安全行業(yè)首份應(yīng)用檢測(cè)與響應(yīng)能力白皮書解讀之ADR定義與背景

  • 人閱讀
  • 2022-12-26 14:42:54

  • 來(lái)源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

近日,中國(guó)數(shù)字產(chǎn)業(yè)領(lǐng)域第三方咨詢機(jī)構(gòu)數(shù)世咨詢發(fā)布安全行業(yè)首份《ADR能力白皮書》,通過(guò)系統(tǒng)研究ADR的關(guān)鍵能力以及使用場(chǎng)景等,為廣大政企客戶構(gòu)建整體應(yīng)用防護(hù)體系提供參考和借鑒。白皮書還推薦了ADR領(lǐng)域的代表性廠商,作為一家專注于技術(shù)創(chuàng)新突破的安全新銳公司,邊界無(wú)限憑借其被喻為應(yīng)用“免疫血清”的靖云甲ADR成為唯一被推薦的國(guó)內(nèi)公司。該ADR能力白皮書在CSA大中華區(qū)組織的CSA研討會(huì)上首次發(fā)布。

ADR關(guān)鍵發(fā)現(xiàn) 應(yīng)用檢測(cè)與響應(yīng)(Application Detection and Response – ADR)是指以Web應(yīng)用為主要對(duì)象,采集應(yīng)用運(yùn)行環(huán)境與應(yīng)用內(nèi)部中用戶輸入、上下文信息、訪問(wèn)行為等流量數(shù)據(jù)并上傳至分析管理平臺(tái),輔助威脅情報(bào)關(guān)聯(lián)分析后,以自動(dòng)化策略或人工響應(yīng)處置安全事件的解決方案。 ADR以Web應(yīng)用為核心,以RASP為主要安全能力切入點(diǎn)。 作為安全關(guān)鍵基礎(chǔ)設(shè)施,ADR能夠與WAF、HDR、IAST等多個(gè)安全能力形成有機(jī)配合。 ADR 的五大關(guān)鍵技術(shù)能力:探針(Agent)、應(yīng)用資產(chǎn)發(fā)現(xiàn)、高級(jí)威脅檢測(cè)、數(shù)據(jù)建模與分析、響應(yīng)阻斷與修復(fù)。 對(duì)0day漏洞、無(wú)文件攻擊等高級(jí)攻擊威脅的檢測(cè)與響應(yīng)已經(jīng)成為ADR的關(guān)鍵能力之一。 ADR廠商將與公有云廠商、各行業(yè)云廠商建立更加深入的合作關(guān)系,逐步加快ADR在各行業(yè)的集中部署。

ADR新賽道

隨著云原生時(shí)代的來(lái)臨,業(yè)務(wù)變得越來(lái)越開放和復(fù)雜,安全邊界越來(lái)越模糊,固定的防御邊界已經(jīng)不復(fù)存在,僅僅依靠WAF這樣的邊界防護(hù)手段是顯然不夠的?;谡?qǐng)求特征+規(guī)則策略的防御控制手段僅能將部分危險(xiǎn)攔截在外,同時(shí)隨著實(shí)網(wǎng)攻防演練的常態(tài)化、實(shí)戰(zhàn)化,攻防對(duì)抗強(qiáng)度不斷升級(jí),攻擊者可輕易繞過(guò)傳統(tǒng)邊界安全設(shè)備基于規(guī)則匹配的預(yù)防機(jī)制。

不僅如此,攻擊者還會(huì)利用供應(yīng)鏈攻擊等迂回手法來(lái)挖掘出特定0day漏洞,實(shí)現(xiàn)對(duì)目標(biāo)應(yīng)用的精準(zhǔn)打擊。類似的高級(jí)攻擊手段,讓越來(lái)越多的安全管理者,開始關(guān)注安全左移,例如將DevOps與Sec結(jié)合,嘗試實(shí)現(xiàn)DevSecOps,亦或是以運(yùn)行時(shí)應(yīng)用自我防護(hù)為手段,對(duì)運(yùn)行時(shí)的應(yīng)用安全進(jìn)行更多投入。

然而,與云主機(jī)安全遇到的局限性類似,應(yīng)用安全原有的安全能力是有缺失的。一方面,用戶在實(shí)戰(zhàn)化安全能力需求中,迫切需要一個(gè)專門針對(duì)應(yīng)用的行之有效的解決方案,加入安全運(yùn)營(yíng)體系中,從而實(shí)現(xiàn)應(yīng)用運(yùn)行時(shí)的安全檢測(cè)與響應(yīng)能力,另一方面,之前的應(yīng)用安全技術(shù)能力,雖然從開發(fā)階段到生產(chǎn)運(yùn)行階段都有涉及,但能力點(diǎn)是分散的,例如只關(guān)注應(yīng)用的漏洞檢測(cè)(如IAST),或是只關(guān)注應(yīng)用攻防場(chǎng)景下的自我防護(hù)(如RASP),很少將應(yīng)用的安全檢測(cè)與事件響應(yīng)結(jié)合起來(lái),形成閉環(huán)。

一個(gè)典型例證是,越來(lái)越多的企業(yè)開始向DevOps模式靠攏,快速和持續(xù)的交付正在加快業(yè)務(wù)的拓展,但隨之而來(lái)的安全訴求卻得不到及時(shí)響應(yīng)。研發(fā)團(tuán)隊(duì)經(jīng)常在代碼可能存在安全風(fēng)險(xiǎn)的情況下,將其推入生產(chǎn)環(huán)境,結(jié)果造成更多漏洞積壓,且上線后安全訴求因排期等問(wèn)題無(wú)法修復(fù)。同時(shí)伴隨著實(shí)網(wǎng)攻防演練的常態(tài)化趨勢(shì),傳統(tǒng)以犧牲業(yè)務(wù)為代價(jià)的業(yè)務(wù)應(yīng)用關(guān)停手段也逐漸遇到挑戰(zhàn),在“零關(guān)停”或“少關(guān)停”的需求下,對(duì)應(yīng)用生產(chǎn)環(huán)境風(fēng)險(xiǎn)的檢測(cè)與響應(yīng)迫在眉睫。

基于此,數(shù)世咨詢提出應(yīng)用檢測(cè)與響應(yīng)(Application Detection and Response – ADR)這一新賽道,從而將用戶在這一領(lǐng)域的需求明晰化,同時(shí)將對(duì)應(yīng)的安全能力解決方案化,供用戶與企業(yè)參考。

如何定義ADR

應(yīng)用檢測(cè)與響應(yīng)(Application Detection and Response – ADR)是指以Web應(yīng)用為主要對(duì)象,采集應(yīng)用運(yùn)行環(huán)境與應(yīng)用內(nèi)部中用戶輸入、上下文信息、訪問(wèn)行為等流量數(shù)據(jù)并上傳至分析管理平臺(tái),輔助威脅情報(bào)關(guān)聯(lián)分析后,以自動(dòng)化策略或人工響應(yīng)處置安全事件的解決方案。

若無(wú)特別說(shuō)明,本報(bào)告中的應(yīng)用主要指主機(jī)側(cè)的Web應(yīng)用,不包含PC終端、移動(dòng)終端、物聯(lián)網(wǎng)終端等端點(diǎn)側(cè)的應(yīng)用。

ADR以Web應(yīng)用為核心,以RASP為主要安全能力切入點(diǎn),通過(guò)對(duì)應(yīng)用流量數(shù)據(jù)中潛在威脅的持續(xù)檢測(cè)和快速響應(yīng),幫助用戶應(yīng)對(duì)來(lái)自業(yè)務(wù)增長(zhǎng)、技術(shù)革新和基礎(chǔ)設(shè)施環(huán)境變化所產(chǎn)生的諸多應(yīng)用安全新挑戰(zhàn)。

在安全檢測(cè)方面,ADR基于網(wǎng)格化的流量采集,通過(guò)應(yīng)用資產(chǎn)數(shù)據(jù)、應(yīng)用訪問(wèn)數(shù)據(jù)、上下文信息等,結(jié)合外部威脅情報(bào)數(shù)據(jù),高效準(zhǔn)確檢測(cè)0day漏洞利用、內(nèi)存馬注入等各類安全威脅;

在安全響應(yīng)方面,ADR基于場(chǎng)景化的學(xué)習(xí)模型,實(shí)現(xiàn)應(yīng)用資產(chǎn)的自動(dòng)發(fā)現(xiàn)與適配,自動(dòng)生成應(yīng)用訪問(wèn)策略,建立可視化的應(yīng)用訪問(wèn)基線,發(fā)現(xiàn)安全威脅時(shí),通過(guò)虛擬補(bǔ)丁、訪問(wèn)控制等安全運(yùn)營(yíng)處置手段,有效提高事件響應(yīng)的處置效率。

圖:ADR應(yīng)用檢測(cè)與響應(yīng)

圖:應(yīng)用檢測(cè)與響應(yīng)ADR 部署示意圖

在即將發(fā)布的《中國(guó)數(shù)字安全能力圖譜2022》中,應(yīng)用檢測(cè)與響應(yīng)ADR位于“應(yīng)用場(chǎng)景安全”方向的“開發(fā)與應(yīng)用安全”分類中。如下圖所示:

圖:《中國(guó)數(shù)字安全能力圖譜2022》開發(fā)與應(yīng)用安全,ADR

在2022年度數(shù)字安全成熟度階梯(應(yīng)用場(chǎng)景)中,應(yīng)用檢測(cè)與響應(yīng)ADR位于“啟動(dòng)區(qū)”,屬于前沿創(chuàng)新和概念市場(chǎng)階段。

邊界無(wú)限靖云甲ADR

誠(chéng)如數(shù)世咨詢ADR能力白皮書中所述,目前國(guó)內(nèi)相關(guān)領(lǐng)域企業(yè)數(shù)量并不多,只有個(gè)別企業(yè)明確提出了ADR這一概念,而邊界無(wú)限就是這么一家將RASP技術(shù)提升至ADR的安全新銳,并憑借超強(qiáng)的技術(shù)前瞻性和對(duì)ADR的專注而入選ADR能力白皮書,并且成為國(guó)內(nèi)唯一被推薦的ADR代表廠商,其自主研創(chuàng)的靖云甲ADR更是被業(yè)界稱為應(yīng)用的“免疫血清”。

邊界無(wú)限副總裁、產(chǎn)品總負(fù)責(zé)人沈思源介紹說(shuō),靖云甲ADR基于RASP技術(shù),以Web應(yīng)用為核心,以RASP為主要安全能力切入點(diǎn),打造Web應(yīng)用全方位安全檢測(cè)與響應(yīng)的解決方案,是邊界無(wú)限幫助用戶構(gòu)建云原生時(shí)代安全基礎(chǔ)設(shè)施體系的起點(diǎn)和戰(zhàn)略支點(diǎn),更是“靈動(dòng)智御”理念的實(shí)踐。靖云甲ADR引入多項(xiàng)前瞻性的技術(shù)理念,通過(guò)對(duì)應(yīng)用風(fēng)險(xiǎn)的持續(xù)檢測(cè)和安全風(fēng)險(xiǎn)快速響應(yīng),幫助企業(yè)應(yīng)對(duì)來(lái)自業(yè)務(wù)增長(zhǎng)、技術(shù)革新和基礎(chǔ)設(shè)施環(huán)境變化所產(chǎn)生的等諸多應(yīng)用安全新挑戰(zhàn)。

邊界無(wú)限靖云甲ADR擁有資產(chǎn)管理、入侵檢測(cè)、漏洞管理和內(nèi)存馬防御等核心功能,具備免重啟、采樣決策分離、IT部署架構(gòu)、性能全面領(lǐng)先等核心優(yōu)勢(shì),其應(yīng)用場(chǎng)景為業(yè)務(wù)在線修復(fù)、實(shí)戰(zhàn)攻防演練、惡意應(yīng)用攻擊和集團(tuán)應(yīng)用安全建設(shè)能力等。

具體來(lái)說(shuō),在流量安全層面,邊界無(wú)限靖云甲ADR基于網(wǎng)格化流量采集,通過(guò)聯(lián)動(dòng)應(yīng)用端點(diǎn)數(shù)據(jù)、應(yīng)用訪問(wèn)數(shù)據(jù),高效準(zhǔn)確防御0day漏洞利用、內(nèi)存馬注入等各類安全威脅;在數(shù)據(jù)安全方面通過(guò)數(shù)據(jù)審計(jì)、治理、脫敏等安全技術(shù),有效實(shí)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)態(tài)勢(shì)的把控。在為企業(yè)提供全面的應(yīng)用安全保障的同時(shí),ADR通過(guò)虛擬補(bǔ)丁、漏洞威脅情報(bào)、訪問(wèn)控制等運(yùn)營(yíng)處置手段,有效提高安全運(yùn)營(yíng)的事件處置效率。這順應(yīng)了時(shí)下流行的安全技術(shù)趨勢(shì),也滿足了廣大政企客戶的現(xiàn)實(shí)安全需求。

邊界無(wú)限靖云甲ADR擁有精準(zhǔn)細(xì)化的資產(chǎn)清點(diǎn)、緊跟形式的安全研究、海量可靠的漏洞運(yùn)營(yíng)、輕量無(wú)感的性能損耗等優(yōu)點(diǎn),尤其是在應(yīng)用資產(chǎn)管理、供應(yīng)鏈安全、API資產(chǎn)學(xué)習(xí)層面,表現(xiàn)優(yōu)異。靖云甲ADR跨IT架構(gòu)統(tǒng)計(jì)應(yīng)用資產(chǎn),實(shí)現(xiàn)安全能力同步管控,為應(yīng)用提供安全風(fēng)險(xiǎn)評(píng)估;動(dòng)態(tài)采集應(yīng)用運(yùn)行過(guò)程中的組件加載情況,快速感知資產(chǎn)動(dòng)態(tài),全面有效獲知供應(yīng)鏈資產(chǎn)信息;自主學(xué)習(xí)流量+應(yīng)用框架,具體來(lái)說(shuō),靖云甲ADR會(huì)通過(guò)插樁對(duì)應(yīng)用內(nèi)部框架定義的API方法以及應(yīng)用流量進(jìn)行API全量采集,同時(shí)利用AI 檢測(cè)引擎請(qǐng)求流量進(jìn)行持續(xù)分析,自動(dòng)分析暴露陳舊、敏感數(shù)據(jù)等關(guān)鍵問(wèn)題。

此外,邊界無(wú)限靖云甲ADR采用“主被動(dòng)結(jié)合”雙重防御機(jī)制,對(duì)外基于RASP能力對(duì)內(nèi)存馬的注入行為進(jìn)行有效防御,對(duì)內(nèi)通過(guò)建立內(nèi)存馬檢測(cè)模型,通過(guò)持續(xù)分析內(nèi)存中存在的惡意代碼,幫助用戶解決掉埋藏內(nèi)存中的“定時(shí)炸彈”。針對(duì)內(nèi)存中潛藏的內(nèi)存馬,靖云甲ADR提供了一鍵清除功能,可以直接將內(nèi)存馬清除,實(shí)現(xiàn)對(duì)內(nèi)存馬威脅的快速處理。靖云甲ADR還可以通過(guò)主動(dòng)攔截+被動(dòng)掃描,有效阻斷內(nèi)存馬的注入;對(duì)已經(jīng)被注入的內(nèi)存馬提供源碼和特征檢測(cè)信息,無(wú)需重啟應(yīng)用即可一鍵清除。另外,靖云甲ADR采用“attach”等方式注入agent,無(wú)需重啟直接更新,以減少對(duì)業(yè)務(wù)運(yùn)行的干擾。

截至目前,邊界無(wú)限已與關(guān)鍵基礎(chǔ)設(shè)施重要行業(yè)和領(lǐng)域的數(shù)十家客戶達(dá)成業(yè)務(wù)合作,相信隨著RASP以及ADR技術(shù)的進(jìn)一步成熟,邊界無(wú)限將幫助各運(yùn)營(yíng)單位構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施整體應(yīng)用防控體系,不斷提升關(guān)鍵信息基礎(chǔ)設(shè)施安全應(yīng)用防護(hù)能力。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )