RASP 完爆 WAF 的5大理由！

Web 應用防火牆（WAF）已經成爲常見 Web 應用廣泛採用的安全防禦工具，即使如此，WAF 提供的保護方案仍舊存在諸多不足，筆者認爲稱 WAF 爲好的安全監控工具更爲恰當。幸運的是，應用安全保護技術也在快速發展，運行時應用程序自我保護系統（簡稱 RASP）之概念，一經 Gartner 提出，當即受到熱烈追捧。業界廣泛認爲 RASP 會成爲新一代應用漏洞的「超級剋星」。

WAF: 對應用安全防禦已力不從心

Web 應用安全防火牆（WAF）部署在 Web 應用程序前線，能夠實時掃描和過濾 Web 請求與用戶輸入的數據。所以，WAF 在監控進出 Web 應用程序/數據庫的有害用戶輸入和不正常的數據流上很是有效率，這也使 WAF 在過去十多年間很是受歡迎。

WAF 有兩種工做模式：

1. 檢測模式：尋找惡意輸入和違規行爲模式。
2. 阻塞模式：攔截可疑用戶輸入。

WAF 具有防禦多種常見安全攻擊（如 SQL 注入和跨站攻擊(XSS)）的能力。但 WAF 基於流量分析，不理解應用的上下文，所以它也有不少與生俱來的缺陷。

WAF 最大的缺點是一旦應用程序代碼有所改變，相應的配置也須要改變。一旦更新不及時或者更新失敗，都會產生大量的誤報（False-Positives）。當 WAF 設置爲攔截模式時，這些誤報會產生 DDOS 攻擊或致使性能問題。

WAF 沒法檢查應用程序的漏洞，更沒法解決已知漏洞。它不瞭解應用程序，不能深刻到數據流裏探測系統特有的問題，好比 SQL 注入。每一個數據庫的 SQL 語言都有諸多不一樣，WAF 沒法防範針對具體數據庫的 SQL 注入之攻擊行爲。

RASP 可接力 WAF 爲應用程序提供更好的保護

實時應用程序自我保護（RASP）繼承了 WAF 的大部分功能，使應用程序很好地保護本身。RASP 會監聽每個與應用程序交換的節點，覆蓋全部應用程序的訪問節點，包括：用戶、數據庫、網絡和文件系統。

由於瞭解應用程序的上下文，RASP 徹底清楚應用程序的輸入輸出，所以它能夠根據具體的數據流定製合適的保護機制，從而能夠達到很是精確的實時攻擊識別和攔截。

RASP 的工做原理請見下圖：

RASP 在可疑行爲進入應用程序時並不攔截，而是先對其進行標記，在輸出時再檢查是否爲危險行爲，從而儘可能減小誤報和漏報的機率。這對精確性要求極高的銀行、金融體系的應用程序保護尤爲重要，由於這些應用程序對性能和可用性要求很是高。

RASP 優於 WAF 的5大優點

極少誤報率： 不一樣於 WAF，RASP 不依賴於分析網絡流量去尋找問題，除了發現漏洞或發現攻擊行爲，它一般不會發出任何聲音。這樣能極大地減小誤報率。RASP 能很是精確地區分攻擊和合法輸入，而 WAF 不少時候沒法作到，這大大減小了專門請人分析結果的成本，也不須要掃描修復的過程。

**維護成本極低：**WAF 的安裝過程很是複雜，須要很是精確的配置以儘量廣的覆蓋應用程序。爲了得到更好的效果，幾乎每次 Web 應用程序發佈新版時都須要對管理員進行「培訓」並對 WAF 進行鍼對性的從新配置。但大多數企業都沒法作得這麼及時與完善，這就可能致使大量的誤報與性能問題。與之相對，RASP 幾乎能夠作到開箱即用，只須要很是簡單的配置就可使用。這得益於RASP 與應用程序融爲一體的特性，在應用程序內部監控實時數據。

極高的覆蓋度和兼容性： RASP 安全系統能夠應用到任何可注入的應用程序，能處理絕大多數的網絡協議：HTTP、 HTTPS、AJAX、SQL 與 SOAP。而 WAF 經過監控網絡流量提供保護，所以只支持 Web 應用程序（HTTP）。此外，WAF 須要特定的解析器、協議分析工具或其餘組件來分析應用程序使用的其餘網絡協議，這會致使一些兼容性與性能問題。

**更全面的保護：**WAF 在分析與過濾用戶輸入並檢測有害行爲方面仍是比較有效的，可是對應用程序的輸出檢查則毫無辦法。RASP 不但能監控用戶輸入，也能監控應用程序組件的輸出，這就使 RASP 具有了全面防禦的能力。RASP 解決方案可以定位 WAF 一般沒法檢測到的嚴重問題——未處理的異常、會話劫持、權限提高和敏感數據披露等等。Gartner 分析師 Joseph 很清楚地描述了這一點。

**能夠與 SAST 完美集成：**RASP 能夠與 SAST 方案無縫集成，好比靜態代碼分析工具（SCA）。這使得企業全程掌控產品的整個生命週期，從早期的開發階段，一直到後期製做和部署。WAF 工具根本沒法作到這一點，也不能提供任何補救措施。將 RASP 和 SAST 結合使用能夠帶來兩個顯著的好處：

1. **提供虛擬補丁：**在不少狀況下，可使用掃描工具在開發階段發現全部已知漏洞，但因爲資源和上線週期的壓力，沒有辦法修復全部漏洞，帶病上線是常有的事情。藉助 RASP，企業能夠放心地發佈產品。RASP 就像一個大的虛擬補丁將全部漏洞都在線修復。系統能夠安全運行，在資源容許的狀況下再修復和更新這些漏洞。

2. **快速緩解攻擊：**從另一個角度看，使用 RASP 能快速定位漏洞，這得益於 SAST 的先期掃描結果，RASP 和 SAST 的結合使用對於大型企業尤爲重要，快速修復漏洞能節約大量時間，大幅下降漏洞帶來的風險。這是 WAF 所沒法提供的。

誠然，WAF 是一個值得尊敬的後期安全保護工具，可是它先天的缺點致使公司不得不考慮其餘選擇。使用 RASP 解決方案能根本性提高應用程序的自動免疫能力，即使黑客攻擊已滲入應用程序內部，也能從容應對。隨着黑客技術日趨複雜，應用程序的安全性也必須發展提升。RASP 和 SAST 的組合，能夠說是當今最好的應用安全保護組合。

RASP 提供商

RASP 是一個新興的概念，如今能真正提供 RASP 服務的公司並很少，惠普是一個比較出名的大廠商有。但在國內只有一家安全初創企業 OneASP 在作 RASP 的產品，這也是一款擁有徹底知識產權的國產安全產品。OneRASP（實時應用自我保護）是一種基於雲的應用程序自我保護服務， 能夠爲軟件產品提供實時保護，使其免受漏洞所累。