WAF獨(dú)木難支 RASP與ADR將成應(yīng)用安全防護(hù)2.0時(shí)代新寵

曾幾何時(shí),黑客攻擊大多通過網(wǎng)絡(luò)層進(jìn)行,但隨著基于網(wǎng)絡(luò)層的基礎(chǔ)安全防護(hù)措施趨于嚴(yán)密,防火墻、入侵防御、防病毒等安全軟硬件構(gòu)建起了相對(duì)完善的防護(hù)體系,想再從網(wǎng)絡(luò)層鉆空子的難度增大。如今,黑客攻擊從網(wǎng)絡(luò)層轉(zhuǎn)入Web為主,傳統(tǒng)安全體系越來越捉襟見肘。當(dāng)前很多政企客戶的安全關(guān)注點(diǎn)就在于應(yīng)用安全,迫切需要針對(duì)Web應(yīng)用層提供更新的解決辦法,這是安全業(yè)界新的課題。

應(yīng)用安全不可忽視

隨著新興技術(shù)的快速發(fā)展,網(wǎng)絡(luò)應(yīng)用類別越來越多,應(yīng)用復(fù)雜度也越來越高,單純解決網(wǎng)絡(luò)層的安全已經(jīng)無法防御黑客的新型攻擊,必須高度重視維護(hù)關(guān)鍵應(yīng)用的安全。這是因?yàn)閃eb應(yīng)用程序無處不在,在大多數(shù)情況下是公司的核心組件。由于各種原因,它們經(jīng)常獲取、處理、存儲(chǔ)和傳輸敏感數(shù)據(jù)(如機(jī)密業(yè)務(wù)信息、員工信息、客戶個(gè)人數(shù)據(jù)、財(cái)務(wù)信息等)。Web應(yīng)用程序成為網(wǎng)絡(luò)犯罪分子獲取敏感信息,入侵您的組織的最簡(jiǎn)單的途徑之一。因此,對(duì)于Web應(yīng)用安全的關(guān)注度更加熱切。

隨著越來越多的企業(yè)將核心業(yè)務(wù)系統(tǒng)轉(zhuǎn)移到網(wǎng)絡(luò)上,Web瀏覽器成為業(yè)務(wù)系統(tǒng)的主要入口。在這種背景下,如何保障企業(yè)的應(yīng)用安全,尤其是Web應(yīng)用安全,成為信息安全保障的關(guān)鍵所在。一份來自某國(guó)際知名咨詢公司的分析報(bào)告指出,在調(diào)查的企業(yè)數(shù)據(jù)中心中,92%的Web應(yīng)用存在安全缺陷,80%存在跨站攻擊的風(fēng)險(xiǎn),而高達(dá)62%存在SQL注入漏洞。同時(shí),專門針對(duì)應(yīng)用層進(jìn)行攻擊的手段也日益增多,防范起來越來越困難。值得注意的是,網(wǎng)絡(luò)應(yīng)用之所以不安全,其中一個(gè)關(guān)鍵因素是應(yīng)用程序本身的安全性問題,給黑客攻擊留下了可乘之機(jī)。

北京邊界無限科技有限公司(邊界無限,BoundaryX)聯(lián)合創(chuàng)始人、CTO王佳寧表示,未來,更多的業(yè)務(wù)將以Web應(yīng)用方式呈現(xiàn),信息安全也必將從以邊界防護(hù)為主向應(yīng)用自身安全防護(hù)為主過渡,同時(shí)眾多政企客戶將加強(qiáng)各個(gè)應(yīng)用安全防護(hù)產(chǎn)品的聯(lián)防聯(lián)控,形成整體應(yīng)用防護(hù)的縱深防御體系。

WAF獨(dú)木難支

對(duì)Web應(yīng)用的攻擊不曾停止,應(yīng)用安全防護(hù)技術(shù)的進(jìn)化也一直在持續(xù)。從傳統(tǒng)的IPS防火墻,再到WAF(Web應(yīng)用防火墻)的橫空出世,引領(lǐng)技術(shù)趨勢(shì)若干年,這一階段可以稱為應(yīng)用安全防護(hù)1.0時(shí)代。尤其是WAF作為一款成熟的網(wǎng)站防護(hù)產(chǎn)品,一度成為企業(yè)為Web應(yīng)用提供安全防護(hù)的必備利器。它能夠抵御定向的Web技術(shù)攻擊、部分業(yè)務(wù)邏輯攻擊以及海量肉雞的惡意訪問。通過對(duì)Web應(yīng)用的深入解析和檢測(cè), 能夠阻攔SQL注入、跨站腳本攻擊,阻止惡意掃描等常見Web攻擊并提供修補(bǔ)漏洞的能力。

近年來,隨著云計(jì)算市場(chǎng)的火熱,WAF有了一種新的接入方式:云部署。通過簡(jiǎn)單的DNS記錄變更,將流量引入到云端防護(hù)集群,經(jīng)過安全防護(hù)檢測(cè)后,將安全流量回源到服務(wù)器。相比于硬件WAF,云WAF擁有零部署、零安裝、快速穩(wěn)定等優(yōu)勢(shì),并可將防護(hù)能力自動(dòng)擴(kuò)展、與云上網(wǎng)站共享、集群彈性擴(kuò)容、輕松應(yīng)對(duì)海量業(yè)務(wù)下的防護(hù)。越來越多的企業(yè)開始考慮購買云WAF產(chǎn)品。除了專業(yè)WAF廠商外,目前主要的云供應(yīng)商都通過收購或者研發(fā)豐富了自己的WAF產(chǎn)品,它們與服務(wù)商自己的負(fù)載均衡器很好地集成在一起。但根據(jù)最新的調(diào)查報(bào)告,WAF產(chǎn)品的有效性和客戶滿意度的表現(xiàn)越來越令人失望。雖然WAF目前是企業(yè)應(yīng)用安全策略的主力產(chǎn)品,但事實(shí)是,大多數(shù)企業(yè)都難以充分利用此類產(chǎn)品。

擁有WAF并不意味著應(yīng)用安全防護(hù)可以一勞永逸。WAF的優(yōu)點(diǎn)是可以進(jìn)行流量告警,通常的安裝方式是將WAF串行部署在Web服務(wù)器前端,用于檢測(cè)、阻斷異常流量,對(duì)全流量進(jìn)行分析。但是WAF的缺點(diǎn)更讓企業(yè)頭痛,易被繞過、誤報(bào)率高、維護(hù)成本高、需要不斷更新規(guī)則庫、出現(xiàn)0day不能及時(shí)防御等都讓安全部門極為苦惱。

由于傳統(tǒng)WAF基于規(guī)則構(gòu)建安全策略,只要針對(duì)Web服務(wù)器、Web應(yīng)用對(duì)協(xié)議解析、字符解析、文件名解析、編碼解析以及SQL語法解析的差異進(jìn)行變形,就可能達(dá)到繞過WAF的效果。同時(shí),傳統(tǒng)WAF無法對(duì)新型的攻擊進(jìn)行有效的識(shí)別和阻斷。目前市面上大多數(shù)的WAF都是基于規(guī)則匹配的,但規(guī)則的更新往往是滯后于攻擊發(fā)生,例如:0day漏洞攻擊,沒有預(yù)配置的規(guī)則,只能在漏洞披露后,依據(jù)漏洞特征建立防護(hù)規(guī)則。此外,傳統(tǒng)WAF對(duì)攻擊的識(shí)別來自于已經(jīng)設(shè)定好的規(guī)則庫,對(duì)于看似“正常”的業(yè)務(wù)邏輯漏洞卻無能為力。例如越權(quán)操作,入侵者可以用低權(quán)限賬號(hào)登陸系統(tǒng)后,通過攔截并修改用戶參數(shù),以達(dá)到查看或者修改其它權(quán)限賬號(hào)的目的,而傳統(tǒng)WAF并不能識(shí)別這一看似正常的操作。

可以這么說,WAF代表了應(yīng)用安全防護(hù)1.0時(shí)代的最高水平,但隨著攻擊手段的不斷更新,應(yīng)用安全防護(hù)應(yīng)該具備檢測(cè)與響應(yīng)能力,并契合內(nèi)生安全理念,實(shí)現(xiàn)應(yīng)用程序的自我防護(hù),尤其是業(yè)務(wù)上云之后。

ADR應(yīng)運(yùn)而生

隨著企業(yè)深度用云以及云原生應(yīng)用的快速普及,云上復(fù)雜性提升,導(dǎo)致網(wǎng)絡(luò)攻擊面倍增,也伴生出新的安全風(fēng)險(xiǎn)。既然WAF在防護(hù)范圍和防護(hù)能力上存在局限,難以應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)攻擊形勢(shì),于是很多廠商極力倡導(dǎo)WAAP成為革新必然。WAAP核心功能包括Web應(yīng)用防火墻、API保護(hù)、Bot防護(hù)和七層DDoS攻擊防護(hù),進(jìn)一步擴(kuò)展了云上應(yīng)用安全防護(hù)范圍和安全深度。但WAAP目前仍存在一個(gè)很大的問題,那就是Web應(yīng)用防護(hù)仍主要依靠邊界防護(hù)手段,并未形成應(yīng)用的自我防護(hù)機(jī)制。

大家對(duì)WAF、Bot防護(hù)、DDoS攻擊防護(hù)已經(jīng)比較熟悉,在此不多贅述。以API防護(hù)為例,隨著API廣泛應(yīng)用于各個(gè)在線業(yè)務(wù),涉及交易、賬號(hào)敏感相關(guān)的環(huán)節(jié)都備受灰黑產(chǎn)關(guān)注,在線業(yè)務(wù)欺詐風(fēng)險(xiǎn)驟升。黑灰產(chǎn)已高度成熟,通過大量自動(dòng)化、流程化的方式進(jìn)行業(yè)務(wù)欺詐,并貫穿于整個(gè)在線業(yè)務(wù)場(chǎng)景。在注冊(cè)、登錄、營(yíng)銷場(chǎng)景下,自動(dòng)化攻擊占比均在50%以上。絕大多數(shù)企業(yè)對(duì)自身API資產(chǎn)現(xiàn)狀不清,大量僵尸API、影子API存在,使敏感數(shù)據(jù)暴露在API之上,給攻擊者留下了突破口。同時(shí)API沒有上下文,攻擊成本較低,攻擊者通過簡(jiǎn)單的網(wǎng)絡(luò)請(qǐng)求即可獲取數(shù)據(jù)或者進(jìn)行攻擊。但目前,廣大客戶的API防護(hù)還是依靠API網(wǎng)關(guān)等設(shè)備,并未真正解決API防護(hù)的“最后一公里”問題。

那如何從應(yīng)用自身加強(qiáng)防護(hù),從而跟邊界防護(hù)產(chǎn)品形成互動(dòng)與聯(lián)防,真正做到內(nèi)外兼顧,縱深防御呢?Gartner引領(lǐng)的關(guān)鍵技術(shù)趨勢(shì)可以給我們一定的借鑒意義。早在2014年,Gartner引入了“RASP-Runtime application self-protection”這一概念,它是一種新型應(yīng)用安全保護(hù)技術(shù),它將保護(hù)程序像“免疫血清”一樣注入到應(yīng)用程序中,與應(yīng)用程序融為一體,能實(shí)時(shí)檢測(cè)和阻斷安全攻擊,使應(yīng)用程序具備自我保護(hù)能力。Log4j2等“核彈級(jí)漏洞”的爆發(fā),使RASP技術(shù)迅速升溫,填補(bǔ)了市場(chǎng)在應(yīng)用層防護(hù)的空白,但技術(shù)的演進(jìn)并未停止。

2022年12月,在國(guó)內(nèi)知名安全咨詢公司數(shù)世咨詢發(fā)布的行業(yè)首份《ADR能力白皮書》中首次提出ADR這一新賽道,通過系統(tǒng)研究ADR的關(guān)鍵能力以及使用場(chǎng)景等,為廣大政企客戶構(gòu)建整體應(yīng)用防護(hù)體系提供參考和借鑒。ADR類產(chǎn)品基于RASP,并在其基礎(chǔ)上增加了開源風(fēng)險(xiǎn)治理、API資產(chǎn)梳理(可以從應(yīng)用內(nèi)部洞悉全量API資產(chǎn))、中間件基線、應(yīng)用基線等持續(xù)檢測(cè)和環(huán)境安全功能,可以視作RASP2.0,并可與WAF等傳統(tǒng)安全產(chǎn)品形成縱深防御體系,達(dá)到應(yīng)用安全“內(nèi)外兼顧”的效果。這代表了應(yīng)用安全防護(hù)的最新趨勢(shì),將應(yīng)用安全由之前以邊界防護(hù)為主的1.0時(shí)代提升至內(nèi)外結(jié)合、持續(xù)檢測(cè)與響應(yīng)的2.0時(shí)代,打造了應(yīng)用安全防護(hù)的新范式。

靖云甲ADR獨(dú)領(lǐng)風(fēng)騷

當(dāng)前,安全行業(yè)需要革新安全理念、技術(shù)和模式,將人工智能、云原生等新技術(shù)應(yīng)用到網(wǎng)絡(luò)安全防護(hù)中,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)威脅的預(yù)先研判、智能防護(hù)和自動(dòng)抵御,有效提升安全威脅檢測(cè)、應(yīng)急處置和追蹤溯源能力,實(shí)現(xiàn)從事后補(bǔ)救到安全前置,從局部分割到全面防護(hù),從被動(dòng)安全到主動(dòng)安全的轉(zhuǎn)變,以便構(gòu)筑起主動(dòng)、智能、全面的應(yīng)用安全防護(hù)體系。結(jié)合敏銳的市場(chǎng)洞察力以及多年的攻防經(jīng)驗(yàn)積淀,邊界無限基于RASP和云原生技術(shù)推出了靖云甲ADR應(yīng)用安全檢測(cè)與響應(yīng)系統(tǒng)。

邊界無限靖云甲ADR基于RASP技術(shù),以云原生為場(chǎng)景,以數(shù)據(jù)鏈路為核心,以流量安全、API安全和數(shù)據(jù)安全作為安全能力切入點(diǎn),引入多項(xiàng)前瞻性的技術(shù)理念,通過對(duì)應(yīng)用風(fēng)險(xiǎn)的持續(xù)檢測(cè)和安全風(fēng)險(xiǎn)快速響應(yīng),幫助企業(yè)應(yīng)對(duì)來自業(yè)務(wù)增長(zhǎng)、技術(shù)革新和基礎(chǔ)設(shè)施環(huán)境變化所產(chǎn)生的等諸多應(yīng)用安全新挑戰(zhàn)。

在流量安全方面,靖云甲ADR基于網(wǎng)格化流量采集,通過聯(lián)動(dòng)應(yīng)用端點(diǎn)數(shù)據(jù)、應(yīng)用訪問數(shù)據(jù),高效準(zhǔn)確防御0day漏洞利用、內(nèi)存馬注入等各類安全威脅;在數(shù)據(jù)安全方面通過數(shù)據(jù)審計(jì)、治理、脫敏等安全技術(shù),有效實(shí)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)態(tài)勢(shì)的把控。在為企業(yè)提供全面的應(yīng)用安全保障的同時(shí),靖云甲ADR通過虛擬補(bǔ)丁、漏洞威脅情報(bào)、訪問控制等運(yùn)營(yíng)處置手段,有效提高安全運(yùn)營(yíng)的事件處置效率。這順應(yīng)了時(shí)下流行的安全技術(shù)趨勢(shì),也滿足了廣大政企客戶的現(xiàn)實(shí)安全需求。

靖云甲ADR擁有精準(zhǔn)細(xì)化的資產(chǎn)清點(diǎn)、緊跟形式的安全研究、海量可靠的漏洞運(yùn)營(yíng)、輕量無感的性能損耗等優(yōu)點(diǎn),尤其是在應(yīng)用資產(chǎn)管理、供應(yīng)鏈安全、API資產(chǎn)學(xué)習(xí)層面,其表現(xiàn)優(yōu)異。靖云甲ADR跨IT架構(gòu)統(tǒng)計(jì)應(yīng)用資產(chǎn),實(shí)現(xiàn)安全能力同步管控,為應(yīng)用提供安全風(fēng)險(xiǎn)評(píng)估;動(dòng)態(tài)采集應(yīng)用運(yùn)行過程中的組件加載情況,快速感知資產(chǎn)動(dòng)態(tài),全面有效獲知供應(yīng)鏈資產(chǎn)信息;自主學(xué)習(xí)流量加應(yīng)用框架,具體來說,靖云甲ADR會(huì)通過插樁對(duì)應(yīng)用內(nèi)部框架定義的API方法以及應(yīng)用流量進(jìn)行API全量采集,同時(shí)利用AI檢測(cè)引擎請(qǐng)求流量進(jìn)行持續(xù)分析,自動(dòng)分析暴露陳舊、敏感數(shù)據(jù)等關(guān)鍵問題。

靖云甲ADR的技術(shù)領(lǐng)先優(yōu)勢(shì)已經(jīng)被業(yè)界廣泛認(rèn)可。在客戶層面,廣大政企客戶均加大了對(duì)RASP技術(shù)的研究和引進(jìn)力度,其中金融行業(yè)匹馬當(dāng)先,運(yùn)營(yíng)商、能源電力、大型央企及互聯(lián)網(wǎng)企業(yè)等也在迅速跟進(jìn)。在國(guó)產(chǎn)化層面,邊界無限靖云甲ADR也取得了不錯(cuò)的進(jìn)展,已經(jīng)相繼完成在銀河麒麟和兆芯、龍芯、鯤鵬等CPU環(huán)境下的交叉測(cè)試,均可穩(wěn)定高效運(yùn)行。在國(guó)產(chǎn)中間件領(lǐng)域,靖云甲ADR已經(jīng)相繼完成了針對(duì)寶藍(lán)德BES以及東方通Tongweb的兼容性測(cè)試,各項(xiàng)功能及防護(hù)能力均可穩(wěn)定高效運(yùn)行。

邊界無限憑借靖云甲ADR在國(guó)際領(lǐng)先的IT市場(chǎng)研究和咨詢公司IDC發(fā)布的《IDC Innovators:中國(guó)云原生安全技術(shù),2023》報(bào)告中獲得云原生安全技術(shù)的創(chuàng)新者稱號(hào);在國(guó)內(nèi)知名研究機(jī)構(gòu)數(shù)世咨詢發(fā)布的安全行業(yè)首份《ADR能力白皮書》中,成為唯一被推薦的國(guó)內(nèi)代表廠商;也是順利通過信通院首批“運(yùn)行時(shí)應(yīng)用程序自我保護(hù)(RASP)工具能力評(píng)估”認(rèn)證的廠商。近日,在數(shù)字咨詢舉辦的第三屆數(shù)字安全大會(huì)上,邊界無限獲得ADR賽道領(lǐng)航者的稱號(hào)。靖云甲ADR的整體實(shí)力已經(jīng)受到國(guó)內(nèi)外咨詢機(jī)構(gòu)的權(quán)威認(rèn)可,可以說是在行業(yè)內(nèi)獨(dú)領(lǐng)風(fēng)騷。

綜合而言,現(xiàn)在國(guó)內(nèi)的Web應(yīng)用安全仍在探索和實(shí)踐階段。傳統(tǒng)網(wǎng)絡(luò)安全防御體系剛剛完成閉環(huán)的安全周期,明確了以資產(chǎn)為保護(hù)核心的理念,而之后向Web應(yīng)用安全轉(zhuǎn)化和發(fā)展是需要一個(gè)過程和周期。但黑客對(duì)Web應(yīng)用的新型攻擊已經(jīng)兵臨城下,這不僅需要廣大客戶在Web應(yīng)用安全方面進(jìn)行大力投入,還要充分了解未來Web應(yīng)用防護(hù)的技術(shù)趨勢(shì),在以ADR、WAAP等新技術(shù)加大Web應(yīng)用安全方面防護(hù)措施投入的同時(shí),結(jié)合原來的網(wǎng)絡(luò)層安全防御體系,達(dá)到更加理想的安全防護(hù)效果,將黑客對(duì)Web應(yīng)用的攻擊損失減少到最小。

王佳寧表示,傳統(tǒng)邊界防護(hù)方案很容易被繞過,應(yīng)用將成為用戶防護(hù)的“最后一道防線”,邊界無限引領(lǐng)應(yīng)用安全新趨勢(shì)的靖云甲ADR主攻應(yīng)用檢測(cè)與響應(yīng),可與WAF形成縱深防御體系,聯(lián)防聯(lián)控,動(dòng)態(tài)防御,助力廣大客戶建設(shè)縱深防護(hù)體系和整體防護(hù)體系,從而實(shí)現(xiàn)真正的動(dòng)態(tài)全方位防護(hù),實(shí)現(xiàn)關(guān)基業(yè)務(wù)“零關(guān)停”、“少關(guān)停”。未來,邊界無限將持續(xù)加大在應(yīng)用安全和云原生安全上的投入力度,為廣大客戶在云時(shí)代的應(yīng)用安全防護(hù)升級(jí)和云原生安全體系建設(shè)添磚加瓦。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )