med izvajanjem.
Te operacije obstajajo v pomnilniku, kar je zelo učinkovito, in ker ta obstaja v istem prostoru kot vaše aplikacije, so zelo zmogljive. Z izvajanjem zaščite v času izvajanja ni potrebe po omejitvi stopnje ali izvajanju zaščite v vzorčnih velikostih, ker dejanska operacija traja le nekaj milisekund.
Ne glede na morebitne spremembe v aplikaciji ostaja visoko zmogljiva varnost nespremenjena. Ta filozofija se ujema s filozofijo infrastrukture kot kode, v kateri definirate želeno stanje vaše infrastrukture in ne glede na to, kaj se zgodi v okolju, stanje infrastrukture ostane enako.
RASP je po definiciji vzporeden s številnimi načeli infrastrukture kot kode. Ta vzporednica je mogoča zaradi globokega kontekstualnega zavedanja aplikacije in jezika, v katerem je zgrajena. Všeč mi je infrastruktura kot koda, pristen pristop k RASP lahko in bi moral uporabiti nespremenljivost, da zagotovi, da se pravila uporabljajo ne glede na spremembe kodne baze.
Nespremenljivost je mogoča tako, da se izvede preverjanje izhoda funkcije ob prvem klicu in izklopi vse nezdrave funkcije z zaščiteno funkcijo, s čimer se zagotovi, da je aplikacija vedno zdrava, ko se izvaja.
Ta pristop omogoča, da je varnost neodvisna od uvajanja in ne zahteva sprememb kode kode aplikacije, prilagajanja ali čakanja na okna uvajanja.
Z izvajanjem zaščite v času izvajanja, popravki rezultatov s takojšnjo zaščito na vseh delujočih primerkih aplikacije, odpravite potrebo po nenehnih lažnih pozitivnih rezultatih in odpravite tveganje prihodnjih izkoriščanj.
RASP je lahko in bi moral biti višji standard
Skratka, RASP bi moral biti višji standard. Ko je to storjeno, je mogoče zaščititi na tisoče aplikacij, znižati skupne stroške lastništva vaših WAF in pomagati preprečiti izgorelost vaših varnostnih ekip.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://www.darkreading.com/attacks-breaches/what-rasp-should-have-been
- : je
- $GOR
- 000
- 1
- a
- O meni
- ustrezno
- natančno
- Zakon
- akterji
- dodano
- agenti
- Opozorila
- Poravnava
- vsi
- omogoča
- vedno
- med
- in
- uporaba
- aplikacije
- uporabna
- pristop
- Arhitektura
- SE
- območja
- AS
- At
- Napadi
- samodejno
- Na voljo
- zavest
- nazaj
- Slab
- baza
- temeljijo
- BE
- ker
- pred
- Začetek
- počutje
- Poleg
- povečanje
- zgrajena
- by
- se imenuje
- CAN
- ne more
- lahko
- avtomobili
- Vzrok
- Spremembe
- preveriti
- Koda
- baza kod
- Koda
- kombinacija
- Podjetja
- tekmovalci
- stalna
- ozadje
- kontekstualno
- kontrast
- nadzor
- strošek
- bi
- Ustvarjanje
- Stranke, ki so
- odločitve
- globoko
- razporejeni
- uvajanje
- opisano
- želeno
- Razvojni
- Razvijalci
- Razlika
- Pes
- domena
- navzdol
- vsak
- Zgodnje
- Učinkovito
- učinkovite
- odpravlja
- objame
- Inženiring
- Inženirji
- zagotovitev
- zagotoviti
- Celotna
- okolje
- okolja
- v bistvu
- Tudi vsak
- izvedba
- obstaja
- izkušnje
- strokovno znanje
- izkorišča
- izpostavljena
- Nekaj
- požarni zid
- prva
- prvič
- po
- za
- iz
- polno
- v celoti
- funkcija
- funkcionalnost
- Prihodnost
- Gartner
- dobili
- Daj
- dana
- Go
- dobro
- raste
- Guard
- ročaj
- se zgodi
- Imajo
- ob
- zdravo
- Hero
- pomoč
- visoka
- visokozmogljivo
- več
- Hiša
- HTTPS
- Takojšen
- nespremenljivost
- nespremenljiv
- izvajanja
- nemogoče
- in
- povečal
- narašča
- Kazalec
- vplivajo
- Podatki
- obvestila
- Infrastruktura
- Namesto
- integrirana
- namere
- Uvedeno
- vključeni
- vprašanje
- Vprašanja
- IT
- Izdelkov
- ITS
- JIT
- jpg
- Vedite
- Pomanjkanje
- zaostajajo
- jezik
- Latenca
- plast
- Interesenti
- Vzvod
- kot
- LIMIT
- Seznam
- Long
- dolgo časa
- Spuščanje
- je
- Znamka
- Izdelava
- več
- ogromen
- Matter
- kar pomeni,
- pomeni
- Medtem
- Spomin
- morda
- način
- Najbolj
- Narava
- Nimate
- mreža
- Novo
- Naslednja
- hrup
- of
- ponujanje
- on
- ONE
- deluje
- Delovanje
- operacije
- Priložnost
- optimizacija
- Optimizira
- izhod
- lastništvo
- vzporedno
- vzporednice
- Podaje
- Zaplata
- Plačila
- ljudje
- Izvedite
- performance
- izvajati
- opravlja
- mogoče
- filozofija
- Platforme
- platon
- Platonova podatkovna inteligenca
- PlatoData
- slaba
- mogoče
- preprečiti
- preprečevanje
- prej
- Načela
- problem
- Postopek
- proizvodnja
- strokovnjaki
- Programiranje
- zaščito
- zaščiteni
- zaščita
- zagotavljanje
- Potegne
- REDKO
- Oceniti
- Cene
- RE
- v realnem času
- nedavno
- Zmanjšana
- Ne glede na to
- ostanki
- zahteva
- zahteva
- zahteva
- Zahteve
- zahteva
- povzroči
- rezultat
- Rezultati
- Rise
- Tveganje
- pravila
- Run
- tek
- s
- Enako
- Scenarij
- zavarovanje
- varnost
- Seek
- nastavite
- Kratke Hlače
- shouldnt
- Podoben
- saj
- Velikosti
- velikosti
- spretnosti
- So
- Software
- inženiring programske opreme
- Rešitev
- nekaj
- Vesolje
- standardna
- Država
- Bodite
- meni
- Skupine
- Tehnologija
- Test
- Testiranje
- testi
- da
- O
- Država
- njihove
- Njih
- te
- tisoče
- skozi
- čas
- krat
- do
- tudi
- Skupaj za plačilo
- Res
- razumeli
- uporaba
- uporabnik
- prodajalci
- ranljivost
- Počakaj
- Čakam
- način..
- web
- Dobro
- Kaj
- ali
- ki
- medtem
- pogosto
- bo
- okna
- z
- delo
- svet
- let
- Vi
- Vaša rutina za
- zefirnet
- nič
