阿里云安全-应用防护（RASP）方案介绍.pdf

阿里云安全-RASP方案v2.0

目录

01什么是RASP

02RASP的优势和应用场景

03为什么选择阿里云RASP

04阿里云RASP最佳实践

01什么是RASP

因为直接将代码插入到程序里面，所以

RASP的定义用疫苗作比喻

ØRASP全称“RuntimeApplicationSelf-Protection”，是一种在运行时检测应用程序攻击并进行自我保护的安全产品。

ØGartner在2014年将RASP列为应用安全的关键趋势，阿里从2015年开始部署自研的RASP产品JAM。

()

人体组织抗体疫苗应用程序RASP

人体内部免疫应用内部免疫

人体外部防护应用外部防护

•疫情时，口罩在人体外部构建了一套防御边界，阻止病毒进入人体•传统安全架构靠防火墙/WAF构建防御边界，过滤攻击请求

•一旦病毒突破边界进入人体，则只能靠体内的抗体来自我保护•一旦绕过边界（这越来越容易），RASP可以在应用运行时拦截攻击行为

RASP的检测原理

应用程序

应用关键函数

数据库操作

1.传统静态方式RASP以agent方式伴随应用启动（参考上图），不干预改应用代码

文件读写

2.公有云云上云安全中心集成支持动态attach注入，一键免重启接入。

网络请求3.通过hook应用的关键函数来实时检测应用自身及与其他系统的交互行为

命令执行4.由于运行在应用程序内部的底层，RASP能够感知上下文，理解应用逻辑

……5.通过上下文及hook函数的参数内容，结合语义分析、基线等手段，判断当前的应

用行为是否存在风险

6.应用的行为（对应函数）相对于千变万化的攻击特征来说是可穷举的，因此RASP

RASPhook点

针对0day以及各种变形攻击手法的防御效果上要远好于WAF等以“特征”为检测

对象的手段

RASP跟WAF的关系

RASPWAF

通用场景SQL注入、XSS、代码执行、文件包含、webshell等通用web漏洞利用防御

更擅长场景0day、复杂编码/加密流量、内存/加密马、非HTTP协议拒绝服务(CC等)、爬虫攻击、扫描器、访问控制

误漏报极低，只上报有效攻击较高，无效攻击也上报

部署直接注入到应用中，在本地以agent方式伴随运行部署在边界网关或串联在服务器前面，无入侵

性能消耗应用本地服务器性能消耗WAF自身性能，对应用和源站无影响

维护基本不依赖规则，无需联网，但部署需重启应用