专栏特辑 | 开发安全铁三角纵横谈(十九)大结局

admin 2023年1月17日13:52:42评论29 views字数 972阅读3分14秒阅读模式
专栏特辑 | 开发安全铁三角纵横谈(十九)大结局
专栏特辑 | 开发安全铁三角纵横谈(十九)大结局
开发安全铁三角

为了能更好地理解今天所讲,请大家先回顾一下之前“开发安全铁三角纵横谈”内容:专栏特辑 | 开发安全铁三角纵横谈(十八)安全监测工具漫谈


RASP

运行时应用自我保护(Runtime application self-protection,RASP),这个关键技术和IAST是一样的,也是通过插桩技术,持续地从内部监控你应用中的代码和数据流。IAST是发现应用中存在的漏洞,RASP是发现应用运行时发生的攻击,在发现攻击后,通过中断后续程序运行,来保护应用。
例如:黑客发起一次SQL注入攻击,通过在某个参数中,嵌入攻击字符实现对数据库的攻击。RASP在应用中监控数据流入,发现其并没有做安全的处置,该数据参与SQL命令的拼接,在SQL命令发往数据库执行时,RASP判断其是SQL注入攻击,停止往数据库发送SQL命令,保护应用遭受损失。这就是RASP完整发挥作用的过程。实际产品中,RASP可以配置为监控模式和防护模式:监控模式就是发现后,并不停止应用的运行,只是进行攻击告警;防护模式则停止应用运行,起到防护作用。
事实上,先有RASP后有IAST。就是把RASP的监控模式发展成为以发现漏洞为主要目的检测形式,就形成IAST。
RASP侵入性更强,它注入代码,干预程序的执行。从开发团队角度思考,他们会认为这将失去对程序和代码的控制。因此,不是从开发团队自己去发起的RASP,通常都会遭到开发团队的抵制,导致运行效果不佳。

其他工具

理论上,所有的渗透测试工具(如系统漏洞扫描、sqlmap等)都可以开发上线时的安全检测工具,但对于安全团队来说,还是更愿意把重点放在上线前检测的工具叫开发安全检测工具,因此本文就不把这些工具列入范围。
汇总一下:
专栏特辑 | 开发安全铁三角纵横谈(十九)大结局
至此,安全监测部分就讲完了。

后记

《开发安全铁三角丛横谈》陆陆续续、唠唠叨叨了三个月,把我在开发安全方面的一些实践体会给大家整体介绍一下,但也不是很体系,毕竟是实践科学。感谢各位读者的陪伴,希望大家成为开发安全领域的专家,谢谢各位!!

拓展阅读


国舜股份出席可信联盟技术研讨会并分享开发安全领域推动可信落地实践经验

再度登榜 | 国舜股份入选2022《中国网络安全企业100强》

国舜4大新品发布 | 整合安全能力,赋能安全运营与整体防护升级

专栏特辑 | 开发安全铁三角纵横谈(十九)大结局

原文始发于微信公众号(国舜股份):专栏特辑 | 开发安全铁三角纵横谈(十九)大结局

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月17日13:52:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   专栏特辑 | 开发安全铁三角纵横谈(十九)大结局https://cn-sec.com/archives/1433078.html

发表评论

匿名网友 填写信息