安全防護就像貓鼠遊戲！最好的解決方案是啥？

搞過安全的人都知道，安全防護就像貓鼠遊戲，沒有起點也沒有終點。任何號稱 100% 保障系統安全的產品都是扯淡。在實踐中，最好的解決方案是提高黑客的攻擊成本，讓黑客難以攻破，付出的成本比得到的收益更高，因此知難而退，轉而尋找其他目標。

業內普遍認為基於層級的防禦是提高系統防禦能力的有效方法。基於這樣的共識，現在大量的投資都集中於：WAF，下一代防火牆，入侵檢測和防禦系統（IDS/ IPS），終端保護，安全資訊和事件管理系統（SIEMs），資料洩露保護系統（DLP），身份和訪問管理（IAM）等方面。

這些層級保護系統對提高系統的防禦能力非常有效，當然也非常必要，但是還不足以保護系統的安全，這些保護都基於網路流量進行分析，準確性和精確性不是太高。很多基於應用層的高階攻擊還無法防禦。

現階段安全保護的難點

現如今，黑客對現有的應用程式安全防火牆（WAF）已經越來越熟悉，翻牆技術越來越高，再加上現代移動互聯和雲端計算的流行，有明顯邊界的網路拓撲已經越來越少，WAF 起到的作用也越來越小。安全管理員越來越困惑：「現有的應用安全防護產品已經無法攔截安全攻擊，那什麼樣的安全產品才能更好的保護應用程式呢？」

現在安全圈達成的共識是：在應用程式內部解決應用安全問題是最簡單和有用的。這個共識導致了一個概念的產生：SSDLCs（安全軟體開發週期方法論）, SSDLCs 在實踐中主要是指在開發過程中實施安全程式碼最佳實踐以及在產品釋出前使用各種應用安全測試工具去分析程式碼以發現並儘可能修復潛在的漏洞。但是這種解決方案有很大的侷限性，主要在於安全測試工具只是找出漏洞而並不能修復漏洞，所有以下幾種情況就非常難以解決：

1. 遺留系統往往存在大量的已有漏洞，修復這些漏洞幾乎不可能。
2. 程式設計師是非常寶貴的資源，領導一般都首先考慮將人員投入到新功能的開發，而非漏洞的修復。
3. 防禦複雜攻擊往往需要專業的安全專家，普通程式設計師無法勝任此工作。
4. 測試工具只能發現已有漏洞，並且還有一個更新過程，它無法防範零日攻擊。

在開發安全軟體的過程中，往往會遇到以上難題。現而今的軟體開發規模越來越大，迭代週期越來越短，要想完全修復漏洞對每個公司而已，都是在資源，時間和安全專業人才上的巨大挑戰。每個安全管理者都應該思考這個問題：「有沒有簡單快速的方案來解決這個難題呢？」

全新的解決方案 RASP

RASP 是應用安全保護領域裡的顛覆性產品。它在設計、實施和執行上與其他應用安全保護產品有本質上的區別，使用 RASP 就可以在不需要專業安全專家的情況下將複雜的安全保護程式碼在執行時注入應用程式。

Gartner 在2014年應用安全報告裡將 RASP 列為應用安全領域的關鍵趨勢，原文引用如下：「Applications should not be delegating most of their runtime protection to the external devices. Applications should be capable of self- protection (i.e., have protection features built into the application runtime environment).」（應用程式不應該依賴外部元件進行執行時保護，而應該具備自我保護的能力，也即建立應用執行時環境保護機制。）

OneRASP 是 OneASP 公司推出的一款 RASP 安全產品，使用它就可以在不修改任何程式碼的情況下給予遺留程式碼全面保護，同時有效抵抗零日攻擊，換句話說，它可以針對過去，現在和未來的威脅提供保護。

當然，OneRASP 不能解決所有的安全問題，甚至都不能解決單個應用中的所有安全問題，但是 OneRASP 絕對可以擔當應用程式立體防禦體系中的一層，並且是難以逾越的一層，從而大大提高黑客攻擊應用程式的時間和成本。