做安全的人應該都對WAF耳熟能詳,也就是我們常說的Web應用防火墻,成為了應用安全防護的明星產(chǎn)品之一。從傳統(tǒng)的防火墻、IDS、IPS,再到WAF橫空出世,引領技術趨勢若干年,這一階段可以稱為應用安全防護1.0時代。作為一款成熟的Web應用防護產(chǎn)品, WAF一度成為企業(yè)為Web應用提供安全防護的必備利器,但技術的演進并未由此停止。
Log4j2等“核彈級漏洞”的爆發(fā),使RASP技術迅速升溫,填補了市場在應用層防護的空白,很多人喜歡把RASP稱為下一代WAF,但實際并不是,RASP更像是WAF的“拍檔”。
時間來到2022年12月,國內(nèi)知名安全咨詢公司數(shù)世咨詢發(fā)布行業(yè)首份《ADR能力白皮書》中首次提出ADR這一新賽道。ADR類產(chǎn)品基于RASP,并在其基礎上增加了開源風險治理、API資產(chǎn)梳理(可以從應用內(nèi)部洞悉全量API資產(chǎn))、中間件基線、應用基線等持續(xù)檢測和環(huán)境安全功能,ADR被視作RASP2.0。
那么,問題來了,RASP并非下一個WAF,在RASP基礎上全面升級的ADR,跟WAF是何種關系?它會取代WAF和RASP,成為廣大政企客戶應用安全防護的“新寵”嗎?這是一個嚴肅的話題。
WAF
WAF的全稱是Web Application Firewall,即Web應用防火墻。國際上公認的一種說法是:Web應用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產(chǎn)品。WAF是集Web防護、網(wǎng)頁保護、負載均衡、應用交付于一體的Web整體安全防護設備。
RASP
RASP的全稱是Runtime Application Self-Protection,即運行時應用自我保護。它是一種應用程序安全保護技術,可以在應用程序運行時檢測和防御各種攻擊,包括代碼注入、SQL注入、跨站點腳本攻擊(XSS)和跨站點請求偽造(CSRF)等。通過注入安全疫苗的方式將防護引擎嵌入到應用內(nèi)部,與應用程序融為一體,使應用程序具備自我防護能力,對0day漏洞、內(nèi)存馬等攻擊實現(xiàn)免疫防護。
ADR
ADR的全稱是Application Detection and Response,即應用檢測與響應。它是以Web應用為主要對象,采集應用運行環(huán)境與應用內(nèi)部中用戶輸入、上下文信息、訪問行為等流量數(shù)據(jù)并上傳至分析管理平臺,輔助威脅情報關聯(lián)分析后,以自動化策略或人工響應處置安全事件的解決方案。ADR以Web應用為核心,以RASP為主要安全能力切入點,通過對應用流量數(shù)據(jù)中潛在威脅的持續(xù)檢測和快速響應,幫助用戶應對來自業(yè)務增長、技術革新和基礎設施環(huán)境變化所產(chǎn)生的諸多應用安全新挑戰(zhàn)。在安全檢測方面,ADR基于網(wǎng)格化的流量采集,通過應用資產(chǎn)數(shù)據(jù)、應用訪問數(shù)據(jù)、上下文信息等,結合外部威脅情報數(shù)據(jù),高效準確檢測0day漏洞利用、內(nèi)存馬注入等各類安全威脅;在安全響應方面,ADR基于場景化的學習模型,實現(xiàn)應用資產(chǎn)的自動發(fā)現(xiàn)與適配,自動生成應用訪問策略,建立可視化的應用訪問基線,發(fā)現(xiàn)安全威脅時,通過虛擬補丁、訪問控制等安全運營處置手段,有效提高事件響應的處置效率。
ADR與WAF有何異同?
ADR和WAF都是用于Web應用安全的防御措施,總體而言,它們有以下幾點區(qū)別。
部署位置不同:WAF在應用程序與客戶端之間部署,可以檢查和過濾所有進出應用程序的網(wǎng)絡流量,而ADR是在應用程序內(nèi)置的模塊中運行,直接監(jiān)控應用程序運行狀態(tài),可以實時檢測漏洞和攻擊。
防御方式不同:WAF主要是通過規(guī)則匹配和過濾來防御攻擊,屬于一種被動的防御方式。而ADR是采用主動防御方式,可以及時檢測惡意行為并攔截攻擊,能夠更好地預防漏洞攻擊。
實現(xiàn)方式不同:WAF可以作為獨立設備,也可以部署在網(wǎng)關、交換機或負載均衡設備上,適用于多種類型的Web應用程序。而ADR需要內(nèi)置在Web應用程序中,為每個應用程序單獨部署。
雖然存在諸多不同,但ADR和WAF也存在一些結合點。例如,可以將ADR作為WAF的一部分,在流量檢測和防御的同時,對應用程序進行實時監(jiān)控和保護。另外,ADR和WAF均可以通過監(jiān)視應用程序的行為和流量,發(fā)現(xiàn)并攔截惡意代碼、SQL注入、跨站點腳本等攻擊。
綜上所述,ADR和WAF都是用于保護Web應用程序的安全防御措施,部署位置和防御方式不同,但可以結合使用來提高Web應用程序的安全性。ADR直接內(nèi)置于應用程序中,可以實時檢測漏洞和攔截攻擊,WAF則部署在應用程序與客戶端之間,通過規(guī)則匹配和過濾來防御攻擊。在整體應用防護場景下,ADR可與WAF結合,實現(xiàn)流量檢測和應用程序保護的雙重防御,從而達到聯(lián)防聯(lián)控、縱深防御的效果。
ADR會取代WAF嗎?
不得不提的是,ADR和WAF存在根本的差異:WAF的目的是發(fā)現(xiàn)可疑的流量,ADR則是發(fā)現(xiàn)具有威脅的行為。近期幾次大的0day漏洞爆發(fā)事件,ADR因其天然優(yōu)勢,在防護未知攻擊方面發(fā)揮了重要的作用,但ADR并不是要取代WAF,兩者是完全不同的技術,各有各的優(yōu)勢。傳統(tǒng)的WAF像是給應用穿上一層盔甲,而ADR作為應用內(nèi)部運行時防護,更像是給應用注射了“免疫血清”,使安全成為應用的內(nèi)生基因,給應用實施全方位保護。
在產(chǎn)品部署方面,首先企業(yè)不應期望于某個安全產(chǎn)品能夠實現(xiàn)所有的安全需求;其次,在選擇一項新的安全產(chǎn)品時,要找準新產(chǎn)品的能力價值,盡量與原有的安全能力互補形成合力,同時避免能力冗余。這就使ADR與WAF的結合成為水到渠成的事情。ADR作為運行時防護,與傳統(tǒng)應用防護、主機防護類產(chǎn)品的定位有明顯的差異,在安全防御系統(tǒng)中,可以與WAF等傳統(tǒng)邊界防護系統(tǒng)組合形成更加體系化的縱深防護能力。
對于已有WAF產(chǎn)品的用戶,采用ADR不但不與WAF重疊,還可以為Web應用訪問增強最后一道安全防線;同樣,與云原生或云計算主機集成,也可以對傳統(tǒng)主機防護能力進行增強。同時,ADR與傳統(tǒng)防護產(chǎn)品的處置方式和部署方式不同,無法與傳統(tǒng)產(chǎn)品統(tǒng)一部署,但在態(tài)勢分析和管理方面可以與其它風險采集系統(tǒng)統(tǒng)籌考慮,實現(xiàn)綜合分析和聯(lián)動處置。此外,為了更順利地應用ADR,建議應用前一般要在測試環(huán)境下驗證,確保沒有影響后再切換到生產(chǎn)環(huán)境;對于沒有驗證環(huán)境的,在安裝過程中要做好回退機制,在安裝失敗時能保證恢復到插樁前的狀態(tài)。特別值得指出的是,很多主機側安全廠商會給客戶灌輸結合HIDS產(chǎn)品“無感”部署RASP或ADR產(chǎn)品的思想,這一思路雖然解決了快速部署的問題,但不經(jīng)過測試環(huán)境的功能性、兼容性以及資源占用等驗證,將給客戶帶來極大的潛在風險。這是因為ADR不同于WAF,部署在應用內(nèi)部,在生產(chǎn)、業(yè)務環(huán)境與應用無縫結合,盲目強推會給業(yè)務帶來巨大的威脅,務必慎重。因此我們建議在測試環(huán)境結合業(yè)務應用對ADR進行充分的功能、性能驗證,并在業(yè)務網(wǎng)、生產(chǎn)網(wǎng)規(guī)模部署之前在邊緣業(yè)務業(yè)務系統(tǒng)進行實網(wǎng)試用,真正保障業(yè)務不受影響的前提下,使ADR能充分匹配、適應不同客戶的不同網(wǎng)絡環(huán)境及業(yè)務邏輯,從而真正契合內(nèi)生安全的理念,在應用內(nèi)部提升自免疫能力。
ADR強于攻防 融合多種安全能力
不能忽視的是,有別于WAF,未來ADR在應對攻防對抗這種場景應用的機會會更多。但是隨著業(yè)務云化和安全左移能力的增強,未來用戶對應用程序的安全防護和應用層數(shù)據(jù)保護的要求會越來越強。同時,也會要求ADR提供更多維度的Detection和Response能力。其次,ADR可以與諸多安全能力在不同場景下形成合力。
與SCA 融合??梢孕纬蛇\行時SCA檢測能力。在應用程序上線后進行應用軟件成分分析,檢測那些開發(fā)環(huán)節(jié)不受控,成分不清晰的構建包、軟件制品。這在一定程度上融合了SCA的能力,但從應用場景看,與開發(fā)階段應用的SCA并不會沖突。尤其是ADR與運行時態(tài)的SCA結合,可以更全面地洞悉應用調(diào)用了哪些組件庫,并且可把被真正使用的組件庫清晰地陳列出來,幫助客戶更好地實現(xiàn)漏洞分級分類治理。
與WAAP結合??梢赃M一步檢測遺留或長期潛伏的API。目前的WAAP多是通過網(wǎng)絡側流量進行API檢測,對應用程序中潛伏的影子API無能為力,ADR可以在端側為WAAP增強 API檢測能力和全量API資產(chǎn)梳理能力。同時,WAAP核心功能包括Web應用防火墻、API保護、Bot防護和七層DDoS攻擊防護,進一步擴展了云上應用安全防護范圍和安全深度。但WAAP目前仍存在一個很大的問題,那就是Web應用防護仍主要依靠邊界防護手段,并未形成應用的自我防護機制,ADR則可更有效地加強此方面的能力,即在運行時態(tài)實現(xiàn)應用自免疫。
與容器安全、云原生安全能力(如微隔離)深度融合。隨著業(yè)務上云趨勢愈演愈烈,未來安全技術必須考慮容器化部署以及云原生安全能力,可以預見,未來ADR技術將向云原生應用程序保護平臺( CNAPP )的方向發(fā)展演進。
靖云甲ADR值得青睞
隨著企業(yè)深度用云以及云原生應用的快速普及,云上復雜性提升,導致網(wǎng)絡攻擊面倍增,也伴生出新的安全風險。安全行業(yè)需要革新安全理念、技術和模式,將人工智能、云原生等新技術應用到網(wǎng)絡安全防護中,實現(xiàn)對網(wǎng)絡威脅的預先研判、智能防護和自動抵御,有效提升安全威脅檢測、應急處置和追蹤溯源能力,實現(xiàn)從事后補救到安全前置,從局部分割到全面防護,從被動安全到主動安全的轉變,以便構筑起主動、智能、全面的應用安全防護體系。結合敏銳的市場洞察力以及多年的攻防經(jīng)驗積淀,北京邊界無限科技有限公司(邊界無限,BoundaryX)基于RASP和云原生技術推出了靖云甲ADR應用檢測與響應系統(tǒng),這是一款值得用戶重點關注的產(chǎn)品。靖云甲ADR是針對應用運行時安全防護的顛覆性解決方案,更是邊界無限打造云原生應用整體防護平臺的起點和戰(zhàn)略支點,為云時代應用安全提供實時保障。
邊界無限聯(lián)合創(chuàng)始人、CTO王佳寧介紹說,邊界無限靖云甲ADR應用檢測與響應系統(tǒng)基于RASP技術,以云原生為場景,以數(shù)據(jù)鏈路為核心,以流量安全、API安全和數(shù)據(jù)安全作為安全能力切入點,引入多項前瞻性的技術理念,通過對應用風險的持續(xù)檢測和安全風險快速響應,幫助企業(yè)應對來自業(yè)務增長、技術革新和基礎設施環(huán)境變化所產(chǎn)生的等諸多應用安全新挑戰(zhàn)。
在流量安全方面,靖云甲ADR基于網(wǎng)格化流量采集,通過聯(lián)動應用端點數(shù)據(jù)、應用訪問數(shù)據(jù),高效準確防御0day漏洞利用、內(nèi)存馬注入等各類安全威脅;在數(shù)據(jù)安全方面,靖云甲ADR通過數(shù)據(jù)審計、治理、脫敏等安全技術,有效實現(xiàn)數(shù)據(jù)安全風險態(tài)勢的把控。在為企業(yè)提供全面的應用安全保障的同時,靖云甲ADR通過虛擬補丁、漏洞威脅情報、訪問控制等運營處置手段,有效提高安全運營的事件處置效率。這順應了時下流行的安全技術趨勢,也滿足了廣大政企客戶的應用安全防護的真實需求。
內(nèi)存馬免重啟查殺。邊界無限靖云甲ADR采用“主被動結合”雙重防御機制,對外基于RASP能力對內(nèi)存馬的注入行為進行有效防御,對內(nèi)通過建立內(nèi)存馬檢測模型,通過持續(xù)分析內(nèi)存中存在的惡意代碼,幫助用戶解決掉埋藏內(nèi)存中的“定時炸彈”。針對內(nèi)存中潛藏的內(nèi)存馬,靖云甲ADR提供了一鍵清除功能,可以直接將內(nèi)存馬清除,實現(xiàn)對內(nèi)存馬威脅的快速處理。靖云甲ADR還可以通過主動攔截+被動掃描,有效阻斷內(nèi)存馬的注入;對已經(jīng)被注入的內(nèi)存馬提供源碼和特征檢測信息,無需重啟應用即可一鍵清除。另外,靖云甲ADR采用“attach”等方式注入agent ,無需重啟直接更新,以減少對業(yè)務運行的干擾。
0Day 漏洞無規(guī)則防御。邊界無限靖云甲ADR采用RASP應用運行時監(jiān)控技術,實現(xiàn)資產(chǎn)的精準采集,自動化高效地響應,構建了0day漏洞原生免疫,結合語義分析技術,同時實現(xiàn)漏洞的精準防御,大大降低了無效告警。靖云甲ADR可有效解決90%的0day漏洞,內(nèi)存馬注入防御、Webshell檢測、反序列化漏洞等功能100%完善,應用運行時風險降低95%以上,且具有高精準度,近乎零誤報。
組件庫動態(tài)采集管理。邊界無限靖云甲ADR采用動態(tài)捕獲技術,在應用運行過程中自動收集并展示第三方組件信息及調(diào)用情況,快速感知資產(chǎn)動態(tài),全面有效獲知供應鏈資產(chǎn)信息,實現(xiàn)供應鏈資產(chǎn)的清點和管理;消除資產(chǎn)盲區(qū),實現(xiàn)資產(chǎn)有效管理,讓安全防護覆蓋到資產(chǎn)的每一個角落。
API 和敏感數(shù)據(jù)清點。邊界無限靖云甲ADR擁有精準細化的資產(chǎn)清點、緊跟形式的安全研究、海量可靠的漏洞運營、輕量無感的性能損耗等優(yōu)點,尤其是在應用資產(chǎn)管理、供應鏈安全、API資產(chǎn)學習層面,其表現(xiàn)優(yōu)異。靖云甲ADR跨IT架構統(tǒng)計應用資產(chǎn),實現(xiàn)安全能力同步管控,為應用提供安全風險評估;自主學習流量加應用框架,具體來說,靖云甲ADR會通過插樁對應用內(nèi)部框架定義的API方法以及應用流量進行API全量采集,同時利用AI檢測引擎請求流量進行持續(xù)分析,自動分析暴露陳舊、敏感數(shù)據(jù)等關鍵問題。
王佳寧表示,邊界無限在RASP基礎上推出靖云甲ADR應用檢測與響應方案并進而向云原生應用整體防護平臺演進,深受業(yè)界各方認可,這面對的是一個全新的市場和賽道,邊界無限已經(jīng)憑借多年攻防經(jīng)驗積淀以及技術創(chuàng)新優(yōu)勢取得桿位,連續(xù)在各大標桿客戶測試中奪魁并獲得連續(xù)數(shù)輪數(shù)千萬元融資,這都是最好的見證。希望在應用安全及云原生領域,邊界無限能夠塑造新的安全行業(yè)傳奇。
(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。 )