美國聯(lián)邦網(wǎng)絡(luò)安全審查委員會最近的一份報告指出，當(dāng)前Log4j漏洞對產(chǎn)業(yè)界的影響并未結(jié)束，這一漏洞或許在未來十年甚至更長的時間內(nèi)持續(xù)引發(fā)安全風(fēng)險，誰也不知道下一個Log4j或Spring4Shell漏洞何時會出現(xiàn)。唯一能夠確認(rèn)的是，在接下來的每一次0Day安全事件中，組織內(nèi)部的應(yīng)用程序和編程接口 （API） 都將受到全面破壞。

　　隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，API作為連接服務(wù)與傳輸數(shù)據(jù)的核心通道，在企業(yè)的發(fā)展過程中愈發(fā)重要的角色。但事實(shí)上，API可能具有與傳統(tǒng) Web 應(yīng)用程序幾乎相同的所有漏洞，包括 SQL 注入、服務(wù)器端請求偽造、不安全的反序列化等等，其背后隱藏著不可忽視的安全風(fēng)險。

　　API安全當(dāng)前主要面臨以下四個方面的嚴(yán)峻挑戰(zhàn)：

　　01 真正的攻擊很難識別。每個 API 都有其獨(dú)特的漏洞，只能通過特定的攻擊來利用。比如，對一個 API 完全無害的 HTTP 請求或許對另一個 API 可能是毀滅性的；

　　02 現(xiàn)代 API 使用的格式十分復(fù)雜，如 JSON、XML、序列化對象和自定義二進(jìn)制格式等。這些請求使用 HTTP 之外的各種協(xié)議，包括 WebSocket，它由瀏覽器、富客戶端、移動應(yīng)用程序和許多其他來源中的 JavaScript 生成。

　　03 傳統(tǒng)的防御根本無效。Web 應(yīng)用程序防火墻 （WAF） 通過在 HTTP 流量到達(dá) API 服務(wù)器之前對其進(jìn)行分析，從而完全獨(dú)立于 API 運(yùn)行。盡管大多數(shù)大型組織都有 WAF，但許多組織缺乏進(jìn)行必要調(diào)整以保持其運(yùn)行所需的團(tuán)隊和專業(yè)知識，只能將其置于“日志模式”。

　　04 軟件正在快速發(fā)展，容器、基礎(chǔ)設(shè)施即服務(wù) （IaaS）、平臺即服務(wù) （PaaS）、虛擬和彈性環(huán)境出現(xiàn)爆炸式增長。新的信息技術(shù)應(yīng)用允許快速部署 API，但它們也進(jìn)一步擴(kuò)大了代碼暴露面。

　　因此，為了應(yīng)對API安全帶來的挑戰(zhàn)，避免給業(yè)務(wù)造成無法承受的損失，組織必須積極對已知和未知的漏洞進(jìn)行探測和防御，阻止攻擊者每一次對利用漏洞發(fā)起攻擊的意圖。

　　RASP技術(shù)如何補(bǔ)充

　　傳統(tǒng)安全方案在API方面的不足

　　隨著API安全理念的興起，網(wǎng)絡(luò)安全企業(yè)都逐漸豐富了在API領(lǐng)域的防護(hù)能力，但業(yè)內(nèi)一些傳統(tǒng)的入侵檢測方案和傳統(tǒng)的應(yīng)用防火墻（WAF）在進(jìn)出API接口分析流量和數(shù)據(jù)方面的表現(xiàn)仍然不佳。

　　相較而言，運(yùn)行時應(yīng)用程序自我保護(hù) （RASP）技術(shù)正在API安全防護(hù)中承擔(dān)越來越多的工作。RASP 提供了兩個關(guān)鍵功能：

　　首先，它可以準(zhǔn)確了解攻擊組織的人在組織的 API 上使用的攻擊向量，以及組織的哪些 API 是攻擊者正在嘗試突破的目標(biāo)。其次，RASP 可以在漏洞利用的環(huán)節(jié)阻止攻擊者，這一能力在當(dāng)前大多數(shù)主要類別的漏洞，包括零日漏洞和自定義代碼漏洞方面都能夠發(fā)揮作用。

　　RASP的工作方式與WAF的不同之處在于，RASP 使用工具將輕量級探針添加到組織的 API 代碼和平臺中，這些探針可以直接測量 API 的安全相關(guān)行為并檢測惡意事件。與部署在邊界的安全防御設(shè)備不同，它可以準(zhǔn)確跟蹤攻擊并防止漏洞被利用，從而讓用戶確定攻擊是否實(shí)現(xiàn)。

　　得益于此，RASP能夠立即檢測、阻止和緩解攻擊，通過分析攻擊行為和上下文來實(shí)時保護(hù)攻擊，可以無需調(diào)整或重新配置即可抵御廣泛的零日攻擊。通過使用應(yīng)用程序或 API 持續(xù)監(jiān)控自己的行為，RASP 能夠保護(hù) API 免受數(shù)據(jù)盜竊、惡意輸入和行為的影響，同時也無需人工干預(yù)。并能夠?yàn)?AppSec、SecOps 和開發(fā)團(tuán)隊提供準(zhǔn)確、詳細(xì)的信息，包括有效負(fù)載、完整的 HTTP 請求、確切的代碼行、執(zhí)行的查詢、訪問的文件等等。

　　作為一種更深入的安全工具，RASP自動將可見性和保護(hù)直接編織到 API 中，這極大限度地減少了0Day漏洞帶來的不眠之夜，為開發(fā)和安全運(yùn)營人員提供了喘息的空間。

　　事實(shí)上，早在 Log4Shell 和 Spring4Shell 漏洞爆發(fā)的時候，就已經(jīng)證明了RASP技術(shù)的有效性，它從根本上防止了攻擊者通過表達(dá)式語言注入和不安全的反序列化等各種方式對漏洞進(jìn)行惡意的利用。對于用戶而言，無需更新漏洞補(bǔ)丁這件事情的價值已經(jīng)無需多言，再沒有什么安全技術(shù)能夠像RASP這樣讓他們感到安心。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<