美國(guó)聯(lián)邦網(wǎng)絡(luò)安全審查委員會(huì)最近的一份報(bào)告指出,當(dāng)前Log4j漏洞對(duì)產(chǎn)業(yè)界的影響并未結(jié)束,這一漏洞或許在未來十年甚至更長(zhǎng)的時(shí)間內(nèi)持續(xù)引發(fā)安全風(fēng)險(xiǎn),誰(shuí)也不知道下一個(gè)Log4j或Spring4Shell漏洞何時(shí)會(huì)出現(xiàn)。唯一能夠確認(rèn)的是,在接下來的每一次0Day安全事件中,組織內(nèi)部的應(yīng)用程序和編程接口 (API) 都將受到全面破壞。
隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,API作為連接服務(wù)與傳輸數(shù)據(jù)的核心通道,在企業(yè)的發(fā)展過程中愈發(fā)重要的角色。但事實(shí)上,API可能具有與傳統(tǒng) Web 應(yīng)用程序幾乎相同的所有漏洞,包括 SQL 注入、服務(wù)器端請(qǐng)求偽造、不安全的反序列化等等,其背后隱藏著不可忽視的安全風(fēng)險(xiǎn)。
API安全當(dāng)前主要面臨以下四個(gè)方面的嚴(yán)峻挑戰(zhàn):
01 真正的攻擊很難識(shí)別。每個(gè) API 都有其獨(dú)特的漏洞,只能通過特定的攻擊來利用。比如,對(duì)一個(gè) API 完全無害的 HTTP 請(qǐng)求或許對(duì)另一個(gè) API 可能是毀滅性的;
02 現(xiàn)代 API 使用的格式十分復(fù)雜,如 JSON、XML、序列化對(duì)象和自定義二進(jìn)制格式等。這些請(qǐng)求使用 HTTP 之外的各種協(xié)議,包括 WebSocket,它由瀏覽器、富客戶端、移動(dòng)應(yīng)用程序和許多其他來源中的 JavaScript 生成。
03 傳統(tǒng)的防御根本無效。Web 應(yīng)用程序防火墻 (WAF) 通過在 HTTP 流量到達(dá) API 服務(wù)器之前對(duì)其進(jìn)行分析,從而完全獨(dú)立于 API 運(yùn)行。盡管大多數(shù)大型組織都有 WAF,但許多組織缺乏進(jìn)行必要調(diào)整以保持其運(yùn)行所需的團(tuán)隊(duì)和專業(yè)知識(shí),只能將其置于“日志模式”。
04 軟件正在快速發(fā)展,容器、基礎(chǔ)設(shè)施即服務(wù) (IaaS)、平臺(tái)即服務(wù) (PaaS)、虛擬和彈性環(huán)境出現(xiàn)爆炸式增長(zhǎng)。新的信息技術(shù)應(yīng)用允許快速部署 API,但它們也進(jìn)一步擴(kuò)大了代碼暴露面。
因此,為了應(yīng)對(duì)API安全帶來的挑戰(zhàn),避免給業(yè)務(wù)造成無法承受的損失,組織必須積極對(duì)已知和未知的漏洞進(jìn)行探測(cè)和防御,阻止攻擊者每一次對(duì)利用漏洞發(fā)起攻擊的意圖。
RASP技術(shù)如何補(bǔ)充
傳統(tǒng)安全方案在API方面的不足
隨著API安全理念的興起,網(wǎng)絡(luò)安全企業(yè)都逐漸豐富了在API領(lǐng)域的防護(hù)能力,但業(yè)內(nèi)一些傳統(tǒng)的入侵檢測(cè)方案和傳統(tǒng)的應(yīng)用防火墻(WAF)在進(jìn)出API接口分析流量和數(shù)據(jù)方面的表現(xiàn)仍然不佳。
相較而言,運(yùn)行時(shí)應(yīng)用程序自我保護(hù) (RASP)技術(shù)正在API安全防護(hù)中承擔(dān)越來越多的工作。RASP 提供了兩個(gè)關(guān)鍵功能:
首先,它可以準(zhǔn)確了解攻擊組織的人在組織的 API 上使用的攻擊向量,以及組織的哪些 API 是攻擊者正在嘗試突破的目標(biāo)。其次,RASP 可以在漏洞利用的環(huán)節(jié)阻止攻擊者,這一能力在當(dāng)前大多數(shù)主要類別的漏洞,包括零日漏洞和自定義代碼漏洞方面都能夠發(fā)揮作用。
RASP的工作方式與WAF的不同之處在于,RASP 使用工具將輕量級(jí)探針添加到組織的 API 代碼和平臺(tái)中,這些探針可以直接測(cè)量 API 的安全相關(guān)行為并檢測(cè)惡意事件。與部署在邊界的安全防御設(shè)備不同,它可以準(zhǔn)確跟蹤攻擊并防止漏洞被利用,從而讓用戶確定攻擊是否實(shí)現(xiàn)。
得益于此,RASP能夠立即檢測(cè)、阻止和緩解攻擊,通過分析攻擊行為和上下文來實(shí)時(shí)保護(hù)攻擊,可以無需調(diào)整或重新配置即可抵御廣泛的零日攻擊。通過使用應(yīng)用程序或 API 持續(xù)監(jiān)控自己的行為,RASP 能夠保護(hù) API 免受數(shù)據(jù)盜竊、惡意輸入和行為的影響,同時(shí)也無需人工干預(yù)。并能夠?yàn)?AppSec、SecOps 和開發(fā)團(tuán)隊(duì)提供準(zhǔn)確、詳細(xì)的信息,包括有效負(fù)載、完整的 HTTP 請(qǐng)求、確切的代碼行、執(zhí)行的查詢、訪問的文件等等。
作為一種更深入的安全工具,RASP自動(dòng)將可見性和保護(hù)直接編織到 API 中,這極大限度地減少了0Day漏洞帶來的不眠之夜,為開發(fā)和安全運(yùn)營(yíng)人員提供了喘息的空間。
事實(shí)上,早在 Log4Shell 和 Spring4Shell 漏洞爆發(fā)的時(shí)候,就已經(jīng)證明了RASP技術(shù)的有效性,它從根本上防止了攻擊者通過表達(dá)式語(yǔ)言注入和不安全的反序列化等各種方式對(duì)漏洞進(jìn)行惡意的利用。對(duì)于用戶而言,無需更新漏洞補(bǔ)丁這件事情的價(jià)值已經(jīng)無需多言,再?zèng)]有什么安全技術(shù)能夠像RASP這樣讓他們感到安心。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<