开源网安RASP实时应用自我防护平台_智能防御0Day漏洞系统

开源网安RASP实时应用自我防护平台

开源网安实时应用自我防护平台，采用插桩技术实现无需人工干预的、无感知的攻击检测和防护功能。RASP平台通过在应用程序的字节码中动态插桩检测“探针”，来获取应用程序各种运行时的上下文信息，在应用程序运行的时候，利用当前上下文信息实时保护应用。基于对应用程序中的各种信息，进行灵活的重组与分析，可以更完整的检测出常见攻击实例（如注入型漏洞等）与逻辑安全攻击实例。

立即咨询

安全产品

RASP—RASP™ 概述 icon

开源网安实时应用自我防护平台（简称RASP），采用插桩技术实现无需人工干预的、无感知的攻击检测和防护功能。针对互联网企业和分布式应用项目，RASP平台的部署效率与防护效果更加明显。检测基础：RASP平台通过在应用程序的字节码中动态插桩检测“探针”，来获取应用程序各种运行时的上下文信息，在应用程序运行的时候，利用当前上下文信息实时保护应用。应用安全检测防护的检测基础是：要动态获取被测应用程序的各种信息，基于对应用程序中的各种信息，进行灵活的重组与分析，可以更完整的检测出常见攻击实例（如注入型漏洞等）与逻辑安全攻击实例。

RASP—RASP™ 技术原理 icon

背景：2014年，Gartner引入了“Runtime application self-protection”一词，简称为RASP。它是一种新型应用安全保护技术，它将保护程序像疫苗一样注入到应用程序中，应用程序融为一体，能实时检测和阻断安全攻击，使应用程序具备自我保护能力，当应用程序遭受到实际攻击伤害，就可以自动对其进行防御，而不需要进行人工干预。技术特征：RASP技术可以快速的将安全防御功能，整合到正在运行的应用程序中，它拦截从应用程序到系统的所有调用，确保它们是安全的，并直接在应用程序内验证数据请求。Web和非Web应用程序都可以通过RASP进行保护。该技术不会影响应用程序的设计，因为RASP的检测和保护功能是在应用程序运行的系统上运行的。

RASP—RASP™ 部署方式 icon

(1)云端部署

安全检测服务器Server部署在云上，在本地网络每一个被测应用程序所在服务器上，部署安全检测引擎Agent，通过Http/Https进行通讯。安全检测引擎（Agent）① 接收Server上配置的各种安全策略和规则② 采集应用程序运行时的各种上下文信息③ 对采集信息进行分析，检测被测程序及依赖的第三方软件的安全弱点④ 将发现的安全弱点发送给Server

(2)本地部署

安全检测服务器Server、检测引擎Agent均部署在本地网络，Agent部署在每一个被测应用程序所在服务器中，通过Http/Https进行通讯。安全检测服务器（Server）① 提供Agent下载，接收Agent采集信息② 提供可视化的界面，实时显示被测应用安全防护情况，报表的形式展现产品的安全状态③ 提供0Day攻击的可视化配置页面④ 安全策略和规则的配置。

RASP—RASP™ 应用环境 icon

RASP—RASP™ 产品功能 icon

常见攻击检测
支持多种类型的攻击展示，支持超过20种以上的攻击检测与展示，其中包括逻辑漏洞攻击

多维度攻击展示
支持攻击的多维度展示：可以提供代码，HTTP请求，数据流，URL等问题点信息，同时提供定位，修复和验建议

支持攻击验证
支持攻击修复后的验证功能，验证开发对攻击修复是否准确。

支持防护补丁的实时防护
随着安全攻击局势的进一步加剧，如何在第一时刻做出迅速反应，SecZone的RASP产品提供了防护补丁的功能，能够第一时间防御攻击事件。

RASP—RASP™ 产品功能 icon

多种处理策略
支持对攻击处理的多种策略，如记录日志，上报攻击数据，阻断攻击流程等

多种检测规则定制
定制不同业务逻辑的攻击检测，也能对攻击或安全配置实现应用级别的细粒度控制。

支持敏感数据检测
可以实现合规性要求，例如PCI等，无需修改应用程序即可应用所有要求

支持攻击源检测
可以跟踪恶意攻击的IP地址，抓取前端信息，获取攻击链的完整跟踪，进一步的SecZoneRASP还可以定位恶意攻击的用户信息

RASP—RASP 与 WAF 区别 icon

功能特性 | RASP™优势 icon

集成方便
支持原有架构，无缝融合SIEM，即插即用，无需复杂配置

精准度高
权限保护，精准隔离

高精度，低误报

内嵌式，抗干扰

企业级安全
阻挡0Day攻击

企业级安全弱点管理

支持分布式应用

云原生
替代传统WAF

集中管理，自动升级

支持大规模应用部署

定制灵活
支持业务逻辑检测

支持IAST漏洞导入

支持自定义防御策略

信息展示全面
攻击细节可视化展示

多维展示，实时定位

功能比对

攻击防护能力比对（1） icon

攻击防护能力比对（2） icon

应用说明 | 业务被攻击 icon

应用场景 | DevSecOps icon

应用场景 | RASP典型应用检测 icon

基于规则的漏洞攻击检测

通过RASP实时采集Web应用的高风险行为，具体实现为hook漏洞相关的函数，如检测SQL注入（劫持mysqli_query等）、命令注入（system/exec等）、文件上传漏洞（move_uploaded_file等）、xss漏洞（echo/print等）；拿到函数数据后对参数进行规则匹配判断是否存在漏洞攻击。

基于污点追踪的漏洞检测

通过追踪外部可控制的输入变量（如GET,_POST,REQUEST,REQUEST,_COOKIE等）是否未经安全处理进入危险函数执行，危险函数包括各种可能导致漏洞的函数，如命令注入相关的system/exec，xss相关的echo/print。RASP结合污点追踪也是一种检测方法，通过标记非信任的数据源，监测整个数据链路。

RASP与IAST扫描联动

IAST与RASP均是基于插桩，获取代码执行流程，相较于传统漏洞检测方法可以直接定位到有漏洞的代码文件和具体代码行号，业务修复起来更加便捷。

Webshell检测

Webshell文件是一个特殊的cgi文件，有文件操作、命令执行等管理功能，可以基于RASP采集的数据在云端做检测；检测方法包括规则匹配（适用于一句话木马和混淆webshell有明显特征的样本）、行为统计分析（适用于大马）

客户分类

开源网安已在金融、能源、政府监管、大型软件企业、车联网、医疗等行业积累了200+成功案例，客户包含：工商银行、平安银行、中信银行、微众银行、国信证券、中国石油、国家电网、华为、中兴、亚信、百度、金蝶软件、碧桂园、IBM等大型企业，为客户提供软件开发过程中端到端安全解决方案。

RASP 应用场景 | 金融-银行 icon

业务场景：银行的应用，其研发方式有2种：1、全部自主研发（自产自管），像工行等大行；2、核心自研，其他外包（自产自管 + 交付验收），像城商行、民营银行等。对于开发的应用，要做到上线即安全，需要安全防护工具支撑，确保软件运行时的安全。刚需：内部业务安全要求 + 外部监管要求（银保监会）安全防护工具：RASP、WAF等