حالیہ برسوں میں ، درخواست سیکورٹی دنیا نے عروج دیکھا ہے۔ رن ٹائم ایپلیکیشن سیلف پروٹیکشن (RASP) ٹیکنالوجی جیسا کہ گارٹنر نے بیان کیا ہے، RASP ایک سیکیورٹی ٹیکنالوجی ہے جو کسی ایپلیکیشن یا اس کے رن ٹائم ماحول میں ضم ہوتی ہے، جو ریئل ٹائم حملوں کو کنٹرول کرنے اور روکنے کی صلاحیت رکھتی ہے۔ بدقسمتی سے، بہت سے ویب ایپلیکیشن فائر وال (WAF) کمپنیوں نے اصطلاح کو فائدہ اٹھانے کا موقع دیکھا۔ انہوں نے نیٹ ورک کی پرت پر "RASP نما" ایجنٹس متعارف کرائے، جو کہ RASP ٹیکنالوجی کی تعریف کو مکمل طور پر قبول نہیں کر رہا ہے۔
اس کے برعکس، حقیقی RASP ٹیکنالوجی ایپلیکیشن لیئر پر کام کرتی ہے، جہاں اس میں صارف، ایپلیکیشن کی منطق، اور ڈومین کی معلومات کا مکمل سیاق و سباق ہوتا ہے۔ یہ سیاق و سباق RASP کو درخواست کی حفاظت کے بارے میں باخبر فیصلے کرنے اور نقصان پہنچانے سے پہلے استحصال کو روکنے کی اجازت دیتا ہے۔ نتیجے کے طور پر، ایک حقیقی RASP میں صفر جھوٹے مثبت اور کم تاخیر کا ہونا چاہیے، جس سے کارکردگی میں فوری اضافہ ہوتا ہے۔ سچے RASP کو ناقابل تغیر قواعد کی ایک فہرست کی ضرورت ہوتی ہے جو سیاق و سباق کو سمجھنے کے لیے استعمال کرتے ہیں کہ کب کوئی نیا خطرہ متعارف کرایا جاتا ہے اور اس کے مطابق عمل کیا جاتا ہے۔ یہ تغیر تب ممکن ہے جب ضابطوں کو ایپلیکیشن لیئر پر کوڈ بیس میں پکایا جاتا ہے اور ایک بار تعیناتی کے بعد کسی تبدیلی کی ضرورت نہیں ہوتی ہے۔
تین علاقے جہاں RASP غلط ہوا۔
1. بھونکنے والے کتے کا مسئلہ: زیادہ تر الرٹس غلط مثبت ہوتے ہیں۔
WAFs کے ساتھ مسئلہ یہ ہے کہ وہ نیٹ ورک کی پرت پر کام کرتے ہیں، جو ایپلیکیشن پر عمل درآمد کا ایک پیچھے رہ جانے والا اشارہ ہے۔ سیاق و سباق کی کمی کے نتیجے میں اعلی غلط-مثبت شرح، طویل انتظار کے اوقات، اور خراب کارکردگی کا باعث بنتا ہے، کیونکہ WAFs صرف اس بات کی بنیاد پر کسی خطرے کی نوعیت کے بارے میں اندازہ لگا سکتے ہیں جس کا وہ پہلے سامنا کر چکے ہیں۔
تصور کریں کہ صحن میں ایک محافظ کتا بھونکتا ہے جب بھی وہ باڑ سے پرے شور سنتا ہے۔ یہ شور کسی گھسنے والے کا نقطہ نظر ہو سکتا ہے، لیکن یہ وہاں سے گزرنے والی کاریں بھی ہو سکتی ہیں۔ محافظ کتا فرق کا درست اندازہ نہیں لگا سکتا، اس لیے کسی بھی شور کی شدت ختم ہو جاتی ہے، جس سے گھر کے اندر موجود لوگوں کے لیے یہ جاننا ناممکن ہو جاتا ہے کہ کون سے انتباہات حقیقی ہیں اور کون سے غلط مثبت۔ یہ منظر نامہ بنیادی طور پر معیاری RASP پیشکش کی صلاحیت ہے۔
2. 999 برے لوگوں کا مسئلہ: صرف نمونے کی جانچ کرنے کے قابل
یقین کریں یا نہیں، کچھ دکاندار آپ کو کہتے ہیں کہ صرف اپنے حفاظتی حل کو پیداواری ماحول میں چلائیں اگر آپ صرف نمونے کے سائز کی حفاظت کرتے ہیں۔ اس کا مطلب ہے کہ یہ ایک نمونہ کھینچتا ہے — شاید ہر 1,000 درخواستوں میں سے ایک — اور اس نمونے کی جانچ کرتا ہے جب کہ اگلے 999 کے لیے کیا ہوتا ہے۔ مطلب، اگر آپ اچھے اداکار ہیں، تو آپ کے دستخط چیک کیے جائیں گے۔ لیکن اس سے قطع نظر کہ مندرجہ ذیل 999 اداکاروں کے برے ارادے ہیں یا نہیں، وہ کامیاب ہو جائیں گے۔ مستقل مزاجی کا یہ فقدان اس لیے ہے کہ WAF پر مبنی RASPs ہر درخواست کی جانچ کرنے کی کارکردگی کی ضروریات کو پورا نہیں کر سکتے۔
3. "اس میں بہت زیادہ وقت لگتا ہے" مسئلہ: تاخیر کارکردگی کو متاثر کرتی ہے۔
جب بھی آپ کے پاس WAF پر مبنی RASP ہے، آپ کو زیادہ تاخیر کا سامنا کرنا پڑتا ہے، کیونکہ یہ کسی بھی طرح سے ایپلیکیشن کے کوڈ بیس کو متاثر نہیں کر سکتا۔ دریں اثنا، وسیع پیمانے پر دستیاب RASPs کو پورے ٹیکسٹ پے لوڈز کو اپنے ویب تجزیہ کار کو بھیجنا پڑتا ہے اور پھر اسے واپس بھیجے جانے کا انتظار کرنا پڑتا ہے، جس میں کافی وقت لگ سکتا ہے۔ اور اگر آپ کے گاہک ادائیگیوں کا انتظار کر رہے ہیں تو وہ ہار سکتے ہیں اور اس کے بجائے آپ کے حریفوں کی تلاش کر سکتے ہیں۔
اس عمل کو بہتر بنانا کوڈ کی اصلاح کے مترادف ہے۔ فہرست بناتے وقت، ڈویلپرز اسے ختم کرنے کے بجائے فہرست کے آغاز میں نئی اشیاء شامل کرنے کے لیے ترتیب دیتے ہیں۔ یہ آپٹیمائزیشن VM کو ہر بار جب کوئی نیا آئٹم شامل کیا جاتا ہے تو پوری فہرست کو دوبارہ بنانے سے روکتا ہے، فہرست کے بڑھنے کے ساتھ ساتھ بڑھتی ہوئی تاخیر کو روکتا ہے۔ کمپائلر انجینئرز نے 2000 کی دہائی کے اوائل میں جسٹ ان ٹائم (جے آئی ٹی) کمپائلنگ کو لاگو کرکے ان مسائل کو حل کیا، جو دی گئی زبان کی باریکیوں کی بنیاد پر کوڈ کو خود بخود بہتر بناتا ہے۔
RASP کی تعریف کو اتنا پانی کیوں دیا گیا ہے؟
RASP ٹیکنالوجی کو تیار کرنے کے لیے سیکیورٹی انجینئرنگ اور سافٹ ویئر انجینئرنگ کی مہارتوں کے امتزاج کی ضرورت ہوتی ہے۔ مؤثر ہونے کے لیے، RASP ڈویلپر کو ایپلی کیشن کے فن تعمیر اور استعمال کی جا رہی پروگرامنگ زبان کی باریکیوں کو گہرائی سے سمجھنا چاہیے۔ اس کے لیے ڈومین کی مہارت کی ضرورت ہوتی ہے جو کہ سیکیورٹی کے پیشہ ور افراد میں نایاب ہے۔
True RASP کارکردگی کے ساتھ ساتھ سیکیورٹی کے لیے کوڈ کو بہتر بناتا ہے۔
چونکہ زیادہ تر RASP پلیٹ فارمز WAFs کی طرح برتاؤ کرتے ہیں، اس لیے اس میں بڑے پیمانے پر اوور ہیڈ شامل ہوتا ہے، جس کے لیے انہیں نمونہ موڈ میں چلانے کی ضرورت ہوتی ہے۔ اس کے برعکس، ایک حقیقی RASP رن ٹائم میں اصل تحفظ انجام دیتا ہے۔
یہ آپریشنز میموری میں موجود ہیں، جو کہ بہت کارآمد ہے، اور چونکہ یہ آپ کی ایپلی کیشنز کی جگہ پر موجود ہے، یہ بہت پرفارمنس ہیں۔ رن ٹائم میں تحفظ کو انجام دینے سے، نمونے کے سائز میں حد کی درجہ بندی کرنے یا تحفظ کو انجام دینے کی ضرورت نہیں ہے کیونکہ اصل آپریشن میں صرف چند ملی سیکنڈ لگتے ہیں۔
ایپلی کیشن میں کی جانے والی کسی بھی تبدیلی سے قطع نظر، اعلیٰ کارکردگی والی سیکیورٹی مستقل رہتی ہے۔ یہ فلسفہ بنیادی ڈھانچے کے طور پر کوڈ کے فلسفے سے ہم آہنگ ہے، جس میں آپ اپنے بنیادی ڈھانچے کی مطلوبہ حالت کی وضاحت کرتے ہیں، اور ماحول میں کچھ بھی ہو جائے، بنیادی ڈھانچے کی حالت وہی رہتی ہے۔
RASP، تعریف کے لحاظ سے، بنیادی ڈھانچے کے کوڈ کے طور پر بہت سے اصولوں کو متوازی کرتا ہے۔ یہ متوازی اطلاق کے بارے میں گہری سیاق و سباق سے آگاہی اور اس زبان کی وجہ سے ممکن ہے جس میں اسے بنایا گیا ہے۔ پسند بنیادی ڈھانچہ بطور کوڈ, RASP کے لیے ایک حقیقی نقطہ نظر کوڈ بیس میں تبدیلیوں سے قطع نظر اس بات کو یقینی بنانے کے لیے کہ قوانین لاگو کیے جاتے ہیں، تبدیلی کا استعمال کر سکتا ہے اور کرنا چاہیے۔
جب کسی فنکشن کو پہلی بار بلایا جائے تو اس کے آؤٹ پٹ کو چیک کرکے اور کسی بھی غیر صحت بخش فعالیت کو محفوظ فعالیت کے ساتھ تبدیل کرکے، اس بات کو یقینی بناتے ہوئے کہ ایپلی کیشن چلتے ہی صحت مند رہتی ہے۔
یہ نقطہ نظر سیکیورٹی کو تعیناتی کے علمی ہونے کی اجازت دیتا ہے اور اس کے لیے ایپلیکیشن کوڈ، ٹیوننگ، یا تعیناتی ونڈوز کے انتظار میں کوڈ میں تبدیلی کی ضرورت نہیں ہے۔
رن ٹائم میں تحفظ کا مظاہرہ کرنے سے، ایپلیکیشن کی تمام چل رہی مثالوں پر فوری تحفظ کے ساتھ نتائج کو پیچ کرنے سے، کوئی مستقل غلط مثبت کی ضرورت کو ختم کرتا ہے اور مستقبل کے کارناموں کے خطرے کو دور کرتا ہے۔
RASP کو اعلیٰ معیار پر رکھا جا سکتا ہے اور ہونا چاہیے۔
مختصراً، RASP کو ایک اعلیٰ معیار پر رکھا جانا چاہیے۔ ایسا کرنے پر، ہزاروں ایپلیکیشنز کو محفوظ کرنا، آپ کے WAFs کی ملکیت کی کل لاگت کو کم کرنا اور آپ کی سیکیورٹی ٹیموں میں برن آؤٹ کو روکنے میں مدد کرنا ممکن ہے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/attacks-breaches/what-rasp-should-have-been
- : ہے
- $UP
- 000
- 1
- a
- ہمارے بارے میں
- اس کے مطابق
- درست طریقے سے
- ایکٹ
- اداکار
- شامل کیا
- ایجنٹ
- تنبیہات سب
- سیدھ میں لائیں
- تمام
- کی اجازت دیتا ہے
- ہمیشہ
- کے درمیان
- اور
- درخواست
- ایپلی کیشنز
- اطلاقی
- نقطہ نظر
- فن تعمیر
- کیا
- علاقوں
- AS
- At
- حملے
- خود کار طریقے سے
- دستیاب
- کے بارے میں شعور
- واپس
- برا
- بیس
- کی بنیاد پر
- BE
- کیونکہ
- اس سے پہلے
- شروع
- کیا جا رہا ہے
- سے پرے
- بڑھانے کے
- تعمیر
- by
- کہا جاتا ہے
- کر سکتے ہیں
- نہیں کر سکتے ہیں
- صلاحیت رکھتا
- کاریں
- کیونکہ
- تبدیلیاں
- چیک کریں
- کوڈ
- کوڈ بیس
- کوڈ بیس
- مجموعہ
- کمپنیاں
- حریف
- مسلسل
- سیاق و سباق
- متعلقہ
- اس کے برعکس
- کنٹرولنگ
- قیمت
- سکتا ہے
- تخلیق
- گاہکوں
- فیصلے
- گہری
- تعینات
- تعیناتی
- بیان کیا
- مطلوبہ
- ڈیولپر
- ڈویلپرز
- فرق
- کتا
- ڈومین
- نیچے
- ہر ایک
- ابتدائی
- موثر
- ہنر
- ختم
- منحصر ہے
- انجنیئرنگ
- انجینئرز
- کو یقینی بنانے کے
- کو یقینی بنانے ہے
- پوری
- ماحولیات
- ماحول
- بنیادی طور پر
- ہر کوئی
- پھانسی
- موجود ہے
- تجربہ
- مہارت
- استحصال
- ظاہر
- چند
- فائروال
- پہلا
- پہلی بار
- کے بعد
- کے لئے
- سے
- مکمل
- مکمل طور پر
- تقریب
- فعالیت
- مستقبل
- گارٹنر
- حاصل
- دے دو
- دی
- Go
- اچھا
- بڑھتا ہے
- گارڈ
- ہینڈل
- ہوتا ہے
- ہے
- ہونے
- صحت مند
- Held
- مدد
- ہائی
- اعلی کارکردگی
- اعلی
- ہاؤس
- HTTPS
- فوری طور پر
- بدلاؤ
- غیر معقول
- پر عمل درآمد
- ناممکن
- in
- اضافہ
- اضافہ
- اشارے
- اثر و رسوخ
- معلومات
- مطلع
- انفراسٹرکچر
- کے بجائے
- ضم
- ارادے
- متعارف
- ملوث
- مسئلہ
- مسائل
- IT
- اشیاء
- میں
- جیٹ
- فوٹو
- جان
- نہیں
- پیچھے رہ
- زبان
- تاخیر
- پرت
- لیڈز
- لیوریج
- کی طرح
- LIMIT
- لسٹ
- لانگ
- طویل وقت
- کم کرنا
- بنا
- بنا
- بنانا
- بہت سے
- بڑے پیمانے پر
- معاملہ
- مطلب
- کا مطلب ہے کہ
- دریں اثناء
- یاد داشت
- شاید
- موڈ
- سب سے زیادہ
- فطرت، قدرت
- ضرورت ہے
- نیٹ ورک
- نئی
- اگلے
- شور
- of
- کی پیشکش
- on
- ایک
- چل رہا ہے
- آپریشن
- آپریشنز
- مواقع
- اصلاح کے
- اصلاح کرتا ہے
- پیداوار
- ملکیت
- متوازی
- Parallels کے
- پاسنگ
- پیچ کرنا
- ادائیگی
- لوگ
- انجام دیں
- کارکردگی
- کارکردگی کا مظاہرہ
- کارکردگی کا مظاہرہ
- شاید
- فلسفہ
- پلیٹ فارم
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- غریب
- ممکن
- کی روک تھام
- کی روک تھام
- پہلے
- اصولوں پر
- مسئلہ
- عمل
- پیداوار
- پیشہ ور ماہرین
- پروگرامنگ
- حفاظت
- محفوظ
- تحفظ
- فراہم کرنے
- ھیںچتی
- Rare
- شرح
- قیمتیں
- RE
- اصل وقت
- حال ہی میں
- کم
- بے شک
- باقی
- درخواست
- درخواستوں
- کی ضرورت
- ضروریات
- کی ضرورت ہے
- نتیجہ
- نتیجے
- نتائج کی نمائش
- اضافہ
- رسک
- قوانین
- رن
- چل رہا ہے
- s
- اسی
- منظر نامے
- محفوظ بنانے
- سیکورٹی
- طلب کرو
- مقرر
- مختصر
- ہونا چاہئے
- اسی طرح
- بعد
- سائز
- سائز
- مہارت
- So
- سافٹ ویئر کی
- سافٹ ویئر انجینئرنگ
- حل
- کچھ
- خلا
- معیار
- حالت
- لے لو
- لیتا ہے
- ٹیموں
- ٹیکنالوجی
- ٹیسٹ
- ٹیسٹنگ
- ٹیسٹ
- کہ
- ۔
- ریاست
- ان
- ان
- یہ
- ہزاروں
- کے ذریعے
- وقت
- اوقات
- کرنے کے لئے
- بھی
- کل
- سچ
- سمجھ
- استعمال کی شرائط
- رکن کا
- دکانداروں
- خطرے کا سامنا
- انتظار
- انتظار کر رہا ہے
- راستہ..
- ویب
- اچھا ہے
- کیا
- چاہے
- جس
- جبکہ
- بڑے پیمانے پر
- گے
- کھڑکیاں
- ساتھ
- کام
- دنیا
- سال
- تم
- اور
- زیفیرنیٹ
- صفر
