RASP: самозащита приложений во время выполнения и обзор рынка
Главная » Аналитика » Анализ рынка
Публичное облако: кто отвечает за безопасность?Облако в 2026 году — это уже не просто серверы у провайдера, а полноценная часть ИТ-инфраструктуры компании. И главные риски сегодня связаны не с “железом”, а с ошибками настройки, избыточными доступами, API и размытыми зонами ответственности. 10 июня в 11:00 в прямом эфире AM Live разберём, как сегодня выглядит безопасность публичного облака и какие ошибки чаще всего приводят к инцидентам.→ Регистрируйтесь по ссылке
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+
28 Мая 2026 - 13:20

Обзор RASP-систем для самозащиты приложений во время выполнения

Аватар пользователя Елена Дмитриева
Елена Дмитриева
Обозреватель Anti-Malware.ru
Вверх
Проголосовало: 190
...
Обзор RASP-систем для самозащиты приложений во время выполнения

RASP (Runtime Application Self-Protection) — относительно новая для РФ технология. Однако инструменты самозащиты приложений во время выполнения незаменимы для сценариев, где традиционные средства ИБ, обеспечивающие поиск уязвимостей, недостаточно эффективны.

 

 

 

 

 

 

  1. 1. Введение
  2. 2. Как работают инструменты RASP
    1. 2.1. Место RASP в AppSec
    2. 2.2. Отличие RASP от WAF
    3. 2.3. Преимущества и недостатки технологии
    4. 2.4. Где и зачем чаще всего используют инструменты RASP
  3. 3. Мировой рынок RASP
  4. 4. Сервисы RASP, представленные на российском рынке
  5. 5. Обзор отечественных решений, включающих технологию RASP
    1. 5.1. PT MAZE
    2. 5.2. DPA FOP
  6. 6. Альтернативы на российском рынке
  7. 7. Выводы

Введение

Безопасность приложений давно перестала быть опцией и превратилась в обязательное требование DevOps, в частности для разработки безопасного программного обеспечения (РБПО). В условиях роста числа кибератак и масштабных утечек данных команды разработчиков и специалисты по информационной безопасности нуждаются в надёжных инструментах для выявления уязвимостей на всех этапах жизненного цикла программного обеспечения (Software Development Life Cycle, SDLC).

Runtime Application Self-Protection (RASP) — это технология самозащиты приложений во время выполнения, работающая по принципу «защиты изнутри». Она предназначена для обеспечения безопасности программных продуктов и нейтрализации вредоносных действий во время выполнения: инструменты RASP в реальном времени анализируют поведение приложения, а при выявлении инцидента — перехватывают управление им и самостоятельно устраняют проблему без снижения производительности.

Как работают инструменты RASP

RASP-агенты внедряются непосредственно в само приложение, при этом они способны не просто фиксировать подозрительную активность, а блокировать атаки в режиме реального времени. Такая архитектура обеспечивает активную оборону в процессе работы ПО, блокируя эксплойты и атаки злоумышленников без необходимости вносить изменения в код или менять конфигурацию приложения.

RASP перехватывает все запросы приложения к операционной системе, проверяет их безопасность и аналогичным образом контролирует запросы к данным, не оказывая при этом влияния на дизайн программы. Все функции обнаружения и защиты RASP выполняются на стороне сервера, где физически расположено само приложение.

Место RASP в AppSec

RASP встраивается в приложение на этапе сборки или непосредственно в среду его выполнения, однако активируется уже на финальном этапе выпуска программного обеспечения, когда продукт становится доступным для конечных пользователей (production).

В отличие от инструментов статического (Static Application Security Testing, SAST) и динамического анализа (Dynamic Application Security Testing, DAST) исходного кода, которые применяют до выхода ПО в релиз, RASP защищает уже функционирующее приложение в реальном времени, реагируя на аномалии и угрозы.

Это же касается инструментов интерактивного анализа (Interactive Application Security Testing, IAST): IAST-агенты внедряются в приложение для мониторинга его работы и анализируют его поведение во время выполнения, однако, в отличие от RASP, этот инструмент используется исключительно на этапе тестирования и не предназначен для активной защиты от атак в продакшене. При этом подход RASP рекомендуется комбинировать с инструментами анализа кода, чтобы закрыть как можно больше известных уязвимостей на начальных этапах разработки.

Отличие RASP от WAF

Поскольку RASP защищает уже работающее приложение, существует мнение, что вместо него вполне можно использовать файрвол веб-приложений (Web Application Firewall, WAF). Однако эти инструменты нельзя назвать взаимозаменяемыми.

Межсетевой экран действует как внешний фильтр, анализируя входящие запросы до того, как они достигнут приложения. Его можно обойти, определённым образом закодировав вредоносную нагрузку или подобрав запрос, который не совпадёт с известными сигнатурами. RASP интегрируется в само приложение, потому имеет доступ к его внутренним данным и логике выполнения.

Рассмотрим различия этих инструментов на примере SQL-инъекции. WAF сканирует текст запроса, сверяя его со списком известных вредоносных паттернов. RASP же анализирует, как реально выполняется код запроса. Если злоумышленник попытается внедрить вредоносную конструкцию типа «1'OR'1'='1», RASP заметит, что структура SQL-запроса изменилась — в ней появились несанкционированные логические операции. Самозащита приложения зафиксирует аномалию и немедля заблокирует запрос, не нуждаясь в сверке с базами вредоносных сигнатур.

Эта особенность делает RASP незаменимым для защиты от уязвимостей zero-day, т.е. ранее неизвестных. WAF — эффективный инструмент для быстрого развёртывания и отражения массовых вредоносных атак, но только RASP может защитить приложение изнутри, выявляя попытки модифицировать его исполнение.

 

Рисунок 1. Угрозы, от которых эффективны RASP-инструменты

Угрозы, от которых эффективны RASP-инструменты

 

Преимущества и недостатки технологии

Преимущества самозащиты приложений во время выполнения:

  • Обеспечивает активную защиту работающего приложения изнутри, а не пассивный анализ трафика на периметре.
  • Эффективно противостоит широкому спектру угроз, включая атаки нулевого дня, для которых ещё нет исправлений.
  • Даёт высокую точность обнаружения, поскольку анализирует не внешние запросы, а исполнение кода и потоки данных.
  • Позволяет блокировать атаки в реальном времени, не дожидаясь вмешательства оператора или обновления политик безопасности.
  • Адаптируется к контексту приложения. Самозащита учитывает специфику конкретного приложения, его логику и поведение, что позволяет точнее различать реальные атаки и легитимные действия пользователей.
  • Может быть интегрирована с SIEM-системами для комплексного мониторинга.

Ограничения технологии RASP:

  • Интеграция сложнее, чем у традиционных средств защиты. Агент нужно встраивать непосредственно в код/среду исполнения приложения.
  • Требует более высокой квалификации от специалистов DevSecOps.
  • При некорректной настройке может создавать дополнительную нагрузку на приложение (пусть и небольшую), провоцируя задержки отклика (latency).
  • Сложность масштабирования. При большом количестве разнородных приложений потребуется отдельная настройка и сопровождение каждого из них.
  • Не устраняет существующие в коде уязвимости, а лишь блокирует попытки их эксплуатации.
  • Не адаптивен к изменениям в самом ПО. При обновлении архитектуры или логики приложения самозащиту приходится перенастраивать.

Таким образом, для внедрения этого инструмента в компании должны быть зрелые DevOps-процессы, команда разработчиков высокой квалификации и готовность мириться с дополнительными расходами. RASP может дать существенное преимущество в безопасности организациям с небольшим числом критически важных приложений, но для масштабных и быстро меняющихся сред его внедрение может быть проблематичным.

Где и зачем чаще всего используют инструменты RASP

Финтех и антифрод. В банковских и платёжных системах RASP внедряют для защиты транзакций в режиме реального времени. Технология antifraud анализирует поведение приложения при проведении платежей и мгновенно блокирует попытки подменить сумму или получателя, а также перехватить чувствительные данные, даже если атака идёт через пока что неизвестную уязвимость.

Защита API. Современные приложения активно используют интеграции по API, которые нередко становятся мишенью атакующих. Для защиты RASP встраивается непосредственно в код API-шлюза или микросервиса. Он отслеживает каждый запрос изнутри, выявляя аномальные параметры, инъекции и несанкционированный доступ к бизнес-логике — то, в чём классические WAF бессильны.

Защита legacy-приложений. Устаревшие системы, которые уже невозможно переписать или оперативно пропатчить, становятся головной болью для ИБ. RASP позволяет «обернуть» такое приложение защитным слоем во время выполнения, блокируя эксплуатацию известных уязвимостей без вмешательства в исходный код и остановки его работы.

Mobile security. В мобильных приложениях RASP защищает клиентскую часть от реверс-инжиниринга, подделки запросов и вмешательства в логику работы. Механизмы самозащиты встраиваются в код iOS- и Android-приложений, блокируя попытки несанкционированной модификации или создания клонов на скомпрометированных устройствах.

Мировой рынок RASP

Цифры в рыночных отчётах разнятся, однако все эксперты сходятся во мнении, что RASP — это один из самых быстрорастущих сегментов ИТ-рынка.

Согласно прогнозу аналитического агентства Mordor Intelligence, рынок Runtime Application Self-Protection вырастет с 2,59 млрд долларов в 2026 году до 8,88 млрд долларов в 2031 году при ожидаемом ежегодном приросте (CAGR) в 27 %.

 

Рисунок 2. Прогноз роста рынка RASP (источник: Mordor Intelligence)

Прогноз роста рынка RASP (источник: Mordor Intelligence)

 

Такой же CAGR прогнозирует аналитическое агентство Market Research Intellect. Его исследования показывают, что рынок Runtime Application Self-Protection достиг 356 миллионов долларов США в 2025 году и может вырасти до 3,88 миллиарда долларов США к 2035 году, увеличившись в среднем на 27 % с 2027 по 2035 год.

 

Рисунок 3. Прогноз роста рынка RASP (источник: marketresearchintellect.com)

Прогноз роста рынка RASP (источник: marketresearchintellect.com)

 

Основными драйверами такого стремительного роста рынка RASP выступают:

  • Оцифровка отраслевых рабочих процессов. Такие изменения требуют более интеллектуальных и незаметных для бизнеса инструментов безопасности, к числу которых относится RASP.
  • Расширение использования облачных и гибридных сред. Короткий жизненный цикл контейнеров не оставляет времени для традиционного сканирования, а бессерверные платформы ограничивают установку традиционных агентов. Поэтому поставщики RASP предлагают легковесные модули, которые следуют за приложением и обеспечивают защиту независимо от ротации хоста.
  • Распространение API-архитектур. Популярность интерфейсов прикладного программирования (Application Programming Interface, API) увеличивает поверхность атаки, а использование микросервисов приводит к росту числа конечных точек, превращая вызовы в потенциальный вектор атак. Встроенный RASP контролирует все запросы, блокируя аномалии, инъекции и атаки на ИИ-модули.
  • Ужесточение нормативных требований. Такие стандарты, как GDPR, HIPAA и PCI DSS, способствуют внедрению RASP. NIST SP 800-53 и NIS2 напрямую указывают на необходимость runtime-защиты, а инструменты RASP ведут запись логов и подтверждают непрерывный мониторинг.
  • Распространение политики использования личных устройств (BYOD). Почти 67 % сотрудников используют личные устройства, что кратно увеличивает риски мошенничества и утечек, а RASP как серверная технология встраивается непосредственно в приложение и эффективно противодействует атакам в реальном времени.

Ключевыми игроками отрасли являются компании: Imperva, Micro Focus, Signal Sciences, Veracode, Waratek, Contrast Security, Pradeo, Arxan Technologies.

Сервисы RASP, представленные на российском рынке

Технология самозащиты приложений во время выполнения пока остаётся для российского рынка относительно экзотичной, поскольку её суть заключается во встраивании защиты непосредственно в код или среду исполнения (рантайм) приложения для непрерывного наблюдения за ходом его работы. В отличие от более привычных разработчикам сканеров уязвимостей, инструменты RASP не ищут потенциальные бреши в коде, а играю роль «внутренней сигнализации», отслеживая подозрительные инциденты в процессе выполнения программы.

Полноценных российских RASP-решений на рынке пока нет. Это можно объяснить следующими факторами:

  • Высокая конкуренция со стороны других продуктов безопасности. Рынок защиты приложений насыщен альтернативными инструментами — от классических межсетевых экранов (WAF) до систем обнаружения вторжений (IDS). Наличие доступных альтернатив снижает стимулы к внедрению более сложной RASP-защиты.
  • Технологическая сложность внедрения. Внедрение технологии самозащиты приложений во время исполнения усложняет их разработку и интеграцию, неизбежно влечёт за собой доработки и может замедлять работу программ. По этой причине компании чаще предпочитают использовать WAF-решения, не требующие глубокой экспертизы и значительных ресурсов.
  • Недостаточная зрелость DevSecOps в России. Фокус разработчиков остаётся на других технологиях безопасности: статическом (SAST) и динамическом (DAST) тестировании, в то время как RASP воспринимается как некоторое излишество. Согласно исследованию State of DevOps Russia 2025, только 40 % организаций интегрировали системы безопасности во все этапы разработки.

Препятствием к широкому применению технологии RASP также является недостаточная осведомлённость разработчиков о возможностях самозащиты приложений и ограниченный бюджет на внедрение новых инструментов. При этом некоторые российские вендоры всё же предлагают решения с функциональностью RASP, то есть подразумевающие самозащиту программ во время их выполнения.

Обзор отечественных решений, включающих технологию RASP

Хотя на российском рынке нет чистых RASP-решений, в некоторых отечественных ИТ-продуктах предусмотрена runtime-защита, то есть заложена функциональность Application Self-Protection.

 

 

PT MAZE

PT MAZE от компании Positive Technologies — это облачный сервис, созданный для защиты мобильных приложений под управлением iOS и Android от обратной разработки (реверс-инжиниринга), клонирования и взлома. По заявлению разработчика, PT MAZE создавался на основе 10-летнего опыта белых хакеров в анализе защищённости более чем 2 тысяч мобильных приложений и относится к продуктам с функциональностью самозащиты приложений в реальном времени (RASP).

В основе сервиса лежит программный протектор, разработанный специалистами Positive Technologies. PT MAZE помогает предотвратить такие угрозы, как создание поддельных копий и несанкционированная модификация кода, обход платных функций или ограничений, поиск уязвимостей и исследование внутреннего устройства приложения злоумышленниками. Основная цель сервиса — сделать взлом экономически невыгодным для киберпреступника и побудить его отказаться от попыток атаки.

Среди ключевых защитных механизмов — средства антиреверса, обфускация кода и данных, шифрование, очистка логов и метаданных, а также противодействие отключению защиты. PT MAZE станет подспорьем для команд, которым требуется оперативно усилить уже работающее приложение. Сервис отличается простотой использования и не требует длительной настройки: можно загрузить приложение на сервер, а затем скачать одну из защищённых версий со встроенными модулями безопасности, а также настроить применение защиты одним кликом в СI/CD.

 

Рисунок 4. Интерфейс PT MAZE

Интерфейс PT MAZE

 

Особенности решения:

  • Не влияет на пользовательский опыт: согласно тестированию запуск приложения замедляется всего на 600 мс, размер файла увеличивается не более чем на 2 % (около 10 МБ), при этом приложение продолжает стабильно работать без сбоев и просадок.
  • Защита построена по многоуровневому принципу: модули работают независимо, но при этом прикрывают друг друга. Взлом одного уровня не открывает доступ к приложению — атакующему придётся преодолевать каждый барьер отдельно.
  • Интеграция занимает считанные минуты: можно загрузить приложение через веб-интерфейс вручную или настроить автоматическую защиту через CI/CD API — на это уйдёт не больше 10 минут.
  • Конструктор конфигураций позволяет развернуть защиту за 15 минут, используя готовые настройки, либо создать собственную конфигурацию под конкретные требования к безопасности и производительности.
  • Подход Zero Trust: защита накладывается на готовые сборки (APK, AAB, IPA, XCA) без доступа к исходному коду. Обработка выполняется на сервере, а защитные механизмы являются неотъемлемой частью приложения, что сильно усложняет их исследование и обход.
  • Поддержка всех основных кроссплатформенных фреймворков: Flutter, Native, React, Unity, Xamarin и другие.

Positive Technologies MAZE входит в реестр РПО (реестровая запись № 28118 от 19.05.2025).

Подробную информацию можно найти на сайте разработчика.

 

 

DPA FOP

DPA Frontend Observability Platform (DPA FOP) — решение от компании DPA Analytics, RASP для frontend-приложений на JavaScript/TypeScript. Оно которое относится к классу Content-based RASP и предназначено для мониторинга поведения JavaScript-кода, обнаружения вредоносных действий и контроля целостности скриптов в браузерах пользователей в реальном времени. Платформа отслеживает все доступные в браузере каналы передачи информации, предотвращая утечки данных и выявляя атаки, невидимые для других средств защиты. Решение включает 3 ключевых модуля.

Модуль Elements производит непрерывную инвентаризацию всех активных скриптов и других активных элементов на веб-страницах приложения. При несанкционированном добавлении или изменении скриптов FOP генерирует инцидент в области безопасности.

Модуль Interceptor контролирует каждый сетевой запрос, выполненный приложением в браузере пользователя. При попытке отправить данные на хосты, не входящие в белый список, FOP немедленно отправляет данные об инциденте в области безопасности в SIEM/SOC. Также анализируются объём передаваемой информации, её состав и география назначения — так можно контролировать данные, собираемые системами аналитики, на предмет избыточности.

Модуль Sensitive Data выполняет поиск критически важной бизнес-информации на страницах приложения: персональных и контактных данных клиентов, номеров банковских карт и т. п. Параллельно он выявляет аномалии, характерные для IDOR, SQL-инъекций, ошибок бизнес-логики и избыточного раскрытия данных в API (в соответствии с OWASP Top 10 API Security Risks).

Работа всех 3 модулей позволяет обнаруживать вредоносное поведение JS/TS-кода — в собственных и партнёрских скриптах. Также выявляются XSS-атаки, закладки, недокументированные возможности в используемых JavaScript-зависимостях и другие угрозы в соответствии с фреймворком Frontend Kill Chain.

 

Рисунок 5. Обнаружение утечек данных с веб-страниц в DPA FOP

Обнаружение утечек данных с веб-страниц в DPA FOP

 

Особенности продукта:

  • Простая интеграция через JS-агент, совместимый с любыми приложениями и не влияющий на само приложение. Установка на серверах заказчика (on-premises).
  • Эффективное предотвращение утечек данных в frontend-приложениях, включая хищение информации через web-скимминг и атаки типа formjacking.
  • Инвентаризация скриптов и активных элементов в реальном времени, постоянный контроль их целостности и наблюдение за поведением фронтенд-приложения (выполнение требований 6.4.3 и 11.6.1 PCI DSS 4.0).
  • Выявление на страницах веб-приложений чувствительных данных (персональная информация, банковские данные, контакты клиентов) вместе с обнаружением любых аномалий в работе с ними.
  • Обнаружение всех пикселей и трекеров, которые собирают сведения о действиях пользователей.
  • Обнаружение нецелевого доступа к сайту сотрудниками (установка JS-майнеров, добавление скриптов конкурентов, манипуляции с SEO-ссылками).

DPA Platform входит в реестр РПО (реестровая запись № 11316 от 25.08.2021).

Подробную информацию можно найти на сайте разработчика.

Альтернативы на российском рынке

В качестве альтернативы коммерческим RASP-инструментам российские разработчики могут рассмотреть инструменты с открытым исходным кодом:

Contrast Protect. Это решение для защиты приложений во время выполнения (RASP) от компании Contrast Security. Оно позволяет выявлять и блокировать атаки изнутри запущенного приложения. Часть функциональных возможностей Contrast Protect доступна бесплатно в рамках Community Edition — бесплатной версии платформы Contrast Security, которая предназначена для разработчиков и предоставляет также доступ к интерактивному тестированию безопасности приложений (IAST) и анализу состава программного обеспечения (SCA).

Falco. Это инструмент безопасности с открытым исходным кодом на базе eBPF, ориентированный на обнаружение аномалий во время выполнения. Он использует пользовательские наборы правил для отслеживания подозрительного поведения приложений и инфраструктуры. Falco поддерживает несколько нормативных требований, в том числе стандарты PCI DSS и NIST.

FreeRASP Community. Открытый SDK от Talsec для защиты мобильных приложений. Работает с Flutter, React Native, Android и iOS. Обнаруживает попытки обратного инжиниринга, рутирования (Magisk), джейлбрейка, использования фреймворков для перехвата (Frida, Xposed), а также отслеживает подозрительные сетевые подключения и попытки подделки устройства.

Elkeid. Это платформа с открытым исходным кодом, которая включает компонент RASP (Runtime Application Self-Protection). Он позволяет обеспечивать защиту приложений в режиме реального времени и может динамически внедряться в работающие процессы без необходимости перезапуска приложений.

OpenRASP. Это открытое решение для самозащиты приложений, разработанное компанией Baidu. Оно интегрируется непосредственно в сервер приложений через инструментарий, обеспечивая мониторинг и защиту входных данных в режиме реального времени.

Выводы

RASP — это заслуживающий внимания инструмент для обеспечения безопасности приложений: он устраняет угрозы там, где сигнатурные анализаторы попросту бесполезны. Интеграция RASP в конвейер DevSecOps даёт возможность усилить защиту и уменьшить существующие риски. При этом современные RASP-решения способны бесшовно встраиваться в привычный DevSecOps-ландшафт, обмениваясь данными с системами учёта заявок и SIEM-платформами.

Однако безопасность приложения должна контролироваться и на самых ранних этапах его создания: регулярные проверки на всех стадиях разработки позволяют находить и закрывать уязвимости ещё до того, как выйдет релиз приложения.

Выбор подходящего RASP-инструмента следует начинать с формулировки чётких технических и эксплуатационных требований. Если в процессе разработки уже используются статические или динамические анализаторы безопасности, важно убедиться, что новое решение будет их дополнять, а не конфликтовать с ними. Сама технология RASP не должна мешать штатной работе приложения или ухудшать пользовательский опыт (UX). Поэтому прежде чем внедрять самозащиту в продукт, необходимо тщательно протестировать, как она повлияет на его производительность — только так можно найти баланс между надёжностью и эффективностью.

Полезные ссылки: 
> Как внедрить процессы безопасной разработки программного обеспечения
> Обзор рынка защиты веб-приложений (WAF) — 2024
AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

RSS: Новые статьи на Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.