邊界無限入選行業(yè)首份ADR報告 比肩國際成唯一獲推薦國內(nèi)廠商

近日，中國數(shù)字產(chǎn)業(yè)領域第三方咨詢機構(gòu)數(shù)世咨詢發(fā)布安全行業(yè)首份《ADR能力白皮書》，通過系統(tǒng)研究ADR的關(guān)鍵能力以及使用場景等，為廣大政企客戶構(gòu)建整體應用防護體系提供參考和借鑒。白皮書還推薦了ADR領域的代表性廠商，作為一家專注于技術(shù)創(chuàng)新突破的安全新銳公司，邊界無限憑借其被喻為應用“免疫血清”的靖云甲ADR成為唯一被推薦的國內(nèi)公司。該ADR能力白皮書在CSA大中華區(qū)組織的CSA研討會上首次發(fā)布。

ADR關(guān)鍵發(fā)現(xiàn)

應用檢測與響應(Application Detection and Response – ADR)是指以Web應用為主要對象，采集應用運行環(huán)境與應用內(nèi)部中用戶輸入、上下文信息、訪問行為等流量數(shù)據(jù)并上傳至分析管理平臺，輔助威脅情報關(guān)聯(lián)分析后，以自動化策略或人工響應處置安全事件的解決方案。

ADR以Web應用為核心，以RASP為主要安全能力切入點。

作為安全關(guān)鍵基礎設施，ADR能夠與WAF、HDR、IAST等多個安全能力形成有機配合。

ADR 的五大關(guān)鍵技術(shù)能力：探針(Agent)、應用資產(chǎn)發(fā)現(xiàn)、高級威脅檢測、數(shù)據(jù)建模與分析、響應阻斷與修復。

對0day漏洞、無文件攻擊等高級攻擊威脅的檢測與響應已經(jīng)成為ADR的關(guān)鍵能力之一。

ADR廠商將與公有云廠商、各行業(yè)云廠商建立更加深入的合作關(guān)系，逐步加快ADR在各行業(yè)的集中部署。

ADR賽道國內(nèi)外代表企業(yè)

Araali Network

Araali Network 是今年RSAC2022的創(chuàng)新沙盒10強，關(guān)注云原生場景下的應用運行時安全。其安全理念、技術(shù)框架、產(chǎn)品功能與本文提出的ADR十分相符。

舉例來說，Araali首先會對應用的運行時環(huán)境進行持續(xù)掃描監(jiān)測，以評估固有風險并確定其優(yōu)先級。它會自動檢測最易受攻擊的應用程序、最有價值的應用程序，它還會查找具有過多特權(quán)、未使用的開放端口、磁盤上的密鑰、特權(quán)過高的IAM配置，以分析潛在的攻擊暴露面，逐步形成應用的安全運行基線。

在“檢測”環(huán)節(jié)，Araali使用基于eBPF的控件來創(chuàng)建基于身份的行為模型，對出站的請求進行檢測分析，并與外部威脅情報結(jié)合，在網(wǎng)絡流程層面對惡意連接進行分析阻斷。一旦發(fā)現(xiàn)可疑行為，Araali會將時間、客戶端、服務、狀態(tài)等完整上下文信息一同推送給安全運營團隊，功能上甚至允許運營團隊“重放”觸發(fā)告警的行為動作，方便團隊參考上下文順序進行進一步關(guān)聯(lián)分析。

在后續(xù)的“響應”部分，運營團隊除了對事件中的單點威脅進行阻斷外，還通過自動化、自適應的“彈性補丁”對風險點進行加固修復。這一部分能力，也是通過eBPF來實現(xiàn)。

基于上述能力，Araali實現(xiàn)了對0day漏洞的預防護。彈性補丁可以直接鞏固強化應用的行為，從而防止?jié)撛诘睦?day入侵的威脅。官方宣稱“一次響應，永久預防”。

針對0day等高級威脅的檢測能力，以及不中斷業(yè)務、彈性補丁等貼合用戶實際需求的優(yōu)勢，是數(shù)世咨詢將 Araali 列入代表企業(yè)的原因。

Reveal Security

同數(shù)世咨詢一樣，Reveal Security也明確提出了ADR應用檢測與響應的理念

它認為，網(wǎng)絡、終端、操作系統(tǒng)以及用戶行為等維度，均已經(jīng)有成型的安全檢測與響應技術(shù)，但在應用層仍缺少有效的檢測與響應手段，ADR應需而生。

Reveal 的核心技術(shù)理念，以分析用戶訪問應用的行為上下文為出發(fā)點，代替基于規(guī)則的應用安全檢測，目的是提升應用檢測的準確率，為之后的響應環(huán)節(jié)提供高效支撐。

在實現(xiàn)上，它放棄了之前只分析某個行為本身的做法，改為分析用戶在應用中的一系列行為。通過行為上下文，找出不同于正常訪問行為的異常特征session，進而發(fā)現(xiàn)潛在威脅。

Reveal強調(diào)并非要找到一個適用于所有用戶的通用性行為，而是要通過機器學習形成針對每個用戶的行為基線，因此，它會盡量多的獲取各類日志信息，以聚類數(shù)據(jù)引擎對各類分組數(shù)據(jù)進行調(diào)度與分析，逐步形成用戶的行為基線，進而發(fā)現(xiàn)異常威脅行為。

據(jù)Reveal宣稱，其檢測模型具有非常廣泛的適應性，不依賴于應用中某個具體的運行環(huán)境。同時它的聚類分析引擎并不需要準確集群數(shù)量的先驗知識，仍能保持準確性。

對應用行為數(shù)據(jù)的聚類分析，是RevealSecurity的亮點優(yōu)勢，也是ADR所需的關(guān)鍵能力之一，這也是數(shù)世咨詢將其列入代表企業(yè)的原因。

邊界無限(BoundaryX)

邊界無限作為國內(nèi)新成立的安全創(chuàng)新企業(yè)，其團隊核心成員來自騰訊玄武實驗室和頭部安全公司，具備很高的攻防起點，因此，0day、內(nèi)存馬等高級威脅檢測場景是其RASP產(chǎn)品的優(yōu)勢之一，據(jù)了解，Log4j、Spring4shell等高危漏洞爆發(fā)時，他們的RASP產(chǎn)品靖云甲都成功檢測并進行了攔截。

基于RASP技術(shù)，憑借攻防基因與技術(shù)優(yōu)勢，邊界無限完善了應用運行時全流程全周期的安全防護能力，加入了多場景業(yè)務適配、虛擬補丁、編排模式等檢測與響應能力。依托這些能力，用戶可以快速聚焦攻擊者，定位缺陷應用，進而提升團隊的MTTD/MTTR時效。

具體以應用資產(chǎn)盤點能力舉例來說，該能力以實戰(zhàn)攻防演練為主要場景、以攻擊面收斂為主要目的，除了常見的第三方組件庫等應用資產(chǎn)，對應用間的API資產(chǎn)也能夠持續(xù)發(fā)現(xiàn)與管理，對南北向之外的東西向流量，都可以做到覆蓋與識別，進而梳理清楚應用間的訪問關(guān)系。

今年，邊界無限也提出了應用檢測與響應ADR的理念，與數(shù)世咨詢不謀而合。作為國內(nèi)少有的ADR代表企業(yè)之一，數(shù)世咨詢會對其持續(xù)關(guān)注。

邊界無限靖云甲ADR

誠如數(shù)世咨詢ADR能力白皮書中所述，目前國內(nèi)相關(guān)領域企業(yè)數(shù)量并不多，只有個別企業(yè)明確提出了ADR這一概念，而邊界無限就是這么一家將RASP技術(shù)提升至ADR的安全新銳，并憑借超強的技術(shù)前瞻性和對ADR的專注而入選ADR能力白皮書，并且成為國內(nèi)唯一被推薦的ADR代表廠商，其自主研創(chuàng)的靖云甲ADR更是被業(yè)界稱為應用的“免疫血清”。

邊界無限副總裁、產(chǎn)品總負責人沈思源介紹說，靖云甲ADR基于RASP技術(shù)，以Web應用為核心，以RASP為主要安全能力切入點，打造Web應用全方位安全檢測與響應的解決方案，是邊界無限幫助用戶構(gòu)建云原生時代安全基礎設施體系的起點和戰(zhàn)略支點，更是“靈動智御”理念的實踐。靖云甲ADR引入多項前瞻性的技術(shù)理念，通過對應用風險的持續(xù)檢測和安全風險快速響應，幫助企業(yè)應對來自業(yè)務增長、技術(shù)革新和基礎設施環(huán)境變化所產(chǎn)生的等諸多應用安全新挑戰(zhàn)。

邊界無限靖云甲ADR擁有資產(chǎn)管理、入侵檢測、漏洞管理和內(nèi)存馬防御等核心功能，具備免重啟、采樣決策分離、IT部署架構(gòu)、性能全面領先等核心優(yōu)勢，其應用場景為業(yè)務在線修復、實戰(zhàn)攻防演練、惡意應用攻擊和集團應用安全建設能力等。

具體來說，在流量安全層面，邊界無限靖云甲ADR基于網(wǎng)格化流量采集，通過聯(lián)動應用端點數(shù)據(jù)、應用訪問數(shù)據(jù)，高效準確防御0day漏洞利用、內(nèi)存馬注入等各類安全威脅;在數(shù)據(jù)安全方面通過數(shù)據(jù)審計、治理、脫敏等安全技術(shù)，有效實現(xiàn)數(shù)據(jù)安全風險態(tài)勢的把控。在為企業(yè)提供全面的應用安全保障的同時，ADR通過虛擬補丁、漏洞威脅情報、訪問控制等運營處置手段，有效提高安全運營的事件處置效率。這順應了時下流行的安全技術(shù)趨勢，也滿足了廣大政企客戶的現(xiàn)實安全需求。

邊界無限靖云甲ADR擁有精準細化的資產(chǎn)清點、緊跟形式的安全研究、海量可靠的漏洞運營、輕量無感的性能損耗等優(yōu)點，尤其是在應用資產(chǎn)管理、供應鏈安全、API資產(chǎn)學習層面，表現(xiàn)優(yōu)異。靖云甲ADR跨IT架構(gòu)統(tǒng)計應用資產(chǎn)，實現(xiàn)安全能力同步管控，為應用提供安全風險評估;動態(tài)采集應用運行過程中的組件加載情況，快速感知資產(chǎn)動態(tài)，全面有效獲知供應鏈資產(chǎn)信息;自主學習流量+應用框架，具體來說，靖云甲ADR會通過插樁對應用內(nèi)部框架定義的API方法以及應用流量進行API全量采集，同時利用AI 檢測引擎請求流量進行持續(xù)分析，自動分析暴露陳舊、敏感數(shù)據(jù)等關(guān)鍵問題。

此外，邊界無限靖云甲ADR采用“主被動結(jié)合”雙重防御機制，對外基于RASP能力對內(nèi)存馬的注入行為進行有效防御，對內(nèi)通過建立內(nèi)存馬檢測模型，通過持續(xù)分析內(nèi)存中存在的惡意代碼，幫助用戶解決掉埋藏內(nèi)存中的“定時炸彈”。針對內(nèi)存中潛藏的內(nèi)存馬，靖云甲ADR提供了一鍵清除功能，可以直接將內(nèi)存馬清除，實現(xiàn)對內(nèi)存馬威脅的快速處理。靖云甲ADR還可以通過主動攔截+被動掃描，有效阻斷內(nèi)存馬的注入;對已經(jīng)被注入的內(nèi)存馬提供源碼和特征檢測信息，無需重啟應用即可一鍵清除。另外，靖云甲ADR采用“attach”等方式注入agent，無需重啟直接更新，以減少對業(yè)務運行的干擾。

截至目前，邊界無限已與關(guān)鍵基礎設施重要行業(yè)和領域的數(shù)十家客戶達成業(yè)務合作，相信隨著RASP以及ADR技術(shù)的進一步成熟，邊界無限將幫助各運營單位構(gòu)建關(guān)鍵信息基礎設施整體應用防控體系，不斷提升關(guān)鍵信息基礎設施安全應用防護能力。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）