WAF獨木難支 RASP與ADR將成應(yīng)用安全防護2.0時代新寵

  • 人閱讀
  • 2023-08-03 13:50:54

  • 來源:互聯(lián)網(wǎng)

  • 相關(guān)關(guān)鍵詞

曾幾何時,黑客攻擊大多通過網(wǎng)絡(luò)層進行,但隨著基于網(wǎng)絡(luò)層的基礎(chǔ)安全防護措施趨于嚴密,防火墻、入侵防御、防病毒等安全軟硬件構(gòu)建起了相對完善的防護體系,想再從網(wǎng)絡(luò)層鉆空子的難度增大。如今,黑客攻擊從網(wǎng)絡(luò)層轉(zhuǎn)入Web為主,傳統(tǒng)安全體系越來越捉襟見肘。當前很多政企客戶的安全關(guān)注點就在于應(yīng)用安全,迫切需要針對Web應(yīng)用層提供更新的解決辦法,這是安全業(yè)界新的課題。

應(yīng)用安全不可忽視

隨著新興技術(shù)的快速發(fā)展,網(wǎng)絡(luò)應(yīng)用類別越來越多,應(yīng)用復(fù)雜度也越來越高,單純解決網(wǎng)絡(luò)層的安全已經(jīng)無法防御黑客的新型攻擊,必須高度重視維護關(guān)鍵應(yīng)用的安全。這是因為Web應(yīng)用程序無處不在,在大多數(shù)情況下是公司的核心組件。由于各種原因,它們經(jīng)常獲取、處理、存儲和傳輸敏感數(shù)據(jù)(如機密業(yè)務(wù)信息、員工信息、客戶個人數(shù)據(jù)、財務(wù)信息等)。Web應(yīng)用程序成為網(wǎng)絡(luò)犯罪分子獲取敏感信息,入侵您的組織的最簡單的途徑之一。因此,對于Web應(yīng)用安全的關(guān)注度更加熱切。

隨著越來越多的企業(yè)將核心業(yè)務(wù)系統(tǒng)轉(zhuǎn)移到網(wǎng)絡(luò)上,Web瀏覽器成為業(yè)務(wù)系統(tǒng)的主要入口。在這種背景下,如何保障企業(yè)的應(yīng)用安全,尤其是Web應(yīng)用安全,成為信息安全保障的關(guān)鍵所在。一份來自某國際知名咨詢公司的分析報告指出,在調(diào)查的企業(yè)數(shù)據(jù)中心中,92%的Web應(yīng)用存在安全缺陷,80%存在跨站攻擊的風(fēng)險,而高達62%存在SQL注入漏洞。同時,專門針對應(yīng)用層進行攻擊的手段也日益增多,防范起來越來越困難。值得注意的是,網(wǎng)絡(luò)應(yīng)用之所以不安全,其中一個關(guān)鍵因素是應(yīng)用程序本身的安全性問題,給黑客攻擊留下了可乘之機。

北京邊界無限科技有限公司(邊界無限,BoundaryX)聯(lián)合創(chuàng)始人、CTO王佳寧表示,未來,更多的業(yè)務(wù)將以Web應(yīng)用方式呈現(xiàn),信息安全也必將從以邊界防護為主向應(yīng)用自身安全防護為主過渡,同時眾多政企客戶將加強各個應(yīng)用安全防護產(chǎn)品的聯(lián)防聯(lián)控,形成整體應(yīng)用防護的縱深防御體系。

WAF獨木難支

對Web應(yīng)用的攻擊不曾停止,應(yīng)用安全防護技術(shù)的進化也一直在持續(xù)。從傳統(tǒng)的IPS防火墻,再到WAF(Web應(yīng)用防火墻)的橫空出世,引領(lǐng)技術(shù)趨勢若干年,這一階段可以稱為應(yīng)用安全防護1.0時代。尤其是WAF作為一款成熟的網(wǎng)站防護產(chǎn)品,一度成為企業(yè)為Web應(yīng)用提供安全防護的必備利器。它能夠抵御定向的Web技術(shù)攻擊、部分業(yè)務(wù)邏輯攻擊以及海量肉雞的惡意訪問。通過對Web應(yīng)用的深入解析和檢測, 能夠阻攔SQL注入、跨站腳本攻擊,阻止惡意掃描等常見Web攻擊并提供修補漏洞的能力。

近年來,隨著云計算市場的火熱,WAF有了一種新的接入方式:云部署。通過簡單的DNS記錄變更,將流量引入到云端防護集群,經(jīng)過安全防護檢測后,將安全流量回源到服務(wù)器。相比于硬件WAF,云WAF擁有零部署、零安裝、快速穩(wěn)定等優(yōu)勢,并可將防護能力自動擴展、與云上網(wǎng)站共享、集群彈性擴容、輕松應(yīng)對海量業(yè)務(wù)下的防護。越來越多的企業(yè)開始考慮購買云WAF產(chǎn)品。除了專業(yè)WAF廠商外,目前主要的云供應(yīng)商都通過收購或者研發(fā)豐富了自己的WAF產(chǎn)品,它們與服務(wù)商自己的負載均衡器很好地集成在一起。但根據(jù)最新的調(diào)查報告,WAF產(chǎn)品的有效性和客戶滿意度的表現(xiàn)越來越令人失望。雖然WAF目前是企業(yè)應(yīng)用安全策略的主力產(chǎn)品,但事實是,大多數(shù)企業(yè)都難以充分利用此類產(chǎn)品。

擁有WAF并不意味著應(yīng)用安全防護可以一勞永逸。WAF的優(yōu)點是可以進行流量告警,通常的安裝方式是將WAF串行部署在Web服務(wù)器前端,用于檢測、阻斷異常流量,對全流量進行分析。但是WAF的缺點更讓企業(yè)頭痛,易被繞過、誤報率高、維護成本高、需要不斷更新規(guī)則庫、出現(xiàn)0day不能及時防御等都讓安全部門極為苦惱。

由于傳統(tǒng)WAF基于規(guī)則構(gòu)建安全策略,只要針對Web服務(wù)器、Web應(yīng)用對協(xié)議解析、字符解析、文件名解析、編碼解析以及SQL語法解析的差異進行變形,就可能達到繞過WAF的效果。同時,傳統(tǒng)WAF無法對新型的攻擊進行有效的識別和阻斷。目前市面上大多數(shù)的WAF都是基于規(guī)則匹配的,但規(guī)則的更新往往是滯后于攻擊發(fā)生,例如:0day漏洞攻擊,沒有預(yù)配置的規(guī)則,只能在漏洞披露后,依據(jù)漏洞特征建立防護規(guī)則。此外,傳統(tǒng)WAF對攻擊的識別來自于已經(jīng)設(shè)定好的規(guī)則庫,對于看似“正常”的業(yè)務(wù)邏輯漏洞卻無能為力。例如越權(quán)操作,入侵者可以用低權(quán)限賬號登陸系統(tǒng)后,通過攔截并修改用戶參數(shù),以達到查看或者修改其它權(quán)限賬號的目的,而傳統(tǒng)WAF并不能識別這一看似正常的操作。

可以這么說,WAF代表了應(yīng)用安全防護1.0時代的最高水平,但隨著攻擊手段的不斷更新,應(yīng)用安全防護應(yīng)該具備檢測與響應(yīng)能力,并契合內(nèi)生安全理念,實現(xiàn)應(yīng)用程序的自我防護,尤其是業(yè)務(wù)上云之后。

ADR應(yīng)運而生

隨著企業(yè)深度用云以及云原生應(yīng)用的快速普及,云上復(fù)雜性提升,導(dǎo)致網(wǎng)絡(luò)攻擊面倍增,也伴生出新的安全風(fēng)險。既然WAF在防護范圍和防護能力上存在局限,難以應(yīng)對復(fù)雜的網(wǎng)絡(luò)攻擊形勢,于是很多廠商極力倡導(dǎo)WAAP成為革新必然。WAAP核心功能包括Web應(yīng)用防火墻、API保護、Bot防護和七層DDoS攻擊防護,進一步擴展了云上應(yīng)用安全防護范圍和安全深度。但WAAP目前仍存在一個很大的問題,那就是Web應(yīng)用防護仍主要依靠邊界防護手段,并未形成應(yīng)用的自我防護機制。

大家對WAF、Bot防護、DDoS攻擊防護已經(jīng)比較熟悉,在此不多贅述。以API防護為例,隨著API廣泛應(yīng)用于各個在線業(yè)務(wù),涉及交易、賬號敏感相關(guān)的環(huán)節(jié)都備受灰黑產(chǎn)關(guān)注,在線業(yè)務(wù)欺詐風(fēng)險驟升。黑灰產(chǎn)已高度成熟,通過大量自動化、流程化的方式進行業(yè)務(wù)欺詐,并貫穿于整個在線業(yè)務(wù)場景。在注冊、登錄、營銷場景下,自動化攻擊占比均在50%以上。絕大多數(shù)企業(yè)對自身API資產(chǎn)現(xiàn)狀不清,大量僵尸API、影子API存在,使敏感數(shù)據(jù)暴露在API之上,給攻擊者留下了突破口。同時API沒有上下文,攻擊成本較低,攻擊者通過簡單的網(wǎng)絡(luò)請求即可獲取數(shù)據(jù)或者進行攻擊。但目前,廣大客戶的API防護還是依靠API網(wǎng)關(guān)等設(shè)備,并未真正解決API防護的“最后一公里”問題。

那如何從應(yīng)用自身加強防護,從而跟邊界防護產(chǎn)品形成互動與聯(lián)防,真正做到內(nèi)外兼顧,縱深防御呢?Gartner引領(lǐng)的關(guān)鍵技術(shù)趨勢可以給我們一定的借鑒意義。早在2014年,Gartner引入了“RASP-Runtime application self-protection”這一概念,它是一種新型應(yīng)用安全保護技術(shù),它將保護程序像“免疫血清”一樣注入到應(yīng)用程序中,與應(yīng)用程序融為一體,能實時檢測和阻斷安全攻擊,使應(yīng)用程序具備自我保護能力。Log4j2等“核彈級漏洞”的爆發(fā),使RASP技術(shù)迅速升溫,填補了市場在應(yīng)用層防護的空白,但技術(shù)的演進并未停止。

2022年12月,在國內(nèi)知名安全咨詢公司數(shù)世咨詢發(fā)布的行業(yè)首份《ADR能力白皮書》中首次提出ADR這一新賽道,通過系統(tǒng)研究ADR的關(guān)鍵能力以及使用場景等,為廣大政企客戶構(gòu)建整體應(yīng)用防護體系提供參考和借鑒。ADR類產(chǎn)品基于RASP,并在其基礎(chǔ)上增加了開源風(fēng)險治理、API資產(chǎn)梳理(可以從應(yīng)用內(nèi)部洞悉全量API資產(chǎn))、中間件基線、應(yīng)用基線等持續(xù)檢測和環(huán)境安全功能,可以視作RASP2.0,并可與WAF等傳統(tǒng)安全產(chǎn)品形成縱深防御體系,達到應(yīng)用安全“內(nèi)外兼顧”的效果。這代表了應(yīng)用安全防護的最新趨勢,將應(yīng)用安全由之前以邊界防護為主的1.0時代提升至內(nèi)外結(jié)合、持續(xù)檢測與響應(yīng)的2.0時代,打造了應(yīng)用安全防護的新范式。

靖云甲ADR獨領(lǐng)風(fēng)騷

當前,安全行業(yè)需要革新安全理念、技術(shù)和模式,將人工智能、云原生等新技術(shù)應(yīng)用到網(wǎng)絡(luò)安全防護中,實現(xiàn)對網(wǎng)絡(luò)威脅的預(yù)先研判、智能防護和自動抵御,有效提升安全威脅檢測、應(yīng)急處置和追蹤溯源能力,實現(xiàn)從事后補救到安全前置,從局部分割到全面防護,從被動安全到主動安全的轉(zhuǎn)變,以便構(gòu)筑起主動、智能、全面的應(yīng)用安全防護體系。結(jié)合敏銳的市場洞察力以及多年的攻防經(jīng)驗積淀,邊界無限基于RASP和云原生技術(shù)推出了靖云甲ADR應(yīng)用安全檢測與響應(yīng)系統(tǒng)。

邊界無限靖云甲ADR基于RASP技術(shù),以云原生為場景,以數(shù)據(jù)鏈路為核心,以流量安全、API安全和數(shù)據(jù)安全作為安全能力切入點,引入多項前瞻性的技術(shù)理念,通過對應(yīng)用風(fēng)險的持續(xù)檢測和安全風(fēng)險快速響應(yīng),幫助企業(yè)應(yīng)對來自業(yè)務(wù)增長、技術(shù)革新和基礎(chǔ)設(shè)施環(huán)境變化所產(chǎn)生的等諸多應(yīng)用安全新挑戰(zhàn)。

在流量安全方面,靖云甲ADR基于網(wǎng)格化流量采集,通過聯(lián)動應(yīng)用端點數(shù)據(jù)、應(yīng)用訪問數(shù)據(jù),高效準確防御0day漏洞利用、內(nèi)存馬注入等各類安全威脅;在數(shù)據(jù)安全方面通過數(shù)據(jù)審計、治理、脫敏等安全技術(shù),有效實現(xiàn)數(shù)據(jù)安全風(fēng)險態(tài)勢的把控。在為企業(yè)提供全面的應(yīng)用安全保障的同時,靖云甲ADR通過虛擬補丁、漏洞威脅情報、訪問控制等運營處置手段,有效提高安全運營的事件處置效率。這順應(yīng)了時下流行的安全技術(shù)趨勢,也滿足了廣大政企客戶的現(xiàn)實安全需求。

靖云甲ADR擁有精準細化的資產(chǎn)清點、緊跟形式的安全研究、海量可靠的漏洞運營、輕量無感的性能損耗等優(yōu)點,尤其是在應(yīng)用資產(chǎn)管理、供應(yīng)鏈安全、API資產(chǎn)學(xué)習(xí)層面,其表現(xiàn)優(yōu)異。靖云甲ADR跨IT架構(gòu)統(tǒng)計應(yīng)用資產(chǎn),實現(xiàn)安全能力同步管控,為應(yīng)用提供安全風(fēng)險評估;動態(tài)采集應(yīng)用運行過程中的組件加載情況,快速感知資產(chǎn)動態(tài),全面有效獲知供應(yīng)鏈資產(chǎn)信息;自主學(xué)習(xí)流量加應(yīng)用框架,具體來說,靖云甲ADR會通過插樁對應(yīng)用內(nèi)部框架定義的API方法以及應(yīng)用流量進行API全量采集,同時利用AI檢測引擎請求流量進行持續(xù)分析,自動分析暴露陳舊、敏感數(shù)據(jù)等關(guān)鍵問題。

靖云甲ADR的技術(shù)領(lǐng)先優(yōu)勢已經(jīng)被業(yè)界廣泛認可。在客戶層面,廣大政企客戶均加大了對RASP技術(shù)的研究和引進力度,其中金融行業(yè)匹馬當先,運營商、能源電力、大型央企及互聯(lián)網(wǎng)企業(yè)等也在迅速跟進。在國產(chǎn)化層面,邊界無限靖云甲ADR也取得了不錯的進展,已經(jīng)相繼完成在銀河麒麟和兆芯、龍芯、鯤鵬等CPU環(huán)境下的交叉測試,均可穩(wěn)定高效運行。在國產(chǎn)中間件領(lǐng)域,靖云甲ADR已經(jīng)相繼完成了針對寶藍德BES以及東方通Tongweb的兼容性測試,各項功能及防護能力均可穩(wěn)定高效運行。

邊界無限憑借靖云甲ADR在國際領(lǐng)先的IT市場研究和咨詢公司IDC發(fā)布的《IDC Innovators:中國云原生安全技術(shù),2023》報告中獲得云原生安全技術(shù)的創(chuàng)新者稱號;在國內(nèi)知名研究機構(gòu)數(shù)世咨詢發(fā)布的安全行業(yè)首份《ADR能力白皮書》中,成為唯一被推薦的國內(nèi)代表廠商;也是順利通過信通院首批“運行時應(yīng)用程序自我保護(RASP)工具能力評估”認證的廠商。近日,在數(shù)字咨詢舉辦的第三屆數(shù)字安全大會上,邊界無限獲得ADR賽道領(lǐng)航者的稱號。靖云甲ADR的整體實力已經(jīng)受到國內(nèi)外咨詢機構(gòu)的權(quán)威認可,可以說是在行業(yè)內(nèi)獨領(lǐng)風(fēng)騷。

綜合而言,現(xiàn)在國內(nèi)的Web應(yīng)用安全仍在探索和實踐階段。傳統(tǒng)網(wǎng)絡(luò)安全防御體系剛剛完成閉環(huán)的安全周期,明確了以資產(chǎn)為保護核心的理念,而之后向Web應(yīng)用安全轉(zhuǎn)化和發(fā)展是需要一個過程和周期。但黑客對Web應(yīng)用的新型攻擊已經(jīng)兵臨城下,這不僅需要廣大客戶在Web應(yīng)用安全方面進行大力投入,還要充分了解未來Web應(yīng)用防護的技術(shù)趨勢,在以ADR、WAAP等新技術(shù)加大Web應(yīng)用安全方面防護措施投入的同時,結(jié)合原來的網(wǎng)絡(luò)層安全防御體系,達到更加理想的安全防護效果,將黑客對Web應(yīng)用的攻擊損失減少到最小。

王佳寧表示,傳統(tǒng)邊界防護方案很容易被繞過,應(yīng)用將成為用戶防護的“最后一道防線”,邊界無限引領(lǐng)應(yīng)用安全新趨勢的靖云甲ADR主攻應(yīng)用檢測與響應(yīng),可與WAF形成縱深防御體系,聯(lián)防聯(lián)控,動態(tài)防御,助力廣大客戶建設(shè)縱深防護體系和整體防護體系,從而實現(xiàn)真正的動態(tài)全方位防護,實現(xiàn)關(guān)基業(yè)務(wù)“零關(guān)停”、“少關(guān)停”。未來,邊界無限將持續(xù)加大在應(yīng)用安全和云原生安全上的投入力度,為廣大客戶在云時代的應(yīng)用安全防護升級和云原生安全體系建設(shè)添磚加瓦。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )