La tecnología RASP es una nueva forma de integrar la seguridad de las propias aplicaciones para que puedan defenderse por sí mismas. Este nuevo enfoque de protección es más avanzado que el WAF, protegiendo contra amenazas, vulnerabilidades y exploits web comunes.
En este artículo, te explicamos qué es RASP, cómo funciona esta tecnología de protección y en qué se diferencia del WAF. También haremos un balance de ventajas y desventajas del RASP para que puedas decidir si te conviene implementar este sistema o quedarte con tu protección actual.
Qué significa RASP
Las siglas RASP (Runtime application self-protection) significan Autoprotección de Aplicaciones en Tiempo de Ejecución. Es una tecnología moderna de seguridad de aplicaciones que las protege de ataques durante el tiempo de ejecución.
Su objetivo es evitar que los actores malintencionados pongan en peligro las aplicaciones de Internet y las API mediante el abuso de vulnerabilidades de codificación como la inyección de SQL, la deserialización insegura, XSS, etc.
Es lo más parecido a recibir una inyección y mejorar el sistema inmunológico de tu computadora.
Los RASP son, por lo tanto, un complemento eficaz y una actualización de los productos WAF (firewall de aplicaciones web), cuya tecnología de protección convencional no se adapta bien a los nuevos enfoques de desarrollo, como las implementaciones en la nube y las metodologías DevOps.
Se recomiendan particularmente para sistemas donde la seguridad es primordial porque un RASP brinda seguridad en profundidad y reduce drásticamente las posibilidades de violaciones de seguridad.
¿Cómo funciona la tecnología RASP?
Esta técnica de vacuna se basa en la idea de instrumentar o lo que podríamos decir, añadirle sensores internos, la aplicación protegida. Gracias a estos sensores de seguridad, el RASP analiza la respuesta de la aplicación a cada petición, y en tiempo real, decide si la petición puede causar problemas al sistema.
De esta manera, la filosofía de protección RASP se basa en técnicas modernas de ingeniería de software, como instrumentación, enlaces dinámicos y SDK seguros. Por medio de esas técnicas, los RASP se convierten en parte del sistema para que las aplicaciones permanezcan protegidas dondequiera que vayan. Como indican las siglas RASP y su traducción, permite que las aplicaciones se protejan a sí mismas.
Los sistemas RASP generalmente proporcionan diferentes modos de operación:
- El modo de «bloqueo» detiene las solicitudes maliciosas a los puntos vulnerables.
- El modo de «monitorización» registra y notifica los ataques a los puntos vulnerables, pero no bloquea las solicitudes.
Además, esta herramienta cuenta con un punto de vista privilegiado para realizar análisis de seguridad, combinando una visibilidad completa de los detalles de la arquitectura interna de las aplicaciones y una visibilidad completa del flujo de ejecución durante el tiempo de ejecución. A través de esta perspectiva y como decíamos anteriormente, el RASP puede tomar decisiones muy inteligentes sobre qué es un ataque y qué no.
Por lo tanto, el sistema solo intervendrá si una carga útil llega a un punto verdaderamente vulnerable de la aplicación, lo que se traduce en un mejor rendimiento y sin falsos positivos.
Beneficios de aplicar el RASP
Ahora que te hemos explicado qué es el RASP y cómo funciona, es importante también destacar las ventajas de su implementación, que de hecho, son numerosas y constituyen una mejora en cuanto a seguridad de aplicaciones.
1. Reducción drástica de los falsos positivos
Los RASP evitan los falsos positivos porque toman decisiones informadas gracias a la información obtenida de la arquitectura de la aplicación (vista estática) y de la ejecución en tiempo de ejecución (vista dinámica).
Esto significa que aciertan en la mayoría de los casos, lo que es fundamental para preservar la experiencia del usuario final. Si comparamos su desempeño con el de WAF, al ser una tecnología de protección perimetral, esta experimenta falsos positivos con mucha más frecuencia.
2. Fuerte protección, incluyendo los días cero
Los RASP protegen de muchos tipos de riesgos de seguridad más allá de las inyecciones. Aquí se incluyen los 10 principales riesgos de OWASP, como la deserialización insegura, IDOR, la aleatoriedad débil, CSRF/SSRF y la actividad de clientes no confiables.
Según una encuesta realizada por Ponemon entre los usuarios de WAF, el 65% de los encuestados afirma que los ataques eluden el WAF. Pero además, solo el 9 % de los encuestados indica que sus WAF nunca han sido vulnerados.
3. Fácil de mantener
Los RASP suelen ser complementos de la función “configurar y olvidar”. No hay reglas de tráfico que configurar, ni procesos de aprendizaje, ni listas negras. Las aplicaciones se autoprotegen y permanecen protegidas.
4. Adaptación a las nuevas normas
Los RASP se adaptan fácilmente a las arquitecturas de aplicaciones que no dependen de los estándares HTML, como JSON y SOAP, siempre y cuando sean compatibles. De hecho, ada RASP debe estar construido con una tecnología particular en mente, y por eso pueden proteger estándares no web como XML o RPC.
5. Soporte en la nube
Las aplicaciones autoprotegidas significan que el código está protegido dondequiera que vaya. La configuración de una herramienta RASP puede incorporarse a los scripts de compilación que generan, permaneciendo protegida donde sea que se despliegue. De esta manera, no es necesario actualizar las reglas de la red y del cortafuegos.
6. Apoyo a DevSecOps
DevSecOps es la práctica de integrar las pruebas de seguridad en cada etapa del proceso de desarrollo de software y suele ocurrir que los desarrolladores carecen de asesoramiento útil sobre la seguridad de su código para adoptar plenamente las prácticas «push left».
Los RASP cierran esta brecha proporcionando información de seguridad procesable (incluyendo el archivo, la línea, el tipo y la gravedad) de vuelta al desarrollador para que las vulnerabilidades puedan ser corregidas rápidamente.
En ese sentido, la mayoría de los RASP se integran de forma nativa con herramientas de seguimiento de errores (Jira, Asana), CI/CD (Jenkins), SIEMS y otras herramientas de gestión de operaciones (Syslog).
Desventajas que puede tener el RASP
A pesar de las numerosas ventajas que presentan las soluciones RASP, existen algunas reservas en la comunidad con respecto a esta nueva tecnología.
1. Carga de trabajo
El primer problema es que, a diferencia de muchas otras opciones de seguridad cibernética que ofrecen una cobertura de protección a la infraestructura de software de una empresa, las soluciones RASP requieren que cada aplicación se trate por separado, lo que agrega más trabajo para los equipos de seguridad e ingeniería de la organización.
2. Baja en el rendimiento
La ventaja de RASP como herramienta dinámica y ágil puede al mismo tiempo afectar su rendimiento. Sin embargo, esto queda por verse a medida que evolucionen las ofertas de RASP.
3. Falta de cobertura
Otra preocupación tien que ver que al utilizar RASP, las organizaciones están protegiendo el código imperfecto con una solución externa que podría no cubrir todas las vulnerabilidades del software.
Esto significa que RASP no puede compensar otras herramientas de seguridad de aplicaciones o herramientas de gestión de seguridad de código abierto. Por estas razones, los expertos en seguridad consideran a RASP como una capa adicional de protección.
Sistema WAF vs sistema RASP
Web Application Firewall (WAF) o como explicamos al inicio del artículo, cortafuegos de aplicaciones web, es una tecnología de protección web convencional que ha sido muy popular en el mercado durante la última década.
Su enfoque de protección se basa en definir un perímetro controlado por un cuello de botella, que monitoriza y analiza todo el tráfico web entrante. De esta forma, busca patrones de datos predecibles asociados con ataques conocidos. Esta técnica de protección se denomina validación de entrada, mientras que los patrones de datos se llaman reglas de protección WAF.
A diferencia del RASP, un WAF no es consciente de las verdaderas debilidades de la aplicación. En esa línea, debe validar todas las entradas antes de que llegue a la propia aplicación.
Este enfoque externo obliga a los WAFs a tomar decisiones sin tener el contexto completo de la aplicación, lo que significa que es imposible defender de forma adecuada con un WAF de ciertos tipos de ataque.
Conclusión
Debido a las ventajas y desventajas que hemos analizado hasta este punto, analistas expertos en la seguridad IT como Gartner y Forrester Research, recomiendan complementar la protección de sistemas perimetrales (WAFs) con sistemas más avanzados como RASP.
En definitiva, quienes se encarguen de la gestión de aplicaciones complejas podrán disponer de una herramienta más en el abanico de opciones para evitar ataques que busquen desestabilizar, robar, o corromper la funcionalidad de sus sistemas.
