Gartner 如何看 RASP 和 WAF？

在这个计算机网络飞速发展的网络时代里，新兴的网络威胁正在不断「侵蚀」着的应用程序和核心数据的安全，各种繁杂的防护手段也随之接踵而来。众所周知，Gartner 是全球最具权威的 IT 研究与顾问咨询公司，WAF 和 RASP 就是在不同时期被 Gartner 分析师所推崇的两种防护技术。

一、什么是 WAF？

WAF，即Web Application Firewall，Web 应用防火墙属于边界防火墙的一种。它通常设在 Web 应用程序的入口，拦截并分析所有用户请求，如果其中存在与某种攻击模式相匹配的内容，则禁止这些内容到达 Web 应用程序。WAF 需要提前收集签名，需要使用模式匹配引擎，而 WAF 防御力的强弱就取决于这些签名和引擎的质量。

2014年2月28日，Gartner 发布了题为《Web 应用防火墙值得企业投资》的报告。Gartner 在这份报告中指出，对于大部分公共网站、内部关键业务以及自定义 Web 应用而言，防火墙和入侵防御系统所提供的保护并不足够。报告还指出，WAF 能有效帮助企业的自定义 Web 应用防御网络攻击。

二、什么是 RASP？

RASP， Runtime Application Self-Protection， 实时应用自我保护。RASP 运行在应用程序的内部，它的安全保护控制点通常放在应用程序和其他系统的交互连接点上，包括和用户、数据库、网络以及文件系统的连接点，从而，实时监测并拦截漏洞攻击。RASP 的亮点在于「自我保护」，能够在运行时结合上下文采取相应的保护方案。

Gartner 在2014年应用安全报告里将 RASP 列为应用安全领域的关键趋势，原文引用如下：「Applications should not be delegating most of their runtime protection to the external devices. Applica-tions should be capable of self- protection (i.e., have protection features built into the application runtime environment).」（应用程序不应该依赖外部组件进行运行时保护，而应该具备自我保护的能力，也即建立应用运行时环境保护机制。）

三、Gartner 分析师的辩论 —— Firewall VS RASP

现如今，网络攻防就好像猫鼠游戏。一方面攻击者不断研究出更新、更聪明的方法，生成恶意输入，绕过边界防火墙的过滤器。导致 WAF 不考虑是否真会发起攻击，可疑即阻止，从而造成了比较高的误杀率。另一方面，黑客对现有的应用程序安全防火墙已经越来越熟悉，技术越来越高，再加上现代移动互联和云计算的流行，明显边界的网络拓扑已经越来越少，WAF 起到的作用也越来越小。所以，如果说防火墙还没有「死」，那它也已经无法胜任其本职工作了，那么 RASP 是否可以接替其大部分工作呢？

针对上述问题，在2014年 Gartner 安全和风险管理峰会上，Gartner 分析师们对 Firewall 和 RASP 的价值进行了辩论。Joseph Feiman 认为 RASP 是比传统防火墙（WAF），更好的方法，RASP 是在服务器或客户端中的运行时设备，用来保护应用程序抵御 SQL 注入攻击、XSS 和未经授权的访问等攻击。然而，Gartner 分析师 Greg Young 提出了切中要害的问题，询问：「为什么我们会突然有这种神奇的技术?」

两年来，Gartner 公司一直在追踪 RASP 服务器、客户端和移动应用程序产品，这些产品来自惠普、OneASP、Prevoty、Shape Security、Waratec、Bluebox 和 Lacoon Mobile Security 等。Feiman
表示，尽管边界防火墙可以检测流量和内容，并作出决定终止会话，但边界防火墙并不能看到应用程序内流量是如何处理的，误杀率太高。所以，「停止无休止地投资在边界安全，我们应该教会应用程序保护自己。」，这种运行时保护功能才是安全产品的「未来」。

但 Young 认为 RASP 并不是接替边界防火墙的下一件大事。一方面，现在使用的安全技术中，只有不到1%的安全是基于 RASP，RASP 存在潜在的缺点，例如 RASP 给服务器增加了处理开销和额外的工作量，从而影响了性能。另一方面，目前还不清楚 RASP 是否可以及时修复漏洞以及攻击路径，并抵御拒绝服务攻击。但 Feiman 回复，供应商称这种性能影响不超过服务器生产力的1%。与同类方法(例如 Web 应用程序防火墙)不同，RASP 已经被添加到它要保护的每个操作系统或者手机，这提出了可扩展性以及语言依赖的问题。Young 承认说，Web 应用程序防火墙仍然保持相当小的市场份额。

虽然 RASP 存在性能和潜在的误报的问题，但 Feiman 仍然对这种新兴技术充满热情，他认为这种技术将会被开发出来，在边界防火墙根本无法应对的企业安全发挥关键作用。“我们的边界安全已经失守，”他表示，“我希望大家能够改变我们的观点。”

四、小结

Web 应用防火墙放置在 Web 应用程序外层，拦截所有它认为可疑的输入而并不分析这些输入是如何被应用程序处理的。RASP 会精确分析用户输入在应用程序里的行为，根据分析结果区分合法行为还是攻击行为，然后对攻击行为进行拦截。 RASP 不依赖于网络流量分析，因此避免了新协议解析，字符解码，复杂的正则表达式匹配以及基于签名的威胁鉴别等麻烦。

所以，就像 Gartner 分析师 Feiman 所表述的，改变我们的观点，尝试 RASP，让它成为安全防御体系中最难以逾越的一层。