一個(gè)嚴(yán)肅的話題,ADR會(huì)取代WAF和RASP嗎?

  • 人閱讀
  • 2023-08-04 10:46:09

  • 來源:互聯(lián)網(wǎng)

  • 相關(guān)關(guān)鍵詞

做安全的人應(yīng)該都對WAF耳熟能詳,也就是我們常說的Web應(yīng)用防火墻,成為了應(yīng)用安全防護(hù)的明星產(chǎn)品之一。從傳統(tǒng)的防火墻、IDS、IPS,再到WAF橫空出世,引領(lǐng)技術(shù)趨勢若干年,這一階段可以稱為應(yīng)用安全防護(hù)1.0時(shí)代。作為一款成熟的Web應(yīng)用防護(hù)產(chǎn)品, WAF一度成為企業(yè)為Web應(yīng)用提供安全防護(hù)的必備利器,但技術(shù)的演進(jìn)并未由此停止。

Log4j2等“核彈級漏洞”的爆發(fā),使RASP技術(shù)迅速升溫,填補(bǔ)了市場在應(yīng)用層防護(hù)的空白,很多人喜歡把RASP稱為下一代WAF,但實(shí)際并不是,RASP更像是WAF的“拍檔”。

時(shí)間來到2022年12月,國內(nèi)知名安全咨詢公司數(shù)世咨詢發(fā)布行業(yè)首份《ADR能力白皮書》中首次提出ADR這一新賽道。ADR類產(chǎn)品基于RASP,并在其基礎(chǔ)上增加了開源風(fēng)險(xiǎn)治理、API資產(chǎn)梳理(可以從應(yīng)用內(nèi)部洞悉全量API資產(chǎn))、中間件基線、應(yīng)用基線等持續(xù)檢測和環(huán)境安全功能,ADR被視作RASP2.0。

那么,問題來了,RASP并非下一個(gè)WAF,在RASP基礎(chǔ)上全面升級的ADR,跟WAF是何種關(guān)系?它會(huì)取代WAF和RASP,成為廣大政企客戶應(yīng)用安全防護(hù)的“新寵”嗎?這是一個(gè)嚴(yán)肅的話題。

一個(gè)嚴(yán)肅的話題,ADR會(huì)取代WAF和RASP嗎?

WAF

WAF的全稱是Web Application Firewall,即Web應(yīng)用防火墻。國際上公認(rèn)的一種說法是:Web應(yīng)用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。WAF是集Web防護(hù)、網(wǎng)頁保護(hù)、負(fù)載均衡、應(yīng)用交付于一體的Web整體安全防護(hù)設(shè)備。

RASP

RASP的全稱是Runtime Application Self-Protection,即運(yùn)行時(shí)應(yīng)用自我保護(hù)。它是一種應(yīng)用程序安全保護(hù)技術(shù),可以在應(yīng)用程序運(yùn)行時(shí)檢測和防御各種攻擊,包括代碼注入、SQL注入、跨站點(diǎn)腳本攻擊(XSS)和跨站點(diǎn)請求偽造(CSRF)等。通過注入安全疫苗的方式將防護(hù)引擎嵌入到應(yīng)用內(nèi)部,與應(yīng)用程序融為一體,使應(yīng)用程序具備自我防護(hù)能力,對0day漏洞、內(nèi)存馬等攻擊實(shí)現(xiàn)免疫防護(hù)。

ADR

ADR的全稱是Application Detection and Response,即應(yīng)用檢測與響應(yīng)。它是以Web應(yīng)用為主要對象,采集應(yīng)用運(yùn)行環(huán)境與應(yīng)用內(nèi)部中用戶輸入、上下文信息、訪問行為等流量數(shù)據(jù)并上傳至分析管理平臺(tái),輔助威脅情報(bào)關(guān)聯(lián)分析后,以自動(dòng)化策略或人工響應(yīng)處置安全事件的解決方案。ADR以Web應(yīng)用為核心,以RASP為主要安全能力切入點(diǎn),通過對應(yīng)用流量數(shù)據(jù)中潛在威脅的持續(xù)檢測和快速響應(yīng),幫助用戶應(yīng)對來自業(yè)務(wù)增長、技術(shù)革新和基礎(chǔ)設(shè)施環(huán)境變化所產(chǎn)生的諸多應(yīng)用安全新挑戰(zhàn)。在安全檢測方面,ADR基于網(wǎng)格化的流量采集,通過應(yīng)用資產(chǎn)數(shù)據(jù)、應(yīng)用訪問數(shù)據(jù)、上下文信息等,結(jié)合外部威脅情報(bào)數(shù)據(jù),高效準(zhǔn)確檢測0day漏洞利用、內(nèi)存馬注入等各類安全威脅;在安全響應(yīng)方面,ADR基于場景化的學(xué)習(xí)模型,實(shí)現(xiàn)應(yīng)用資產(chǎn)的自動(dòng)發(fā)現(xiàn)與適配,自動(dòng)生成應(yīng)用訪問策略,建立可視化的應(yīng)用訪問基線,發(fā)現(xiàn)安全威脅時(shí),通過虛擬補(bǔ)丁、訪問控制等安全運(yùn)營處置手段,有效提高事件響應(yīng)的處置效率。

ADR與WAF有何異同?

ADR和WAF都是用于Web應(yīng)用安全的防御措施,總體而言,它們有以下幾點(diǎn)區(qū)別。

部署位置不同:WAF在應(yīng)用程序與客戶端之間部署,可以檢查和過濾所有進(jìn)出應(yīng)用程序的網(wǎng)絡(luò)流量,而ADR是在應(yīng)用程序內(nèi)置的模塊中運(yùn)行,直接監(jiān)控應(yīng)用程序運(yùn)行狀態(tài),可以實(shí)時(shí)檢測漏洞和攻擊。

防御方式不同:WAF主要是通過規(guī)則匹配和過濾來防御攻擊,屬于一種被動(dòng)的防御方式。而ADR是采用主動(dòng)防御方式,可以及時(shí)檢測惡意行為并攔截攻擊,能夠更好地預(yù)防漏洞攻擊。

實(shí)現(xiàn)方式不同:WAF可以作為獨(dú)立設(shè)備,也可以部署在網(wǎng)關(guān)、交換機(jī)或負(fù)載均衡設(shè)備上,適用于多種類型的Web應(yīng)用程序。而ADR需要內(nèi)置在Web應(yīng)用程序中,為每個(gè)應(yīng)用程序單獨(dú)部署。

雖然存在諸多不同,但ADR和WAF也存在一些結(jié)合點(diǎn)。例如,可以將ADR作為WAF的一部分,在流量檢測和防御的同時(shí),對應(yīng)用程序進(jìn)行實(shí)時(shí)監(jiān)控和保護(hù)。另外,ADR和WAF均可以通過監(jiān)視應(yīng)用程序的行為和流量,發(fā)現(xiàn)并攔截惡意代碼、SQL注入、跨站點(diǎn)腳本等攻擊。

綜上所述,ADR和WAF都是用于保護(hù)Web應(yīng)用程序的安全防御措施,部署位置和防御方式不同,但可以結(jié)合使用來提高Web應(yīng)用程序的安全性。ADR直接內(nèi)置于應(yīng)用程序中,可以實(shí)時(shí)檢測漏洞和攔截攻擊,WAF則部署在應(yīng)用程序與客戶端之間,通過規(guī)則匹配和過濾來防御攻擊。在整體應(yīng)用防護(hù)場景下,ADR可與WAF結(jié)合,實(shí)現(xiàn)流量檢測和應(yīng)用程序保護(hù)的雙重防御,從而達(dá)到聯(lián)防聯(lián)控、縱深防御的效果。

ADR會(huì)取代WAF嗎?

不得不提的是,ADR和WAF存在根本的差異:WAF的目的是發(fā)現(xiàn)可疑的流量,ADR則是發(fā)現(xiàn)具有威脅的行為。近期幾次大的0day漏洞爆發(fā)事件,ADR因其天然優(yōu)勢,在防護(hù)未知攻擊方面發(fā)揮了重要的作用,但ADR并不是要取代WAF,兩者是完全不同的技術(shù),各有各的優(yōu)勢。傳統(tǒng)的WAF像是給應(yīng)用穿上一層盔甲,而ADR作為應(yīng)用內(nèi)部運(yùn)行時(shí)防護(hù),更像是給應(yīng)用注射了“免疫血清”,使安全成為應(yīng)用的內(nèi)生基因,給應(yīng)用實(shí)施全方位保護(hù)。

在產(chǎn)品部署方面,首先企業(yè)不應(yīng)期望于某個(gè)安全產(chǎn)品能夠?qū)崿F(xiàn)所有的安全需求;其次,在選擇一項(xiàng)新的安全產(chǎn)品時(shí),要找準(zhǔn)新產(chǎn)品的能力價(jià)值,盡量與原有的安全能力互補(bǔ)形成合力,同時(shí)避免能力冗余。這就使ADR與WAF的結(jié)合成為水到渠成的事情。ADR作為運(yùn)行時(shí)防護(hù),與傳統(tǒng)應(yīng)用防護(hù)、主機(jī)防護(hù)類產(chǎn)品的定位有明顯的差異,在安全防御系統(tǒng)中,可以與WAF等傳統(tǒng)邊界防護(hù)系統(tǒng)組合形成更加體系化的縱深防護(hù)能力。

對于已有WAF產(chǎn)品的用戶,采用ADR不但不與WAF重疊,還可以為Web應(yīng)用訪問增強(qiáng)最后一道安全防線;同樣,與云原生或云計(jì)算主機(jī)集成,也可以對傳統(tǒng)主機(jī)防護(hù)能力進(jìn)行增強(qiáng)。同時(shí),ADR與傳統(tǒng)防護(hù)產(chǎn)品的處置方式和部署方式不同,無法與傳統(tǒng)產(chǎn)品統(tǒng)一部署,但在態(tài)勢分析和管理方面可以與其它風(fēng)險(xiǎn)采集系統(tǒng)統(tǒng)籌考慮,實(shí)現(xiàn)綜合分析和聯(lián)動(dòng)處置。此外,為了更順利地應(yīng)用ADR,建議應(yīng)用前一般要在測試環(huán)境下驗(yàn)證,確保沒有影響后再切換到生產(chǎn)環(huán)境;對于沒有驗(yàn)證環(huán)境的,在安裝過程中要做好回退機(jī)制,在安裝失敗時(shí)能保證恢復(fù)到插樁前的狀態(tài)。特別值得指出的是,很多主機(jī)側(cè)安全廠商會(huì)給客戶灌輸結(jié)合HIDS產(chǎn)品“無感”部署RASP或ADR產(chǎn)品的思想,這一思路雖然解決了快速部署的問題,但不經(jīng)過測試環(huán)境的功能性、兼容性以及資源占用等驗(yàn)證,將給客戶帶來極大的潛在風(fēng)險(xiǎn)。這是因?yàn)锳DR不同于WAF,部署在應(yīng)用內(nèi)部,在生產(chǎn)、業(yè)務(wù)環(huán)境與應(yīng)用無縫結(jié)合,盲目強(qiáng)推會(huì)給業(yè)務(wù)帶來巨大的威脅,務(wù)必慎重。因此我們建議在測試環(huán)境結(jié)合業(yè)務(wù)應(yīng)用對ADR進(jìn)行充分的功能、性能驗(yàn)證,并在業(yè)務(wù)網(wǎng)、生產(chǎn)網(wǎng)規(guī)模部署之前在邊緣業(yè)務(wù)業(yè)務(wù)系統(tǒng)進(jìn)行實(shí)網(wǎng)試用,真正保障業(yè)務(wù)不受影響的前提下,使ADR能充分匹配、適應(yīng)不同客戶的不同網(wǎng)絡(luò)環(huán)境及業(yè)務(wù)邏輯,從而真正契合內(nèi)生安全的理念,在應(yīng)用內(nèi)部提升自免疫能力。

ADR強(qiáng)于攻防 融合多種安全能力

不能忽視的是,有別于WAF,未來ADR在應(yīng)對攻防對抗這種場景應(yīng)用的機(jī)會(huì)會(huì)更多。但是隨著業(yè)務(wù)云化和安全左移能力的增強(qiáng),未來用戶對應(yīng)用程序的安全防護(hù)和應(yīng)用層數(shù)據(jù)保護(hù)的要求會(huì)越來越強(qiáng)。同時(shí),也會(huì)要求ADR提供更多維度的Detection和Response能力。其次,ADR可以與諸多安全能力在不同場景下形成合力。

與SCA 融合。可以形成運(yùn)行時(shí)SCA檢測能力。在應(yīng)用程序上線后進(jìn)行應(yīng)用軟件成分分析,檢測那些開發(fā)環(huán)節(jié)不受控,成分不清晰的構(gòu)建包、軟件制品。這在一定程度上融合了SCA的能力,但從應(yīng)用場景看,與開發(fā)階段應(yīng)用的SCA并不會(huì)沖突。尤其是ADR與運(yùn)行時(shí)態(tài)的SCA結(jié)合,可以更全面地洞悉應(yīng)用調(diào)用了哪些組件庫,并且可把被真正使用的組件庫清晰地陳列出來,幫助客戶更好地實(shí)現(xiàn)漏洞分級分類治理。

與WAAP結(jié)合??梢赃M(jìn)一步檢測遺留或長期潛伏的API。目前的WAAP多是通過網(wǎng)絡(luò)側(cè)流量進(jìn)行API檢測,對應(yīng)用程序中潛伏的影子API無能為力,ADR可以在端側(cè)為WAAP增強(qiáng) API檢測能力和全量API資產(chǎn)梳理能力。同時(shí),WAAP核心功能包括Web應(yīng)用防火墻、API保護(hù)、Bot防護(hù)和七層DDoS攻擊防護(hù),進(jìn)一步擴(kuò)展了云上應(yīng)用安全防護(hù)范圍和安全深度。但WAAP目前仍存在一個(gè)很大的問題,那就是Web應(yīng)用防護(hù)仍主要依靠邊界防護(hù)手段,并未形成應(yīng)用的自我防護(hù)機(jī)制,ADR則可更有效地加強(qiáng)此方面的能力,即在運(yùn)行時(shí)態(tài)實(shí)現(xiàn)應(yīng)用自免疫。

與容器安全、云原生安全能力(如微隔離)深度融合。隨著業(yè)務(wù)上云趨勢愈演愈烈,未來安全技術(shù)必須考慮容器化部署以及云原生安全能力,可以預(yù)見,未來ADR技術(shù)將向云原生應(yīng)用程序保護(hù)平臺(tái)( CNAPP )的方向發(fā)展演進(jìn)。

靖云甲ADR值得青睞

隨著企業(yè)深度用云以及云原生應(yīng)用的快速普及,云上復(fù)雜性提升,導(dǎo)致網(wǎng)絡(luò)攻擊面倍增,也伴生出新的安全風(fēng)險(xiǎn)。安全行業(yè)需要革新安全理念、技術(shù)和模式,將人工智能、云原生等新技術(shù)應(yīng)用到網(wǎng)絡(luò)安全防護(hù)中,實(shí)現(xiàn)對網(wǎng)絡(luò)威脅的預(yù)先研判、智能防護(hù)和自動(dòng)抵御,有效提升安全威脅檢測、應(yīng)急處置和追蹤溯源能力,實(shí)現(xiàn)從事后補(bǔ)救到安全前置,從局部分割到全面防護(hù),從被動(dòng)安全到主動(dòng)安全的轉(zhuǎn)變,以便構(gòu)筑起主動(dòng)、智能、全面的應(yīng)用安全防護(hù)體系。結(jié)合敏銳的市場洞察力以及多年的攻防經(jīng)驗(yàn)積淀,北京邊界無限科技有限公司(邊界無限,BoundaryX)基于RASP和云原生技術(shù)推出了靖云甲ADR應(yīng)用檢測與響應(yīng)系統(tǒng),這是一款值得用戶重點(diǎn)關(guān)注的產(chǎn)品。靖云甲ADR是針對應(yīng)用運(yùn)行時(shí)安全防護(hù)的顛覆性解決方案,更是邊界無限打造云原生應(yīng)用整體防護(hù)平臺(tái)的起點(diǎn)和戰(zhàn)略支點(diǎn),為云時(shí)代應(yīng)用安全提供實(shí)時(shí)保障。

邊界無限聯(lián)合創(chuàng)始人、CTO王佳寧介紹說,邊界無限靖云甲ADR應(yīng)用檢測與響應(yīng)系統(tǒng)基于RASP技術(shù),以云原生為場景,以數(shù)據(jù)鏈路為核心,以流量安全、API安全和數(shù)據(jù)安全作為安全能力切入點(diǎn),引入多項(xiàng)前瞻性的技術(shù)理念,通過對應(yīng)用風(fēng)險(xiǎn)的持續(xù)檢測和安全風(fēng)險(xiǎn)快速響應(yīng),幫助企業(yè)應(yīng)對來自業(yè)務(wù)增長、技術(shù)革新和基礎(chǔ)設(shè)施環(huán)境變化所產(chǎn)生的等諸多應(yīng)用安全新挑戰(zhàn)。

在流量安全方面,靖云甲ADR基于網(wǎng)格化流量采集,通過聯(lián)動(dòng)應(yīng)用端點(diǎn)數(shù)據(jù)、應(yīng)用訪問數(shù)據(jù),高效準(zhǔn)確防御0day漏洞利用、內(nèi)存馬注入等各類安全威脅;在數(shù)據(jù)安全方面,靖云甲ADR通過數(shù)據(jù)審計(jì)、治理、脫敏等安全技術(shù),有效實(shí)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)態(tài)勢的把控。在為企業(yè)提供全面的應(yīng)用安全保障的同時(shí),靖云甲ADR通過虛擬補(bǔ)丁、漏洞威脅情報(bào)、訪問控制等運(yùn)營處置手段,有效提高安全運(yùn)營的事件處置效率。這順應(yīng)了時(shí)下流行的安全技術(shù)趨勢,也滿足了廣大政企客戶的應(yīng)用安全防護(hù)的真實(shí)需求。

內(nèi)存馬免重啟查殺。邊界無限靖云甲ADR采用“主被動(dòng)結(jié)合”雙重防御機(jī)制,對外基于RASP能力對內(nèi)存馬的注入行為進(jìn)行有效防御,對內(nèi)通過建立內(nèi)存馬檢測模型,通過持續(xù)分析內(nèi)存中存在的惡意代碼,幫助用戶解決掉埋藏內(nèi)存中的“定時(shí)炸彈”。針對內(nèi)存中潛藏的內(nèi)存馬,靖云甲ADR提供了一鍵清除功能,可以直接將內(nèi)存馬清除,實(shí)現(xiàn)對內(nèi)存馬威脅的快速處理。靖云甲ADR還可以通過主動(dòng)攔截+被動(dòng)掃描,有效阻斷內(nèi)存馬的注入;對已經(jīng)被注入的內(nèi)存馬提供源碼和特征檢測信息,無需重啟應(yīng)用即可一鍵清除。另外,靖云甲ADR采用“attach”等方式注入agent ,無需重啟直接更新,以減少對業(yè)務(wù)運(yùn)行的干擾。

0Day 漏洞無規(guī)則防御。邊界無限靖云甲ADR采用RASP應(yīng)用運(yùn)行時(shí)監(jiān)控技術(shù),實(shí)現(xiàn)資產(chǎn)的精準(zhǔn)采集,自動(dòng)化高效地響應(yīng),構(gòu)建了0day漏洞原生免疫,結(jié)合語義分析技術(shù),同時(shí)實(shí)現(xiàn)漏洞的精準(zhǔn)防御,大大降低了無效告警。靖云甲ADR可有效解決90%的0day漏洞,內(nèi)存馬注入防御、Webshell檢測、反序列化漏洞等功能100%完善,應(yīng)用運(yùn)行時(shí)風(fēng)險(xiǎn)降低95%以上,且具有高精準(zhǔn)度,近乎零誤報(bào)。

組件庫動(dòng)態(tài)采集管理。邊界無限靖云甲ADR采用動(dòng)態(tài)捕獲技術(shù),在應(yīng)用運(yùn)行過程中自動(dòng)收集并展示第三方組件信息及調(diào)用情況,快速感知資產(chǎn)動(dòng)態(tài),全面有效獲知供應(yīng)鏈資產(chǎn)信息,實(shí)現(xiàn)供應(yīng)鏈資產(chǎn)的清點(diǎn)和管理;消除資產(chǎn)盲區(qū),實(shí)現(xiàn)資產(chǎn)有效管理,讓安全防護(hù)覆蓋到資產(chǎn)的每一個(gè)角落。

API 和敏感數(shù)據(jù)清點(diǎn)。邊界無限靖云甲ADR擁有精準(zhǔn)細(xì)化的資產(chǎn)清點(diǎn)、緊跟形式的安全研究、海量可靠的漏洞運(yùn)營、輕量無感的性能損耗等優(yōu)點(diǎn),尤其是在應(yīng)用資產(chǎn)管理、供應(yīng)鏈安全、API資產(chǎn)學(xué)習(xí)層面,其表現(xiàn)優(yōu)異。靖云甲ADR跨IT架構(gòu)統(tǒng)計(jì)應(yīng)用資產(chǎn),實(shí)現(xiàn)安全能力同步管控,為應(yīng)用提供安全風(fēng)險(xiǎn)評估;自主學(xué)習(xí)流量加應(yīng)用框架,具體來說,靖云甲ADR會(huì)通過插樁對應(yīng)用內(nèi)部框架定義的API方法以及應(yīng)用流量進(jìn)行API全量采集,同時(shí)利用AI檢測引擎請求流量進(jìn)行持續(xù)分析,自動(dòng)分析暴露陳舊、敏感數(shù)據(jù)等關(guān)鍵問題。

王佳寧表示,邊界無限在RASP基礎(chǔ)上推出靖云甲ADR應(yīng)用檢測與響應(yīng)方案并進(jìn)而向云原生應(yīng)用整體防護(hù)平臺(tái)演進(jìn),深受業(yè)界各方認(rèn)可,這面對的是一個(gè)全新的市場和賽道,邊界無限已經(jīng)憑借多年攻防經(jīng)驗(yàn)積淀以及技術(shù)創(chuàng)新優(yōu)勢取得桿位,連續(xù)在各大標(biāo)桿客戶測試中奪魁并獲得連續(xù)數(shù)輪數(shù)千萬元融資,這都是最好的見證。希望在應(yīng)用安全及云原生領(lǐng)域,邊界無限能夠塑造新的安全行業(yè)傳奇。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )