runtime application self-protection (tsz. runtime application self-protections)
Ezáltal a RASP nagyobb kontextuális rálátással rendelkezik: látja, hogy mi történik a kódban, az adatokkal, és hogyan hívódnak meg a különböző komponensek. Emiatt sokkal pontosabb, kevesebb hamis pozitív riasztással jár, és hatékonyabban képes megakadályozni valós támadásokat, még ismeretlen (zero-day) típusokat is.
A hagyományos biztonsági rétegek, mint a tűzfalak, WAF-ek vagy IDS/IPS rendszerek nem látják közvetlenül, mi történik az alkalmazáson belül. Például:
A RASP ezzel szemben az alkalmazás logikáját és működését figyeli belülről – ezért képes például: - felismerni, ha egy adatbázis-lekérdezés gyanús karaktereket tartalmaz, - blokkolni a lekérdezést, ha az veszélyes, - naplózni az eseményt, - és akár értesíteni is a rendszergazdát vagy SIEM rendszert.
A RASP lehet:
– például adatbázis, fájlrendszer, hálózati kérések, autentikációs modulok.
– Honnan jött a bemenet? Milyen paraméterekkel? Mire készül?
– Ez normális működés, vagy támadás?
– Megengedi, blokkolja, naplózza, vagy kivételt dob.
| Támadástípus | Mit tesz a RASP |
|---|---|
| SQL Injection | Észleli, ha SQL lekérdezésben “1=1” vagy -- szerepel
|
| Command Injection | Blokkolja a rendszerparancsba injektált szöveget |
| Path Traversal | Megakadályozza, hogy ../../etc/passwd fájlt nyissanak meg
|
| XSS | Szűri a JavaScript beillesztéseket |
| Session Hijacking | Észleli a gyanús session cookie-másolást |
| Malicious payload execution | Megakadályozza, hogy a bemenet aktív kódot hajtson végre |
| Technológia | Mikor működik? | Hol helyezkedik el? | Előnye | Hátránya |
|---|---|---|---|---|
| WAF | Kérés beérkezésekor | Az alkalmazás előtt | Gyors, platformfüggetlen | Nem látja az alkalmazás belső működését |
| SAST | Fejlesztéskor | Kódszinten | Segít megelőzni hibákat | Nem észlel runtime hibákat |
| DAST | Teszteléskor | Az alkalmazással kommunikál | Automatikus támásszimuláció | Nem látja a belső működést |
| RASP | Futás közben | Az alkalmazás belsejében | Pontos, kontextusalapú védelem | Teljesítménycsökkentést okozhat |
– Nem csak a bejövő adatra néz, hanem a használatára is.
– Nem kell WAF vagy tűzfal hozzá.
– Mivel kontextusban értelmezi a kérést, nem blokkol “jó” forgalmat.
– Segíti az alkalmazás védelmét érzékeny adatok esetén.
– Sok esetben csak egy agent vagy könyvtár integrációja.
| Kihívás | Magyarázat |
|---|---|
| Teljesítménycsökkenés | Minden kritikus hívás elemzése CPU-időt igényel. |
| Kompatibilitás | Platformfüggő – külön komponens Java, .NET, Node.js stb. esetén. |
| Funkciókorlátozás | Csak azt védi, amit „lát” – pl. a RASP nem védi a háttérszolgáltatásokat. |
| Költség | Kereskedelmi RASP megoldások ára magas lehet. |
| Gyártó / Platform | Termék |
|---|---|
| Contrast Security | Contrast Protect |
| Imperva | RASP Security |
| Data Theorem | App Secure |
| Signal Sciences (Fastly) | Next-Gen RASP |
| Runtime (JVM/Node) | Nyílt forráskódú RASP könyvtárak is elérhetők |
| Fogalom | Leírás |
|---|---|
| RASP | Futásidejű alkalmazásbiztonság, amely az alkalmazás részeként működik |
| Működési mód | Interceptálja a rendszerhívásokat, elemzi, reagál |
| Előnyök | Valós idejű, pontos, kontextusalapú védelem |
| Kihívások | Teljesítményhatás, platformspecifikus megoldások |
| Alternatívák | WAF, SAST, DAST – de ezek nem helyettesítik RASP-et |
| Használat | Webes, mobil és API-alapú alkalmazások védelme |
A Runtime Application Self-Protection egy modern, intelligens védelmi technológia, amely képes automatizáltan felismerni és megakadályozni a legveszélyesebb támadásokat, még akkor is, ha azok korábban ismeretlenek. Ideális eszköz lehet minden olyan fejlesztői és üzemeltetési csapat számára, akik komolyan veszik az alkalmazásbiztonságot, de nem akarnak kizárólag a peremvédelmi megoldásokra támaszkodni.
