其实RASP(运行时应用程序自我保护)技术并非今天才出现,但是它火起来却是近几年。
RASP的原罪
早在2014年Gartner就提出了RASP的概念,距今已经10年有余。百度前些年在国内率先推出RASP,很多人的技术启蒙都是从百度开源的OpenRASP开始的,但很可惜百度最终停止商业化推广。RASP技术这么多年都火不起来,业内以RASP为代表的安全企业也屈指可数,这背后也许是技术、市场、商业和生态等多重挑战交织的结果。
其中最大一个原因在于技术原理——RASP要发挥作用必须要嵌入到应用本身,以牺牲业务系统性能和效率为代价来实现安全的目的对于客户而言是最大的顾虑。“几年前,由于技术架构选择的问题,市面上的RASP产品确实对资源占用比较大,资源占用大则意味着对业务影响的风险变大。”北京边界无限科技有限公司(简称边界无限)CMO韩群向安全419介绍道。
不仅如此,因为之前技术成熟度不够,RASP的注入、更新等动作都需要重启业务来配合。对于很多把业务中断视为“生产事故”的甲方客户而言,RASP的部署、应用、推广的难度可想而知。站在甲方角度来看,采用RASP的解决方案是需要对乙方安全厂商有着巨大的信任才敢去做的尝试。
技术市场双双变化 RASP迎来发展机遇
事情的转机出现在2021年。当被业界称为核弹级别的Log4j2漏洞爆发的时候,全球范围受到影响,RASP因为可以天然免疫这一漏洞而逐渐被大家关注。由于当时真正做RASP研创的厂商较少,很多处于初期形态的RASP产品并不成熟和稳定,这导致RASP产品没有在当时被大规模采用,只有少数对新技术比较敏感和有参加红蓝对抗攻防演练需求的客户进行了试用。这几年,随着国家、行业、省部级攻防演练等攻击重点转向应用,RASP的防守价值才真正被显现出来,RASP的建设也真正走上快车道。
“之前甲方客户做供应链安全治理往往倚仗黑白灰盒、SCA、模糊测试等技术,这些技术在开发测试阶段往往无可替代且能形成闭环,但在生产运行时态往往收效甚微,监管和大部分安全厂商都视RASP为供应链安全尤其是第三方外采应用的‘兜底’方案。哪怕是自研应用,也存在着大量的开源组件,这其中的漏洞治理风险极为严重且常被利用,RASP在防护陈旧漏洞和0Day漏洞上都效果显著。此外,很多客户都在极力推进上云进程,云上应用的防护往往倚仗云提供商的云WAF,云WAF跟传统WAF一样基于规则,对攻击者而言都有绕过的可能,RASP也是众多云厂商推崇的防护手段。”韩群介绍道。
不光行业趋势在变,RASP自身也在变。随着技术的持续优化,硬件性能提升和算法优化,RASP的性能开销正逐步降低(有实践已尝试将影响控制在3%左右)。同时,人工智能、机器学习等技术的融合,有望提升其检测准确性和自动化响应能力。在这方面,边界无限旗下标杆产品基于RASP技术的“靖云甲ADR(应用检测与响应)”就在产品的轻量化上下足了功夫。“目前RASP产品对CPU的占用大约在2-3%,内存占用100M左右,RT时延在3ms左右,这对两年前的RASP产品而言,是极大的性能提升。这些资源占用的数值,在金融、运营商、电网等对业务连续性要求更高的行业是完全可以接受的,这为RASP的爆发填平了第一个鸿沟。此外,主流RASP的厂商,都在动态无感批量部署方面做了巨大努力,可以实现业务零重启批量化动态安装部署,这打消了客户的第二大顾虑。”
而就在不久前数说安全发布的的《2025网络安全十大创新方向》中,ADR首次入选。报告中明确指出,ADR(Application Detection and Response,应用检测与响应)基于RASP技术,是区别于HIDS、EDR等传统安全设备的新型安全防护理念和产品形态。这对于边界无限这样All in RASP的厂商而言是一个非常大的鼓舞,这是否意味着RASP这条赛道已经异军突起,未来客户是否也可能针对RASP进行单独的预算立项?对此,边界无限显得信心十足,目前边界无限已经在金融、运营商、电力能源等行业已经开始规模部署,并且几乎都是专项的RASP建设,作为这一细分市场的代表,边界无限自然也取得了不俗的商业回报。
商业推进道路 RASP依然面临巨大挑战
虽然“看来要火”,但是RASP未来的商业道路依然面临很多挑战。作为一个需要在特定场景下精耕细作的"专家型"工具,RASP厂商需要在技术打磨、市场教育和寻找务实落地场景上付出更多努力;而对于企业安全负责人,在核心业务系统引入RASP时,则需审慎评估其性能影响和稳定性,并做好与其他安全措施的协同。对于RASP的商业推进而言,如何与现有的安全体系融合,共同构建联动纵深防御体系是客户的核心诉求。同时,RASP在商业竞争上已经开始有被围剿的态势——HIDS厂商和ASPM厂商同样对这块新兴的市场虎视眈眈。
实际上,从技术路线上来讲HIDS和RASP并不冲突。HIDS(主机入侵检测系统) 像一个医院的全身检查医生,它站在操作系统层面,监控整个主机的健康状况(文件、进程、网络连接等),发现异常就报警。RASP(运行时应用自我保护) 像一个植入你身体内的纳米机器人医生,它扎根在应用程序内部,从应用的角度实时感知和阻断针对应用本身的攻击。在现代云原生和安全左移的背景下,正确的做法是将HIDS和RASP结合使用,构建纵深防御体系,HIDS 负责宏观的主机安全,监控底层系统的异常,抵御系统层面的入侵;RASP 负责微观的应用安全,保护核心业务逻辑和数据,抵御应用层面的攻击。
实际上,从技术路线上来讲HIDS和RASP并不冲突。HIDS(主机入侵检测系统) 像一个医院的全身检查医生,它站在操作系统层面,监控整个主机的健康状况(文件、进程、网络连接等),发现异常就报警。RASP(运行时应用自我保护) 像一个植入你身体内的纳米机器人医生,它扎根在应用程序内部,从应用的角度实时感知和阻断针对应用本身的攻击。在现代云原生和安全左移的背景下,正确的做法是将HIDS和RASP结合使用,构建纵深防御体系,HIDS 负责宏观的主机安全,监控底层系统的异常,抵御系统层面的入侵;RASP 负责微观的应用安全,保护核心业务逻辑和数据,抵御应用层面的攻击。
但是,随着近年来随着客户建设的不断完善,HIDS厂商市场趋近饱和,在竞争日趋激烈的情况下,价格不断走低带来了利润空间的压缩,他们必须要寻找新的突破口。对HIDS厂商而言,主机扩容RASP的模式风险更小,且可以快速占领市场。从技术路线选择上,HIDS更希望“超融合”模式,通过“One Agent”的模式来实现,这样竞争对手动自己蛋糕的难度会增大,技术壁垒也更高。APM厂商同样具备先发的客户市场优势,在为原有的客户群体附加上RASP的服务,可以达到快速拓展的目的。
从推广效率上来说,HIDS厂商和APM厂商相对于边界无限这样专注RASP研发的厂商而言,具备天然的优势。不仅如此,HIDS厂商和ASPM厂商在收费模式上也与RASP厂商不太一样。比如HIDS厂商是将RASP作为功能模块卖给客户,所以收费还是整体以主机来报价,而当前主机安全甚至都已经在各种厮杀中被定在了白菜价;RASP厂商则是按照进程数量来报价。边界无限就曾透露,在此前某客户的立项预算阶段,RASP厂商报价170万左右,而HIDS厂商按照主机的报价模式最终报价仅为40万,因为毕竟当时的HIDS价格就是俯冲进去的,以模块名义再拉高价格,显得不合逻辑。面对这样的竞争格局,将RASP业务作为公司主要营收来源的创业厂商显得非常无奈——“一个那么好的市场,就被这么作坏了。这对于所有厂商都是一个怪圈,如果不挣钱,就没有能力养研发精进产品,最终客户侧的交付质量也会受到极大影响,这是双输的界面,如果算上代理商等环节,就是多方皆输,没有赢家,低价是冲不死竞争对手的,但这么浅显的道理好像很多人都不懂。”
在行业普遍低迷的今天,RASP厂商将面临的必将是一场血雨腥风的商业围剿。
RASP行不行 如何破局?
在边界无限韩群看来,公司选择RASP这条赛道深耕是经过深思熟虑的。这两年RASP技术和产品逐渐走入成熟阶段,金融、运营商、电网客户这些头部样板客户逐渐开始“吃螃蟹”,那就说明未来一定可期。而RASP市场依然属于细分的“小市场”,大厂并未染指,并不是因为没有需求,而是重投入换不来相应的“大市场”,因此被边界无限这种创新型公司“捡了便宜”。
但是面对特别是HIDS厂商的低价与扩容模式围剿,韩群并未表现出过多的担忧。“很多甲方客户都愿意选择更好的防护能力,因为谁也不想拿效果一般的产品来做最重要的业务应用防护,失守意味着海量的损失。很多甲方的安全部门面临着不出问题都不受待见的窘况,往往觉得你是成本部门,买了那么多安全产品还难以体现效果。很多人忽略的是,安全是渐进式的查缺补漏,选择更好的产品是为了不出事情,真正的攻击来的时候有更大的概率防护住。因为攻防不对等,新的攻击形式需要引入新的防护手段和产品来防御,但安全产品不是“大力丸”,主张一款产品能防护所有问题的自然就是大忽悠。安全需要纵深,需要协同,从这个层面来说,HIDS在主机层面的防护效果有独到之处,RASP的产生和存在不是为了取代HIDS,而是在其力所不及的Web应用运行时防护层面做补充。即使是同属应用安全赛道的WAF,RASP的目标也不是取代,这是很多前期RASP厂商推广不力的原因之一,除了产品能力不足,宣称“下一代WAF”,不是上佳的战略选择。纵深防御、协同联动的整体防护体系才是更有利于客户的选择。”韩群向安全419解释道。
在韩群看来,HIDS厂商难以接受RASP成为一个新兴独立产品乃至市场的原因,不外乎技术路线和商业模式选择。但反过来讲,这种“One Agent”的模式同样会在客户侧受阻——客户很容易被“绑架”。从软件工程角度来看,功能越复杂出问题的概率越大,哪怕HIDS和RASP是同一产品,这都难以避免,何况RASP和HIDS完完全全是两类产品。两个不同赛道的产品当成一种产品售卖,不仅让甲方客户困惑,甚至可能隐藏巨大的审计风险。所以,可以看到现在很多HIDS厂商纷纷推出独立的RASP产品。
所以,在韩群看来像边界无限这样的独立RASP厂商并不惧怕未来市场的挑战。技术上来说,RASP是一款攻防向的产品,具备良好的攻防能力肯定是RASP/ADR厂商的加分项,因为这直接关系到RASP的防护效果、研判精准度、产品hook点的选择以及自身安全性;足够轻量化是业务影响最小化的前提,不够轻量化自然会更多占用业务资源,潜在风险就会大大增加,这也是HIDS+RASP,IAST+RASP,APM+RASP等“超融合”模式没有成为行业主流选择的原因。客户选择独立RASP专项建设,就是选择轻量化的技术路线;三是稳定性和兼容性,防护效果和轻量化是一款好的RASP/ADR产品的立身之本,在投入市场之后,稳定性和兼容性必须成为重要的考量。四是服务能力,能够提供足够规模的人力服务好客户,具备攻防能力和产品工程化的团队。这四点,作为专注于RASP的厂商来讲是核心优势。
升级能力 解决更多问题
不光如此,边界无限还将ADR作为RASP的高阶形态继续推出更多解决客户实际场景问题的功能。一方面随着AI大模型的推广,“靖云甲ADR”完成了技术的进化,让研判效率得到了更大幅度的提升。另外根据客户实际应用场景,边界无限也在不断拓展其产品的能力边界,增加了许多实用功能。
“应用层0Day漏洞是RASP/ADR的核心功能,也是主要卖点,这让甲方客户头疼的问题,给RASP/ADR带来了用武之地,也在各级攻防演练中得到了实际防护效果验证。另外之前提到的应用内存马注入防护,就是很多RASP厂商不具备的,我们可以做到应用内存马拦查杀三位一体,这在整个业界都是领先的。此外,除了基本的应用资产梳理功能,我们还增加了API能力,虚拟补丁、应用弱密码筛查、应用中间件基线合规检查等功能,并引入了AI能力,利用产品自身能获取上下文的优势,利用AI辅助研判,高效、高精准对分析告警。”韩群介绍道。
结语:
结语:
对于RASP的未来,我们似乎看到了一些希望。但是它是否能够成为一条相对独立的赛道,还需要经过时间的检验,这与技术趋势、客户需求、市场竞争格局密切相关。
但是可以明确的是,在当前行业低谷期的当下,我们更愿意看到的是整个业界尽可能不要陷入过度的“内卷”,作为全新安全形势下出现的一块“还不是那么红海”的市场,行业中与RASP相关的企业更多应该思考的是如何将这块市场培育得更大,扎实练好“内功”,为客户提供更多能够直接参与实战的优秀产品。
总之,时光必不会辜负长期主义者。
京公网安备 11010802033237号
