Mantenerse seguro con la aplicación en tiempo de ejecución …



El sueño de RASP es permitir que las aplicaciones se protejan a sí mismas. ¿Qué tan cerca están las implementaciones actuales de vivir el sueño? Esto es lo que debe saber.

Una de las soluciones de appsec esperanzadoras que surgieron en la última década es la autoprotección de aplicaciones en tiempo de ejecución (RASP). Este año, RASP obtuvo un lugar en la lista de controles críticos del NIST en la última revisión de la publicación especial 800-53 del NIST. Esto es lo que necesita saber sobre RASP, incluido lo que hace, por qué es importante y dónde se queda corto.

¿Qué es RASP?

Según lo definido por Gartner, RASP es «una tecnología de seguridad que está integrada o vinculada a una aplicación o entorno de ejecución de la aplicación, y es capaz de controlar la ejecución de la aplicación y detectar y prevenir ataques en tiempo serious». El concepto fue introducido por primera vez en el léxico de la ciberseguridad por el ex vicepresidente de Gartner, compañero y analista principal de aplicaciones, Joseph Feiman, actualmente director de estrategia de WhiteHat Stability, en una nota de investigación de 2012.

Mientras que un firewall de aplicaciones internet (WAF) evitará que los atacantes accedan a aplicaciones vulnerables detrás del firewall, la idea detrás de RASP es que permite que las aplicaciones protejan sí mismos contra ataques en tiempo real.

¿Como funciona?

Si bien ese es el objetivo, la tecnología RASP actual no convierte exactamente a las aplicaciones en expertos en artes marciales que dominan la autodefensa.

RASP despliega agentes para que se ubiquen cerca de la aplicación, por lo que tiene la capacidad de tomar el management si ocurre un evento de seguridad. La tecnología observa y analiza la aplicación y los datos que ingresan a medida que se ejecuta. Una aplicación que ejecute RASP podría, en teoría, identificar una inyección SQL o un ataque de scripts entre sitios (XSS) y evitar que la amenaza llegue a su objetivo.

Obstáculos en la carrera RASP

Si bien la visión de RASP es «excellent», dice Feiman a Dim Examining, no ha evolucionado lo suficiente como para seguir existiendo como tecnología independiente. Como resultado, ha tenido una adopción empresarial mínima. La razón de eso es cuádruple, dice:

En primer lugar, RASP requiere instrumentación, que tiene el potencial de hacer caer una aplicación sin querer. «La gente odia ver agentes en su tiempo de ejecución», señala Feiman.

En segundo lugar, RASP se ve frenado por la dependencia del idioma. «Cada agente depende del idioma en el que está escrita la solicitud», explica. Con docenas de lenguajes de aplicación y marcos dentro de esos lenguajes, es difícil para los agentes RASP mantenerse al día.

Un tercer problema es el consumo de CPU. Los agentes consumen la misma cantidad de CPU que la aplicación, lo que ralentiza las cosas.

Por último, RASP puede evitar accidentalmente un acceso benigno que malinterpreta como un ataque malicioso.

En conjunto, estos problemas han obstaculizado la adopción de RASP, dice Feiman.

JB Aviat, CTO del proveedor de seguridad de aplicaciones Sqreen, se hizo eco de algunos de estos pensamientos: «Es justo decir que estos desafíos crearon muchas &#39cicatrices&#39 con respecto a los enfoques RASP que viven hasta el día de hoy. Sin embargo, creemos que estas frustraciones fueron el resultado de la mala ejecución de los enfoques RASP , en lugar del concepto de RASP en sí mismo «, dijo, y señaló que el RASP de Sqreen resuelve estos problemas a través de» enfoques modernos «.

«Creo que la mayoría de los profesionales de la seguridad están alineados con la visión de que RASP solo debe detectar y bloquear exploits exitosos reales para resolver altas tasas de falsos positivos y debe funcionar en todos los idiomas sin ningún problema significativo de desempeño o implementación», dijo Aviat.

El futuro de RASP

Feiman dice que soluciones como RASP y WAF han surgido de la «desesperación» por proteger los datos de las aplicaciones, pero son insuficientes. El mercado necesita una tecnología que se centre en la detección más que en la prevención. De hecho, en un esfuerzo por abordar los problemas con RASP, él y su equipo en WhiteHat están en el proceso de prueba beta de una tecnología de seguridad de aplicaciones que realiza pruebas de aplicaciones sin instrumentación.

En lo que respecta a las tecnologías RASP existentes, es poco probable que se queden en su forma precise.

En lugar de una tecnología independiente, Feiman cree que RASP finalmente se absorberá en plataformas de tiempo de ejecución de aplicaciones como las plataformas en la nube Amazon AWS y Microsoft Azure. Esto podría suceder a través de una combinación de adquisiciones y empresas como AWS que construyen sus propias capacidades ligeras de RASP en sus tecnologías.

«La plan se mantendrá, el mercado difícilmente lo hará», dice Feiman.

En eso, Aviat de Sqreen no está de acuerdo, diciendo que RASP es «de hecho una tecnología independiente».

«Espero que RASP se convierta en un elemento crucial de cualquier estrategia de seguridad de aplicaciones, al igual que WAF o SCA en la actualidad de hecho, NIST ya hace referencia a RASP como elementary para reducir el riesgo de seguridad de sus aplicaciones», dijo. «RASP solo será más fácil de implementar, su cobertura de seguridad aumentará y cubrirá la mayoría de las vulnerabilidades genéricas de una manera mucho más eficiente».

Nicole Ferraro es escritora, editora y narradora independiente que vive en la ciudad de Nueva York. Ha trabajado en medios de tecnología de consumo y b2b durante más de una década, anteriormente como editora en jefe de Web Evolution y Foreseeable future Metropolitan areas de UBM y como director editorial en The Webby Awards. … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first