什么是RASP
Gartner在2014年提出了『运行时自我保护』Runtime application self-protection (RASP)技术的概念,即对应用服务的保护不应该依赖于外部系统,应用应该具备自我保护的能力。RASP的实现被构建或链接到应用程序或应用程序运行环境中,并能够控制应用程序的执行,检测和防止实时攻击。区别于传统基于流量检测的安全设备,RASP将防御能力内嵌至应用本身,在关键方法调用前对参数进行安全校验。因此与传统防火墙相比,有着更高的攻击检出率与更低的误报率。

我们如何解决传统方案存在的问题

误报率居高不下

AntiyRASP无需依靠庞大的威胁情报数据库进行特征码对比,能够获取到当前函数上下文的堆栈信息、异常信息、用户输入信息等, 进而轻易地分辨出正常业务请求与攻击请求。

混淆加密低检出

HTTPS使许多流量检测设备束手无策,因其对通信数据进行了二次加密,因此成为黑客混淆利器。AntiyRASP深处应用内部,以业务视角面向经解密等处理后的数据对象,配合有效的检测算法,使攻击无所遁形。

0day威胁难预防

AntiyRASP无需依靠于始终“慢人一步的威胁情报”,基于产生漏洞的原理的一系列高启发式检测算法,可直击漏洞本质,聚焦攻击向量产生的行为。面对0day攻击、应用自身未知漏洞时,更加游刃有余。

产品特性

高性能

Java应用定制检测算法,与JVM和各种框架深度集成,直接调用与实际执行完全相同的解析和检测接口,提高准确度,最小化性能损失。

高兼容性

Java应用支持绝大多数桌面系统、中间件及JDK版本;
PHP应用支持5.4~7.4版本。
(具体见下方白皮书)

部署管理便捷

支持自动化部署脚本/镜像,一键将客户端安装到进程/Docker/Kubernetes集群中,无需重启应用;亦支持手动部署,按照指引即可轻松完成。

引擎热更新

支持一键版本热更新,保障业务在不中断的前提下,时刻受到最新检测点和算法的保护。

AntiyRASP和传统防火墙的对比

对比项
传统防火墙
AntiyRASP
误报率
高。真正攻击成功的告警被淹没在大量失败尝试和误报当中造成运维人员的困扰
极低。报警即遭到攻击、遭到攻击即存在漏洞
攻击检出率
低。只能看到请求信息
高。除了请求信息,还能看到应用自身多方面上下文信息
防止攻击变形绕过
不支持。对于编码后的数据,针对性的绕过,存在难处理,处理不及时等问题
支持。RASP 的天然特性使其可以无视黑客的混淆变形
请求加密 (HTTPS、应用自身加密)
不支持。非定制产品,无法对加密的请求进行处理
支持。无需定制化,RASP拿到的数据与应用一致, 均为解密后数据
对抗未知漏洞 (0day)
不支持。规则无法预测未知漏洞
支持。高启发的算法基于漏洞原理,通杀同一类漏洞
应用热补丁
有限支持。只能加规则,存在被绕过的可能
支持。比如永久免疫 Struts OGNL 系列漏洞
定制安全编码规范、服务器安全基线
不支持
支持

产品功能

  • 攻击拦截
  • 漏洞成因管理
  • 多级管理
  • 应用加固
  • 报警通知
  • 自动化部署

智能拦截各类已知及未知漏洞

使用Hook技术对各类关键函数进行监测,根据用户输入、已知规则等对函数调用进行污点追踪和快速检查,自动拦截风险调用并提示运维和开发人员。目前支持拦截以下多种类型攻击:

SQL注入

JNDI注入

命令执行

反序列化攻击

XXE(XML外部实体注入)

目录遍历

...

攻击拦截
漏洞成因管理
多级管理
应用加固
报警通知
自动化部署

任尔混淆绕过,我自岿然不动

可能是当前对抗0day威胁的最佳防御方案。
立即咨询

关注我们

  • 垂直响应服务平台
    公众号

咨询热线

  • 400 840 9234
  • 在线咨询