Was ist Runtime Application Self-Protection (RASP)?

November 17, 2022

Der Begriff Runtime Application Self-Protection (RASP) wurde vor mehr als zehn Jahren von Gartner geprägt. Er bezeichnet eine damals neue Technologie, die Sicherheitsfunktionen in Software-Anwendungen integriert.

Anders als herkömmliche Sicherheitslösungen, die Schutz auf Netzwerk- oder Endgerätebene bieten, steht bei RASP die Anwendung selbst im Mittelpunkt. In die Software eingebettete Sensoren und Kontextinformationen dienen dazu, die Anwendung während der Laufzeit zu überwachen, spezielle Schwachstellen, die in jeder Software vorkommen, zu beseitigen sowie Bedrohungen automatisch in Echtzeit zu stoppen.

Warum ist RASP wichtig?

In den letzten Jahren sind Anwendungen zu einem effektiven und lukrativen Angriffsvektor für Cyberkriminelle und Hacker geworden, die Schwachstellen in der Anwendung sowie menschliche Fehler (z. B. Konfigurationsfehler und offene Ports) ausnutzen.

Häufig dienen herkömmliche Sicherheitsmaßnahmen für Netzwerk und Infrastruktur wie Web-Anwendungsfirewalls (WAFs) oder Systeme zur Verhinderung von Eindringungsversuchen (IPS) dazu, den Netzwerkdatenverkehr und Benutzersitzungen zu überwachen und nach verdächtigen Aktivitäten zu scannen. Diese Tools überwachen jedoch nicht den Datenverkehr und die Daten innerhalb einer Anwendung und machen ein Unternehmen somit für Anwendungsangriffe anfällig.

Mit RASP können Schutzmaßnahmen innerhalb einer Anwendung ergriffen und Anwendungsdaten im Kontext der jeweiligen Anwendung in Echtzeit erfasst und analysiert werden. Da das Tool individuell auf jede Anwendung und die tatsächliche Nutzung zugeschnitten ist, können Unternehmen mit RASP Bedrohungen deutlich zuverlässiger und proaktiver aufspüren als mit älteren Tools und Lösungen.

RASP und Cloud-Sicherheit

RASP ist eine wichtige Komponente innerhalb der Unternehmensstrategie für Cloud-Sicherheit – und insbesondere beim Cloud-Anwendungsschutz.

DA immer mehr Unternehmen die Cloud für die Transformation ihrer geschäftlichen Abläufe und zur Unterstützung von Homeoffice-Arbeitsplätzen nutzen, müssen sie die Sicherheit aller Geschäftsabläufe in einer hybriden oder Cloud-Umgebung gewährleisten.

Die herkömmlichen Sicherheitsmaßnahmen sind jedoch nicht für die Cloud geeignet. Unternehmen benötigen daher neue Strategien und neue Tools, um alle cloudbasierten Richtlinien im Blick zu behalten, cloudbasierte Anwendungen vor Cyberangriffen zu schützen und den Zugriff auf autorisierte Benutzer zu beschränken. Dazu gehört vor allem eine RASP-Lösung, aber auch Richtlinien, Tools, Technologien und Regeln auf Anwendungsebene.

Funktionsweise von RASP

Das RASP-Tool bietet zwei Hauptfunktionen:

  1. Anwendungsschutz: Erkennung und Blockierung von Sicherheitsschwachstellen und schädlichen Aktivitäten innerhalb der Anwendung während der Laufzeit
  2. Bedrohungsanalysen: Umfassende Transparenz auf Code-Ebene innerhalb der Anwendung und Erkenntnisse über Angreifer, ihre Methoden sowie Motive für das Sicherheitsteam

Die RASP-Technologie setzt auf moderne Software-Entwicklungsgrundsätze, die Sicherheitsmaßnahmen und Bedrohungsanalysen auf Anwendungsebene ermöglichen. Das RASP-Tool installiert Sensoren in der Codebasis, um die Anwendungsausführung zu überwachen sowie zu kontrollieren. Die Sensoren bieten einen umfassenden Überblick über die Anwendungsarchitektur und den Ausführungsablauf während der Laufzeit.

Anschließend kombiniert das RASP-Tool die Sensordaten mit Kontextinformationen (z. B. Code, Anwendungslogik, Einstellungen und Konfigurationen, Laufzeitdaten und Kontrollstruktur sowie anderen Daten), um Aktivitäten mit hohem Risikopotenzial oder aktive Kompromittierungen zu erkennen. Dadurch kann die Lösung zuverlässig und umgehend Entscheidungen zur Abwehr dieser Ereignisse treffen.

RASP und WAF im Vergleich

RASP-Tools und Web-Anwendungsfirewalls (WAFs) dienen beide dem Zweck, Netzwerk-Anwendungen vor Cyberangriffen und Datenkompromittierungen zu schützen, erreichen dies jedoch auf unterschiedliche Art und Weise und mit unterschiedlichen Einschränkungen.

Eine Web-Anwendungsfirewall (WAF) ist eine Sicherheitseinrichtung für Anwendungen, die Unternehmen schützen soll, indem sie HTTP- (Hypertext Transfer Protocol) und HTTPS-Verkehr (Hypertext Transfer Protocol Secure) zwischen der Web-Anwendung und dem Internet filtert, überwacht und analysiert. Die Lösung soll Bedrohungen blockieren, bevor diese die Anwendung erreichen. Allerdings sind WAFs als Perimeter-Tool nicht in der Lage, die Aktivitäten innerhalb einer Anwendung zu überwachen. Hacker, die die Firewall umgangen haben, können die Anwendung daher zur Ausführung eines Angriffs nutzen.

Genau an dieser Stelle kommt RASP ins Spiel. Die Lösung funktioniert wie ein Netz, das mithilfe von Anwendungsdaten und Kontextinformationen die Angriffe stoppt, die die WAF oder andere präventive Sicherheitstools überwunden haben.

Da der Perimeter jedes Unternehmens durch den erhöhten Einsatz von Cloud Computing und mobilen Geräten immer durchlässiger wird, sinkt auch die Effektivität von universellen Firewalls und Web-Anwendungsfirewalls. Dies zeigt, wie wichtig eine umfassende Sicherheitsstrategie ist, die alle cloudbasierten Assets einschließlich der Anwendungen schützt. WAFs und RASPs sind also zwei wichtige Komponenten in jeder umfassenden Cybersicherheitsstrategie.

Vorteile von RASP

RASP-Tools gewährleisten automatisierten Echtzeit-Schutz auf Anwendungsebene und bieten Unternehmen damit folgende wichtige Vorteile:

Abwehr von Angriffen auf Anwendungsebene: In erster Linie dient RASP dazu, Unternehmen vor Anwendungsangriffen zu schützen. Nachfolgend finden Sie einige Beispiele für Cyberangriffe auf Anwendungsebene:

  • Zero-Day-Angriffe: Ein Cyberangriff, bei dem ein Hacker unbekannte Sicherheitsschwachstellen oder Software-Mängel ausnutzt, noch bevor der Software-Entwickler einen Patch veröffentlichen konnte.
  • XSS (Cross Site Scripting): Ein Code-Injektionsangriff, bei dem der Akteur schädlichen Code in eine legitime Website injiziert. Der Code startet im Webbrowser des Benutzers anschließend ein infiziertes Skript, mit dem der Angreifer vertrauliche Daten stehlen oder die Identität des Benutzers annehmen kann.
  • SQL-Injektion: Ein SQL-Injektionsangriff ähnelt XSS, weil Angreifer auch hier eine bekannte Schwachstelle nutzen, um schädliche SQL-Anweisungen in eine Anwendung zu injizieren. Dadurch wiederum kann der Hacker Informationen extrahieren, ändern oder löschen.
  • DoS und DDoS: Ein böswilliger, gezielter Angriff, bei dem ein Netzwerk mit gefälschten Anfragen überhäuft wird, um den Geschäftsbetrieb lahmzulegen.

Ressourcenoptimierung: Das RASP-Tool automatisiert die routinemäßige Anwendungsüberwachung und Ereignisreaktion. Dadurch können IT-Teams ihr begrenzten Ressourcen für Aufgaben einsetzen, die menschliches Eingreifen erfordern. Da die RASP-Lösung zudem mit Daten aus dem Inneren einer Anwendung arbeitet, ist sie deutlich genauer als herkömmliche Tools. Zudem wird dadurch die Zahl der Warnungen und False Positives verringert, die das IT-Team manuell untersuchen und beheben muss.

Datensicherheit: Daten, die sich in einer mit RASP geschützten Anwendung befinden, sind geschützt, selbst wenn die Anwendung kompromittiert wird. Das bedeutet, dass Hacker, die sich Zugang zur Anwendung verschafft haben und Daten exfiltrieren wollen, keine Informationen ansehen oder nutzen können, da diese mit einem Selbstschutz versehen sind.

Kontinuierlicher Schutz: RASP bietet Schutz auf Code-Ebene. Das heißt, dass Anwendungen dauerhaft mit einem Selbstschutz versehen werden – unabhängig davon, ob sie in der Cloud, lokal oder in einer hybriden Cloud-Umgebung bereitgestellt werden. RASP-Tools benötigen keine Umstellung, selbst wenn Anwendungen aktualisiert oder in einer neuen Umgebung gestartet werden. Damit bieten sie Unternehmen kontinuierlich umfassenden Schutz und müssen nach der Bereitstellung kaum überwacht und gewartet werden.

DevOps-Support: Immer mehr Unternehmen nutzen den agilen Software-Entwicklungsprozess DevOps. Es kann jedoch dazu kommen, dass Entwickler vergessen, die Anwendungssicherheit während der Entwicklung und Produktion zu testen. RASP bietet wertvollen Kontext zu Schwachstellen im Code einer Anwendung und deren möglicher Ausnutzung. Anhand dieser Informationen können DevOps-Teams die Teile des Anwendungscodes identifizieren, die ausgebessert werden müssen, um Sicherheitsrisiken zu minimieren. Außerdem können sie die Informationen für interaktive Tests der Anwendungssicherheit nutzen.

BEDROHUNGSLANDSCHAFT 2022: CLOUD-SICHERHEIT

Laden Sie diesen neuen Bericht herunter und erfahren Sie, auf welche Cloud-Sicherheitsbedrohungen Sie im Jahr 2022 achten sollten und wie Sie sich am besten schützen können.

Jetzt herunterladen

Schützen von Anwendungen mit einer Plattform für Cloud-Workload-Schutz (CWP)

Mit CrowdStrike-Cloud-Sicherheitslösungen können Unternehmen cloudnative Anwendungen schnell und zuverlässig erstellen, ausführen und sichern. Und mit CrowdStrike Falcon Cloud Workload Protection können sie alle cloudnativen Assets in allen Clouds schützen – alle Workloads, Container und Kubernetes-Anwendungen.

Dank der CWP-Lösung von CrowdStrike können Unternehmen die Überwachung und Erkennung automatisieren sowie verdächtige Aktivitäten, Zero-Day-Angriffe und riskantes Verhalten stoppen. Damit sind Unternehmen Bedrohungen stets einen Schritt voraus und können ihre Angriffsfläche minimieren. Die Lösung bietet folgende Kernfunktionen:

Vollständige Transparenz

Falcon Cloud Workload Protection bietet einen vollständigen Überblick über Workload- und Container-Ereignisse sowie Instanz-Metadaten. Zudem ermöglicht sie die schnellere und genauere Erkennung, Reaktion, Bedrohungssuche und Untersuchung, sodass keine Aktivitäten in Ihrer Cloud-Umgebung unentdeckt bleiben.

Angriffsschutz

Dank unserer CWP-Lösung können Unternehmen zudem die Überwachung und Erkennung automatisieren sowie verdächtige Aktivitäten, Zero-Day-Angriffe und riskantes Verhalten stoppen. Damit sind Unternehmen Bedrohungen stets einen Schritt voraus und können ihre Angriffsfläche minimieren.

Schnelle und sichere Leistung

Die Falcon CWP-Integrationen unterstützen CI/CD-Workflows (Continuous Integration/Continuous Delivery), damit Unternehmen Workloads mit der Geschwindigkeit von DevOps sichern können, ohne Leistung einzubüßen.

Weitere Informationen zu Falcon Cloud Workload Protection finden Sie in unserer Kurzvorstellung oder auf unserer Produktseite.