Runtime Application Self-Protection (RASP)

Was ist RASP?

Runtime Application Self-Protection (RASP) Tools blockieren potenziell bösartige Aktivitäten, während eine Anwendung in der Produktion ist. RASP beobachtet die Anwendung eines Unternehmens während der Laufzeit und analysiert sowohl ihr Verhalten als auch den Kontext, in dem das Verhalten auftritt. Wenn RASP ein Sicherheitsereignis, wie den Versuch, eine Shell auszuführen, eine Datei zu öffnen oder eine Datenbank aufzurufen, erkennt, wird es automatisch versuchen, diese Aktion zu beenden. RASP kann wichtige Formen von Angriffen auf Webanwendungen, beispielsweise Cross-Site-Skripting (XSS) und SQL-Injektion (SQLi) sowie versuchte Account-Übernahmen und andere Zero-Day-Exploits, abwehren. RASP kann auch für Unternehmen mit knappen Sicherheitsressourcen von Vorteil sein, weil es automatisch Angriffe an Ort und Stelle blockieren kann, ohne dass menschliches Eingreifen erforderlich ist.

Mit der zunehmenden Zahl von Angriffen auf Webanwendungen wird es für Unternehmen immer schwieriger, alle ihre Anwendungen, von denen einige Schwachstellen aufweisen können, die nicht frühzeitig im Softwareentwicklungszyklus (SDLC) oder durch verschiedene Arten von Anwendungssicherheitstests erkannt oder behoben wurden, richtig abzusichern. Darum hilft es Unternehmen, ihre Anforderungen an Sicherheit besser mit der Forderung, Anwendungen zeitnah auszurollen, in Einklang zu bringen, wenn sie Schutzmechanismen in die Anwendung selbst integrieren.

Wichtigste Vorteile von RASP für die Sicherheit und das Scannen von Webanwendungen

RASP kann Angriffe auf Anwendungen in Echtzeit erkennen und blockieren. Da während der Laufzeit RASP-Instrumente in der Anwendung vorhanden sind, hat es Einblick in das tatsächliche Verhalten der Anwendung. Anstatt voreingestellte Signaturen oder bekannte Muster basierend auf allgemein bekannten Angriffen zu analysieren, wie es eine Web Application Firewall (WAF) tun würde, kann RASP nach verdächtigen Aktionen suchen, die in der Anwendung stattfinden.

Dies reduziert False Positives und das Rauschen, das WAFs typischerweise erzeugen, und alarmiert das Sicherheitsteam über tatsächliche bösartige Aktivitäten, sodass es die Auswirkung von willkürlichen verdächtigen Netzwerkereignissen nicht erraten muss. Da die von RASP geliefeten Warnmeldungen genauer sind, kann sich das Sicherheitsteam auf strategische Sicherheitsprioritäten konzentrieren. RASP kann auch Benutzerwarnungen ausgeben und so rechtmäßige Benutzer, die unbeabsichtigt riskante Anfragen getätigt haben, darüber aufklären, warum ihre Anfrage abgelehnt wurde.

Da RASP den Vorteil hat, den Laufzeitkontext einer Anwendung zu kennen, kann es Sicherheit liefern, die besser auf die spezifischen Anforderungen der Anwendung zugeschnitten ist – und das alles, ohne dass Änderungen am Anwendungscode erforderlich werden. Im Gegensatz zu Web Application Firewalls (WAFs), die Datenverkehr und Inhalte am Perimeter filtern, aber keinen Einblick in Aktivitäten haben, die innerhalb des Perimeters selbst stattfinden, kann RASP Anwendungen auch dann noch vor Angriffen schützen, wenn ein Angreifer die Perimeter-Verteidigung durchbrochen hat. In einer zunehmend komplexen Umgebung mit vielen Endgeräten, die kompromittiert werden könnten, kann dies ein wertvoller Beitrag zur Anwendungssicherheit eines Unternehmens sein.

So funktioniert RASP

Wie Gartner erläutert, ist RASP „eine Sicherheitstechnologie, die auf der Laufzeitumgebung einer Anwendung aufgebaut oder mit dieser verknüpft und in der Lage ist, die Anwendungsausführung zu steuern und Echtzeit-Angriffe zu erkennen und zu verhindern". RASP integriert (oftmals über einen Agenten, der auf dem Server platziert wird) Sicherheitsprüfungen in Anwendungen, die dort ausgeführt werden. RASP bewertet dann kontinuierlich die Anfragen an diese Anwendungen, um sicherzustellen, dass sie sicher sind und fortgesetzt werden können.

Wenn eine scheinbar unsichere Anfrage erfolgt, greift RASP ein und blockiert diese, z. B. indem es eine verdächtige Benutzersitzung beendet oder eine Anfrage zur Ausführung einer bestimmten Anwendung verweigert. Diese zusätzliche Sicherheitsschicht in der Anwendungsebene, insbesondere in Kombination mit sicheren Softwareentwicklungsverfahren und anderen Tools für die Anwendungssicherheit, kann die allgemeine Sicherheit von Anwendungen eines Unternehmens erheblich stärken. RASP kann dem Sicherheitsteam auch zeitnahe und genaue Warnungen über bösartige Aktionen in Echtzeit liefern, während diese in der Anwendungsumgebung stattfinden, was eine schnelle Reaktion im Falle eines Angriffs erleichtert.

Da RASP keine Änderungen am Anwendungscode erfordert, hat es keine Auswirkungen auf das Anwendungsdesign, was bedeutet, dass das Unternehmen die Möglichkeit hat, die Anwendung bei Bedarf weiterzuentwickeln und zu verfeinern. Dies kann besonders dann von Vorteil sein, wenn ein Unternehmen auf absehbare Zeit eine Umgebung mit Anwendungen unterhalten möchte. In Kombination mit einer WAF, die in der Regel verdächtige Aktivitätsmuster aus verschiedenen Quellen, wie z. B. bei einem Botnet-Angriff, identifizieren kann, kann ein RASP wertvolle Echtzeiteinblicke in die tatsächlichen Bedrohungen liefern, denen ein Unternehmen ausgesetzt ist. Während eine WAF Ihnen einen Einblick bietet, benötigen Sie mehr Informationen darüber, was ausgeführt wird, um einen Gesamtüberblick zu bekommen.

RASP oder WAF: Ein Vergleich

RASP wird manchmal mit seinem Verwandten, der Web Application Firewall (WAF), verwechselt, aber dabei handelt es sich tatsächlich um zwei ganz unterschiedliche Technologien. Während eine WAF kontinuierlich den Verkehr am Perimeter der Anwendung anhand statischer Regeln, die auf bekannten Angriffsformen basieren, auf potenziell bösartige Aktivitäten analysiert, verhindert RASP das Auftreten bösartiger Aktivitäten in der Anwendung selbst.

Um richtig wirksam zu sein, benötigt eine WAF oftmals eine Lernphase, und auch dann ist sie möglicherweise nicht flink genug, um neuere, ihr unbekannte Angriffsformen, abzuwehren, sodass ein Unternehmen in dem Zeitfenster, in dem die WAF noch keine neuen Regeln zur Bekämpfung der aufkommenden Bedrohung erhalten hat, potenziell verwundbar ist. Ein RASP bietet jedoch eine weitaus anpassungsfähigere Echtzeitverteidigung gegen eine Vielzahl von Angriffen auf der Anwendungsebene.

Da RASP die Anwendung selbst verwendet, kann es auch dann die Sicherheit einer Anwendung überwachen, wenn diese ständig aktualisiert und weiterentwickelt wird. WAF und RASP können sich gegenseitig ergänzen und dabei ihre Kräfte kombinieren, um einem Unternehmen auf noch umfassendere und robustere Weise Sicherheit für seine Anwendungen zu bieten. WAFs machen für Sie sichtbar, welche Art von Anfragen an die Anwendung geschickt werden (z. B. wenn ein verdächtiges Anfragemuster vorliegt, wie z. B. ein Brute-Force-Angriff auf ein Passwort, oder wenn jemand die Anwendung mit einem Tool wie Metasploit auf Schwachstellen untersucht). RASP hingegen untersucht, was die Anwendung mit diesen Anfragen macht. Wenn also etwa Metasploit verwendet wird, kann der App-Besitzer sehen, dass ein Exploit dazu geführt hat, dass eine Datei in ein Verzeichnis geschrieben wurde, in dem sie sich nicht befinden sollte, dass eine ausführbare Datei auf dem System ausgeführt wird, dass ein nicht autorisierter SQL-Zugriff erfolgt oder einige nicht beabsichtigte Assets auf einer Website browserseitig geladen wurden, was zu Datenexfiltration führen könnte.

Erfahren Sie mehr darüber, wie sich WAF und RASP unterscheiden.

3 Erfolgstipps für den Einsatz von RASP

Hier sind drei Tipps, die Ihnen helfen, alle Vorteile von RASP zu nutzen:

1. RASP funktioniert am besten als Teil eines umfassenden Anwendungssicherheitsprogramms.

RASP eignet sich hervorragend, um viele unterschiedliche Angriffsarten wie Cross-Site-Skripting und SQL-Injektion während der Laufzeit abzuwehren, jedoch sollte es nicht die einzige Maßnahme sein, mit der sich ein Unternehmen vor jeglicher Art von Bedrohung für seine Anwendungen schützt. Indem Sie einen DevSecOps-Ansatz wählen, bei dem Sicherheit auf dem SDLC-Zeitstrahl weiter nach links rückt, und sicherstellen, dass Sie über ein umfassendes Anwendungssicherheitsprogramm verfügen, haben Sie weitaus bessere Chancen, einen Angriff zu verhindern. Je nachdem, welche besonderen Sicherheitsanforderungen Ihr Unternehmen hat, können Sie sich möglicherweise auch dafür entscheiden, eine RASP-Lösung mit integrierten WAF-Fähigkeiten zu nutzen, um so maximal von den Vorteilen der beiden Tools zu profitieren.

2. Berücksichtigen Sie, wie Ihre RASP-Lösung sich in Ihr DevSecOps-Ökosystem einfügt.

Überlegen Sie im Rahmen Ihrer Prüfung eines RASP-Angebots, wie es mit anderen bei Ihnen bereits vorhandenen Tools funktioniert, insbesondere Ihren DevSecOps-Systemen. Ein modernes RASP-Tool könnte beispielsweise mit Ihren bestehenden SIEM-, DAST-, Orchestrierungs- und Ticketing-Systemen integriert werden. Eine solche Integration ermöglicht es Ihrem Unternehmen, mehrere Bedrohungsdaten-Feeds über APIs, Web-Hooks und führende Technologien einzubinden, damit Sie Bedrohungen in Echtzeit besser überwachen und blockieren können.

3. Testen Sie Ihre RASP-Lösung sorgfältig, bevor Sie sie implementieren

Da RASP so eng mit den von ihm überwachten Anwendungen integriert wird, kann es manchmal zu Leistungsproblemen kommen. Wenn diese Probleme so groß sind, dass sie sich auf die Benutzer auswirken, könnte dies zu Beschwerden über die veränderte Leistung führen. Aus diesem Grund ist es ratsam, Ihre RASP-Lösung gründlich zu testen, um sicherzustellen, dass Sie vor der Implementierung in Ihrer Umgebung verstehen, auf welche Weise die Leistung der Anwendung beeinflusst wird.

Da Angreifer es immer häufiger auf Anwendungen abgesehen haben, ist es für Unternehmen unerlässlich, umfassende, mehrschichtige Anwendungssicherheitsstrategien einzuführen, um ihre Kundendaten zu schützen. RASP versetzt Unternehmen in die Lage, stärkere Anwendungssicherheitsprüfungen direkt in produktive Anwendungen einzubetten und so potenzielle Angriffe in Echtzeit korrekt zu erkennen und abzuwehren. Aus diesem Grund kann RASP ein wertvoller Teil der Anwendungssicherheits-Tools eines Unternehmens sein.