OpenRASP:开源应用运行时自我保护解决方案
概述
OpenRASP 是由百度安全推出的开源应用运行时自我保护解决方案,旨在提供一种新型的网络安全防护手段,保护 Web 应用不受攻击。
核心特性
保护引擎深度集成
- 通过挂钩关键函数,深度监控应用执行流。
- 在数据库、网络、文件系统等多个层面实现应用的全面监控和防护。
零规则检测漏洞
- 利用语义引擎、应用堆栈、请求上下文,在攻击发生时自动识别用户输入。
- 无需依赖传统规则库,即可检测威胁。
高性能
可定制化更强
- 检测逻辑通过 JavaScript 插件实现,易于跨平台复用。
- 日志可以通过 http/syslog/kafka 等方式推送,与 SIEM 系统无缝集成。
OpenRASP 最佳实践
- 提供了详细的 RASP 技术原理、OpenRASP 技术优势、最佳部署实践和企业级定制等内容。
与 WAF 的区别
- RASP 根据应用行为过滤,相比 WAF 的请求层过滤,具有更低的误报率和更好的兼容性。
- 支持应用热补丁,永久免疫特定漏洞。
- 可定制安全编码规范和服务器安全基线。
支持的应用服务器
- 支持 Tomcat 6-11, JBoss 4-16, Jetty 7-9, SpringBoot 1-2, WebSphere 7-9, WebLogic 10-12, PHP 5-7 等。
- 计划在 2020 年逐步支持 C#、Node、Python 等其他开发语言。
攻击检测能力
- 具备多种独特检测算法,能够防护常见的 Web 攻击类型。
- 实际效果和兼容性通过大量已知 CVE 漏洞测试验证。
性能影响
- 在高压力情况下,OpenRASP 对服务器性能的影响通常在 1~4% 之间,请求时延在 1-8ms 之间。
集成 SIEM/SOC 平台
- 以 JSON 格式输出报警,容易与 ELK、Splunk 等 SOC 平台集成。
开发检测插件
避免误报影响业务
- 插件支持观察模式,可以只报警不拦截。
- 配置日志限速,防止日志量过大影响性能。
选择 JavaScript 插件的原因
- 为避免在不同平台上重新实现检测逻辑,选择 JavaScript 作为插件开发语言。
插件实时更新
- OpenRASP 监控插件目录变化,实现插件的实时更新。
与商业 RASP 产品的区别
- 作为开源产品,OpenRASP 提供更强的定制化能力,完全开源的检测算法和框架。
社区支持
安全动态
