Runtime application self-protection (RASP)

Abstract

En los últimos años, el número de organizaciones afectadas por brechas de seguridad y fugas de información ha crecido de manera considerable. Información confidencial de las entidades o información de clientes son algunos de los principales objetivos de los atacantes, provocando importantes daños reputacionales y económicos, que en función del tamaño de la empresa afectada puede resultar en importantes sanciones e incluso la quiebra de la misma. En muchos de los casos mencionados la principal causa es la existencia de vulnerabilidades en software corporativo. En la actualidad el número de servicios desarrollados por grandes corporaciones crece de manera exponencial. También lo hace la adopción de medidas de seguridad, aunque desafortunadamente no al mismo ritmo, la incorporación de requisitos mínimos de seguridad que el software debe cumplir para poder cumplir con los pipelines de entrega de software. En este trabajo se analiza el contexto de Application Security Testing, así como los diferentes productos y tecnologías más utilizados en la actualidad. Se pone el foco en las soluciones RASP, una tecnología desconocida y emergente en el mercado, realizando un análisis de funcionamiento y componentes principales. Adicionalmente, se implementa un entorno local para realizar una prueba de concepto a nivel técnico y funcional de dos productos RASP, de la cual posteriormente se detallarán los resultados y conclusiones obtenidas.

In recent years, the number of organizations affected by security breaches and information leaks has grown considerably. Confidential information of entities or customer information are some of the main targets of attackers, causing significant reputational and economic damage, which depending on the size of the affected company can result in major sanctions and even bankruptcy of the company. In many of the above mentioned cases the main cause is the existence of vulnerabilities in corporate software. Currently, the number of services developed by large corporations is growing exponentially. So does the adoption of security measures, although unfortunately not at the same pace, the incorporation of minimum security requirements that software must meet in order to comply with software delivery pipelines. In this paper, the context of Application Security Testing is analyzed, as well as the different products and technologies most used today. The focus is on RASP solutions, an unknown and emerging technology in the market, performing an analysis of operation and main components. Additionally, a local environment is implemented to perform a proof of concept at a technical and functional level of two RASP products, from which the results and conclusions obtained are analyzed and documented.

En els últims anys, el nombre d'organitzacions afectades per bretxes de seguretat i fugides d'informació ha crescut de manera considerable. Informació confidencial de les entitats o informació de clients són alguns dels principals objectius dels atacants, provocant importants danys reputacionals i econòmics, que en funció de la grandària de l'empresa afectada pot resultar en importants sancions i fins i tot la fallida d'aquesta. En molts dels casos esmentats la principal causa és l'existència de vulnerabilitats en programari corporatiu. En l'actualitat el nombre de serveis desenvolupats per grans corporacions creix de manera exponencial. També ho fa l'adopció de mesures de seguretat, encara que desafortunadament no al mateix ritme, la incorporació de requisits mínims de seguretat que el programari ha de complir per a poder complir amb els pipelines de lliurament de programari. En aquest treball s'analitza el context de Application Security Testing, així com els diferents productes i tecnologies més utilitzats en l'actualitat. Es posa el focus en les solucions RASP, una tecnologia desconeguda i emergent en el mercat, realitzant una anàlisi de funcionament i components principals. Addicionalment, s'implementa un entorn local per a realitzar una prova de concepte a nivell tècnic i funcional de dos productes RASP, de la qual posteriorment es detallaran els resultats i conclusions obtingudes.