RASP은 웹 취약점을 통해 랜섬웨어 감염으로 이어질 수 있는 공격 킬 체인을 원천적으로 방지합니다. 사후가 아닌 사전 차단의 개념으로 보시면 되겠습니다.
RASP은 애플리케이션 자가보안 WAF 라고 보시면 되겠습니다. 타 보안 솔루션 연동 부분은 로그 뷰를 위한 SIEM 연동 정도가 되겠습니다. 아직 충돌이 발생하는 솔루션은 보지 못했습니다
네 맞습니다. 최초에 RASP 라이브러리만 물고 WAS가 기동이되면 그 후에 정책 빌드/배포는 WAS 재 기동 없이 실시간으로 가능합니다.
자체적으로 아직 Alarm을 제공하는 기능은 없습니다. Hook, SNS 등의 기능을 제공하는 3rd party SIEM 연동을 통해 제공이 가능할 것 같습니다.
가트너 자료에 의하면 RASP 제품이 2016년도에 시장에 최초 소개된 것으로 알고 있습니다. 여러가지 이유가 있을 것 같습니다. (클라우드 전환, MSA 아키텍처 전환, DevOps 도입 등). 미국 송유관 사건과 같이 근래의 공급망 공격이 이슈가 되고 있고 이를 대응하는데 탁월한 제품이 rasp 입니다.
국내 금융권 MY DATA 사업자 고객을 대상으로 최근 RASP을 구축한 사례가 있습니다. 글로벌 사례를 보면 Sunburst, Solarwinds 공급망 공격을 RASP이 대응한 사례가 있습니다.
탐지/차단 기준을 설정하는 Config 파일이 별도로 제공됩니다. JSON 템플릿 형태로 제공되며 후속세션에서 진행 될 데모 랩을 참고 부탁 드립니다 ^^
APM 솔루션(Jennifer, Dynatrace 등)을 생각하시면 동작로직을 이해하시는데 도움이 될 것 같습니다. 실제 소스코드를 수정하는 것은 아니며 기존의 Class 바이트코드 내에 백엔드와 입출력 상호작용(DB, 파일 입출력 등)는 바이트코드를 재 편성하는 Guard가 삽입되는 형태로 동작하시는 것이라고 보면 될 것 같습니다. JAVA 환경의 경우 JVM이 RASP의 JAR를 물고 올라오기 때문에 Hardware, OS와의 호환성 이슈는 없습니다.
RASP은 DEV 사이드에 SAST, DAST 영역이 아니며 OPS 영역에 Runtime 환경에 배포되어 Virtual Patch를 제공해드립니다. 이는 다시 SSLDC 초기단계로 돌아가서 적절한 취약점 패치가 이루어질 필요 없이 공격에 대해서 대응해드리고 취약한 소스코드의 위치를 포인팅하는 StackTrace를 제공해드립니다.
대부분의 기업 내 코드는 자사코드 이외에 3rd party 라이브러리, 오픈소스, 프레임웍이 80~90%를 차지합니다. 이에 대한 보안패치가 기업 입장에서 관리되기 어렵고 취약점을 악용한 형태의 공급망(Supply Chain) 공격이 이루어질 수 있습니다. RASP은 인터넷 연결이 필요없고, 시그니처/정규패턴이 요구되어지지 않으며 이러한 형태의 Unknown 공격을 대응하는데 특화 된 제품입니다.
안녕하세요 방송 참여해주셔서 감사합니다
안녕하세요 반갑습니다
안녕하세요