安全行業(yè)首份應用檢測與響應能力白皮書解讀之ADR定義與背景

近日,中國數字產業(yè)領域第三方咨詢機構數世咨詢發(fā)布安全行業(yè)首份《ADR能力白皮書》,通過系統(tǒng)研究ADR的關鍵能力以及使用場景等,為廣大政企客戶構建整體應用防護體系提供參考和借鑒。白皮書還推薦了ADR領域的代表性廠商,作為一家專注于技術創(chuàng)新突破的安全新銳公司,邊界無限憑借其被喻為應用“免疫血清”的靖云甲ADR成為唯一被推薦的國內公司。該ADR能力白皮書在CSA大中華區(qū)組織的CSA研討會上首次發(fā)布。

ADR關鍵發(fā)現 應用檢測與響應(Application Detection and Response – ADR)是指以Web應用為主要對象,采集應用運行環(huán)境與應用內部中用戶輸入、上下文信息、訪問行為等流量數據并上傳至分析管理平臺,輔助威脅情報關聯分析后,以自動化策略或人工響應處置安全事件的解決方案。 ADR以Web應用為核心,以RASP為主要安全能力切入點。 作為安全關鍵基礎設施,ADR能夠與WAF、HDR、IAST等多個安全能力形成有機配合。 ADR 的五大關鍵技術能力:探針(Agent)、應用資產發(fā)現、高級威脅檢測、數據建模與分析、響應阻斷與修復。 對0day漏洞、無文件攻擊等高級攻擊威脅的檢測與響應已經成為ADR的關鍵能力之一。 ADR廠商將與公有云廠商、各行業(yè)云廠商建立更加深入的合作關系,逐步加快ADR在各行業(yè)的集中部署。

ADR新賽道

隨著云原生時代的來臨,業(yè)務變得越來越開放和復雜,安全邊界越來越模糊,固定的防御邊界已經不復存在,僅僅依靠WAF這樣的邊界防護手段是顯然不夠的?;谡埱筇卣?規(guī)則策略的防御控制手段僅能將部分危險攔截在外,同時隨著實網攻防演練的常態(tài)化、實戰(zhàn)化,攻防對抗強度不斷升級,攻擊者可輕易繞過傳統(tǒng)邊界安全設備基于規(guī)則匹配的預防機制。

不僅如此,攻擊者還會利用供應鏈攻擊等迂回手法來挖掘出特定0day漏洞,實現對目標應用的精準打擊。類似的高級攻擊手段,讓越來越多的安全管理者,開始關注安全左移,例如將DevOps與Sec結合,嘗試實現DevSecOps,亦或是以運行時應用自我防護為手段,對運行時的應用安全進行更多投入。

然而,與云主機安全遇到的局限性類似,應用安全原有的安全能力是有缺失的。一方面,用戶在實戰(zhàn)化安全能力需求中,迫切需要一個專門針對應用的行之有效的解決方案,加入安全運營體系中,從而實現應用運行時的安全檢測與響應能力,另一方面,之前的應用安全技術能力,雖然從開發(fā)階段到生產運行階段都有涉及,但能力點是分散的,例如只關注應用的漏洞檢測(如IAST),或是只關注應用攻防場景下的自我防護(如RASP),很少將應用的安全檢測與事件響應結合起來,形成閉環(huán)。

一個典型例證是,越來越多的企業(yè)開始向DevOps模式靠攏,快速和持續(xù)的交付正在加快業(yè)務的拓展,但隨之而來的安全訴求卻得不到及時響應。研發(fā)團隊經常在代碼可能存在安全風險的情況下,將其推入生產環(huán)境,結果造成更多漏洞積壓,且上線后安全訴求因排期等問題無法修復。同時伴隨著實網攻防演練的常態(tài)化趨勢,傳統(tǒng)以犧牲業(yè)務為代價的業(yè)務應用關停手段也逐漸遇到挑戰(zhàn),在“零關停”或“少關停”的需求下,對應用生產環(huán)境風險的檢測與響應迫在眉睫。

基于此,數世咨詢提出應用檢測與響應(Application Detection and Response – ADR)這一新賽道,從而將用戶在這一領域的需求明晰化,同時將對應的安全能力解決方案化,供用戶與企業(yè)參考。

如何定義ADR

應用檢測與響應(Application Detection and Response – ADR)是指以Web應用為主要對象,采集應用運行環(huán)境與應用內部中用戶輸入、上下文信息、訪問行為等流量數據并上傳至分析管理平臺,輔助威脅情報關聯分析后,以自動化策略或人工響應處置安全事件的解決方案。

若無特別說明,本報告中的應用主要指主機側的Web應用,不包含PC終端、移動終端、物聯網終端等端點側的應用。

ADR以Web應用為核心,以RASP為主要安全能力切入點,通過對應用流量數據中潛在威脅的持續(xù)檢測和快速響應,幫助用戶應對來自業(yè)務增長、技術革新和基礎設施環(huán)境變化所產生的諸多應用安全新挑戰(zhàn)。

在安全檢測方面,ADR基于網格化的流量采集,通過應用資產數據、應用訪問數據、上下文信息等,結合外部威脅情報數據,高效準確檢測0day漏洞利用、內存馬注入等各類安全威脅;

在安全響應方面,ADR基于場景化的學習模型,實現應用資產的自動發(fā)現與適配,自動生成應用訪問策略,建立可視化的應用訪問基線,發(fā)現安全威脅時,通過虛擬補丁、訪問控制等安全運營處置手段,有效提高事件響應的處置效率。

圖:ADR應用檢測與響應

圖:應用檢測與響應ADR 部署示意圖

在即將發(fā)布的《中國數字安全能力圖譜2022》中,應用檢測與響應ADR位于“應用場景安全”方向的“開發(fā)與應用安全”分類中。如下圖所示:

圖:《中國數字安全能力圖譜2022》開發(fā)與應用安全,ADR

在2022年度數字安全成熟度階梯(應用場景)中,應用檢測與響應ADR位于“啟動區(qū)”,屬于前沿創(chuàng)新和概念市場階段。

邊界無限靖云甲ADR

誠如數世咨詢ADR能力白皮書中所述,目前國內相關領域企業(yè)數量并不多,只有個別企業(yè)明確提出了ADR這一概念,而邊界無限就是這么一家將RASP技術提升至ADR的安全新銳,并憑借超強的技術前瞻性和對ADR的專注而入選ADR能力白皮書,并且成為國內唯一被推薦的ADR代表廠商,其自主研創(chuàng)的靖云甲ADR更是被業(yè)界稱為應用的“免疫血清”。

邊界無限副總裁、產品總負責人沈思源介紹說,靖云甲ADR基于RASP技術,以Web應用為核心,以RASP為主要安全能力切入點,打造Web應用全方位安全檢測與響應的解決方案,是邊界無限幫助用戶構建云原生時代安全基礎設施體系的起點和戰(zhàn)略支點,更是“靈動智御”理念的實踐。靖云甲ADR引入多項前瞻性的技術理念,通過對應用風險的持續(xù)檢測和安全風險快速響應,幫助企業(yè)應對來自業(yè)務增長、技術革新和基礎設施環(huán)境變化所產生的等諸多應用安全新挑戰(zhàn)。

邊界無限靖云甲ADR擁有資產管理、入侵檢測、漏洞管理和內存馬防御等核心功能,具備免重啟、采樣決策分離、IT部署架構、性能全面領先等核心優(yōu)勢,其應用場景為業(yè)務在線修復、實戰(zhàn)攻防演練、惡意應用攻擊和集團應用安全建設能力等。

具體來說,在流量安全層面,邊界無限靖云甲ADR基于網格化流量采集,通過聯動應用端點數據、應用訪問數據,高效準確防御0day漏洞利用、內存馬注入等各類安全威脅;在數據安全方面通過數據審計、治理、脫敏等安全技術,有效實現數據安全風險態(tài)勢的把控。在為企業(yè)提供全面的應用安全保障的同時,ADR通過虛擬補丁、漏洞威脅情報、訪問控制等運營處置手段,有效提高安全運營的事件處置效率。這順應了時下流行的安全技術趨勢,也滿足了廣大政企客戶的現實安全需求。

邊界無限靖云甲ADR擁有精準細化的資產清點、緊跟形式的安全研究、海量可靠的漏洞運營、輕量無感的性能損耗等優(yōu)點,尤其是在應用資產管理、供應鏈安全、API資產學習層面,表現優(yōu)異。靖云甲ADR跨IT架構統(tǒng)計應用資產,實現安全能力同步管控,為應用提供安全風險評估;動態(tài)采集應用運行過程中的組件加載情況,快速感知資產動態(tài),全面有效獲知供應鏈資產信息;自主學習流量+應用框架,具體來說,靖云甲ADR會通過插樁對應用內部框架定義的API方法以及應用流量進行API全量采集,同時利用AI 檢測引擎請求流量進行持續(xù)分析,自動分析暴露陳舊、敏感數據等關鍵問題。

此外,邊界無限靖云甲ADR采用“主被動結合”雙重防御機制,對外基于RASP能力對內存馬的注入行為進行有效防御,對內通過建立內存馬檢測模型,通過持續(xù)分析內存中存在的惡意代碼,幫助用戶解決掉埋藏內存中的“定時炸彈”。針對內存中潛藏的內存馬,靖云甲ADR提供了一鍵清除功能,可以直接將內存馬清除,實現對內存馬威脅的快速處理。靖云甲ADR還可以通過主動攔截+被動掃描,有效阻斷內存馬的注入;對已經被注入的內存馬提供源碼和特征檢測信息,無需重啟應用即可一鍵清除。另外,靖云甲ADR采用“attach”等方式注入agent,無需重啟直接更新,以減少對業(yè)務運行的干擾。

截至目前,邊界無限已與關鍵基礎設施重要行業(yè)和領域的數十家客戶達成業(yè)務合作,相信隨著RASP以及ADR技術的進一步成熟,邊界無限將幫助各運營單位構建關鍵信息基礎設施整體應用防控體系,不斷提升關鍵信息基礎設施安全應用防護能力。

(免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。 )