近日,中國(guó)數(shù)字產(chǎn)業(yè)領(lǐng)域第三方咨詢(xún)機(jī)構(gòu)數(shù)世咨詢(xún)發(fā)布安全行業(yè)首份《ADR能力白皮書(shū)》,通過(guò)系統(tǒng)研究ADR的關(guān)鍵能力以及使用場(chǎng)景等,為廣大政企客戶(hù)構(gòu)建整體應(yīng)用防護(hù)體系提供參考和借鑒。白皮書(shū)還推薦了ADR領(lǐng)域的代表性廠商,作為一家專(zhuān)注于技術(shù)創(chuàng)新突破的安全新銳公司,邊界無(wú)限憑借其被喻為應(yīng)用“免疫血清”的靖云甲ADR成為唯一被推薦的國(guó)內(nèi)公司。該ADR能力白皮書(shū)在CSA大中華區(qū)組織的CSA研討會(huì)上首次發(fā)布。
ADR關(guān)鍵發(fā)現(xiàn) 應(yīng)用檢測(cè)與響應(yīng)(Application Detection and Response – ADR)是指以Web應(yīng)用為主要對(duì)象,采集應(yīng)用運(yùn)行環(huán)境與應(yīng)用內(nèi)部中用戶(hù)輸入、上下文信息、訪問(wèn)行為等流量數(shù)據(jù)并上傳至分析管理平臺(tái),輔助威脅情報(bào)關(guān)聯(lián)分析后,以自動(dòng)化策略或人工響應(yīng)處置安全事件的解決方案。 ADR以Web應(yīng)用為核心,以RASP為主要安全能力切入點(diǎn)。 作為安全關(guān)鍵基礎(chǔ)設(shè)施,ADR能夠與WAF、HDR、IAST等多個(gè)安全能力形成有機(jī)配合。 ADR 的五大關(guān)鍵技術(shù)能力:探針(Agent)、應(yīng)用資產(chǎn)發(fā)現(xiàn)、高級(jí)威脅檢測(cè)、數(shù)據(jù)建模與分析、響應(yīng)阻斷與修復(fù)。 對(duì)0day漏洞、無(wú)文件攻擊等高級(jí)攻擊威脅的檢測(cè)與響應(yīng)已經(jīng)成為ADR的關(guān)鍵能力之一。 ADR廠商將與公有云廠商、各行業(yè)云廠商建立更加深入的合作關(guān)系,逐步加快ADR在各行業(yè)的集中部署。
ADR關(guān)鍵技術(shù)能力
RASP恰好處在應(yīng)用訪問(wèn)流量中東西向與南北向的交叉點(diǎn),因此以RASP作為能力切入點(diǎn),ADR 應(yīng)當(dāng)具備以下幾個(gè)關(guān)鍵技術(shù)能力: 探針(Agent) 應(yīng)用資產(chǎn)發(fā)現(xiàn) 高級(jí)威脅檢測(cè) 數(shù)據(jù)調(diào)度與分析 響應(yīng)阻斷與修復(fù)
探針(Agent)
在主機(jī)安全層面,探針技術(shù)已經(jīng)開(kāi)始被多數(shù)用戶(hù)接受。因此在應(yīng)用安全領(lǐng)域,用戶(hù)對(duì)Agent的考量主要在于性能、兼容性、是否重啟等要點(diǎn)。
業(yè)務(wù)連續(xù)性
早期的RASP部署之后,需要重啟應(yīng)用環(huán)境,對(duì)用戶(hù)的業(yè)務(wù)連續(xù)性會(huì)有較大影響。近年來(lái),隨著技術(shù)發(fā)展,ADR已經(jīng)有采用“attach”等方式注入Agent,無(wú)需重啟直接更新,以減少對(duì)業(yè)務(wù)運(yùn)行的干擾。
對(duì)應(yīng)用性能的影響
RASP技術(shù)實(shí)現(xiàn)的實(shí)質(zhì)是在不接觸應(yīng)用源碼的情況下,對(duì)函數(shù)進(jìn)行Hook操作。因此不可避免的Agent對(duì)原有的應(yīng)用性能會(huì)有影響。在PoC試用時(shí)查看Agent對(duì)性能的影響,用戶(hù)一般關(guān)注內(nèi)存占用、RT(Response Time)等關(guān)鍵指標(biāo)。
兼容性
首先是對(duì)多開(kāi)發(fā)語(yǔ)言的支持,Java、Golang、PHP、Python、Nodejs等主流開(kāi)發(fā)語(yǔ)言,Agent探針都應(yīng)當(dāng)支持。再就是除了對(duì)應(yīng)用環(huán)境中典型中間件、第三方組件、通用類(lèi)和框架類(lèi)的函數(shù)等兼容外,還要能夠?qū)ψ匝写a部分進(jìn)行Hook。
應(yīng)用資產(chǎn)發(fā)現(xiàn)與管理
ADR應(yīng)當(dāng)具備較強(qiáng)的應(yīng)用資產(chǎn)發(fā)現(xiàn)與管理能力,這是后續(xù)檢測(cè)與響應(yīng)的基礎(chǔ)。
持續(xù)資產(chǎn)發(fā)現(xiàn)
ADR所覆蓋的資產(chǎn)主要為應(yīng)用資產(chǎn)、組件庫(kù)資產(chǎn)、API資產(chǎn)三大類(lèi)。資產(chǎn)發(fā)現(xiàn)手段可采用第三方導(dǎo)入+持續(xù)發(fā)現(xiàn)相結(jié)合的方式。一方面導(dǎo)入已有的應(yīng)用資產(chǎn)信息、第三方組件信息、所屬業(yè)務(wù)信息等資產(chǎn)數(shù)據(jù),另一方面,通過(guò)具備資產(chǎn)信息更新的接口,便于隨時(shí)從自有的資產(chǎn)發(fā)現(xiàn)模塊,或EDR、HDR等外部端側(cè)資產(chǎn)信息,定期接入更新的應(yīng)用資產(chǎn)數(shù)據(jù)。特別針對(duì)應(yīng)用框架中大量的API資產(chǎn),可通過(guò)插樁方式對(duì)應(yīng)用流量進(jìn)行全量采集并持續(xù)分析,持續(xù)發(fā)現(xiàn)API資產(chǎn)。
應(yīng)用資產(chǎn)管理
ADR應(yīng)針對(duì)應(yīng)用的框架、組件、業(yè)務(wù)屬性、時(shí)間線等具備細(xì)粒度的資產(chǎn)管理能力、可視化的資產(chǎn)信息展示能力。除此之外,對(duì)于應(yīng)用框架中的第三方組件庫(kù),ADR應(yīng)當(dāng)具備動(dòng)態(tài)采集加載組件庫(kù)信息的能力。也就是說(shuō),針對(duì)組件庫(kù)資產(chǎn),要能區(qū)分在全量組件中哪些是應(yīng)用已經(jīng)加載的組件,以便后續(xù)環(huán)節(jié)中,對(duì)其能夠優(yōu)先進(jìn)行檢測(cè)與響應(yīng)。特別是當(dāng)供應(yīng)鏈出現(xiàn)嚴(yán)重漏洞的時(shí)候,可以快速定位到組件使用情況,加強(qiáng)對(duì)供應(yīng)鏈管理能力。
形成運(yùn)行基線
通過(guò)持續(xù)的資產(chǎn)發(fā)現(xiàn)與管理,結(jié)合應(yīng)用、中間件的配置檢查能力,由此,ADR即可形成應(yīng)用安全運(yùn)行基線。無(wú)論是實(shí)網(wǎng)攻防演練,還是日常安全運(yùn)營(yíng),結(jié)合不同的業(yè)務(wù)場(chǎng)景,安全團(tuán)隊(duì)可對(duì)應(yīng)用和中間件的資產(chǎn)完整性、策略配置、異常行為等進(jìn)行針對(duì)性的監(jiān)測(cè)、檢測(cè)、響應(yīng)。
ADR的能力建設(shè)到這一步,可以滿足大部分針對(duì)應(yīng)用的攻擊檢測(cè)與響應(yīng)需求。接下來(lái),還需要對(duì)更高級(jí)別的攻擊行為構(gòu)筑威脅檢測(cè)能力。
高級(jí)威脅檢測(cè)
基于RASP的技術(shù)實(shí)現(xiàn)特性,ADR應(yīng)當(dāng)具備對(duì)0day漏洞、內(nèi)存馬等高級(jí)威脅的檢測(cè)能力。
0day漏洞
對(duì)nday漏洞的PoC檢測(cè)基于漏洞的已知特征實(shí)現(xiàn)。區(qū)別于此,ADR是對(duì)應(yīng)用中關(guān)鍵執(zhí)行函數(shù)進(jìn)行Hook監(jiān)聽(tīng),同時(shí)采集上下文信息結(jié)合判斷。因此能夠覆蓋更加全面的攻擊路徑,進(jìn)而從行為模式的層面,對(duì)0day漏洞實(shí)現(xiàn)有效感知,彌補(bǔ)傳統(tǒng)流量規(guī)則檢測(cè)方案所無(wú)法實(shí)現(xiàn)的未知漏洞攻擊防御。
前段時(shí)間造成大范圍影響的Log4j漏洞事件中,就已經(jīng)有ADR代表企業(yè)以上述思路成功阻斷了當(dāng)時(shí)以0day身份出現(xiàn)的Log4j漏洞在客戶(hù)側(cè)的蔓延。因此,對(duì)0day漏洞的檢測(cè)與響應(yīng)已經(jīng)成為ADR的關(guān)鍵能力之一。
內(nèi)存馬
應(yīng)用內(nèi)存馬的攻擊實(shí)現(xiàn)方式是,攻擊者通過(guò)應(yīng)用漏洞結(jié)合語(yǔ)言特性在應(yīng)用中注冊(cè)包含后門(mén)功能的API。此類(lèi)API在植入之后并不會(huì)在磁盤(pán)上寫(xiě)入文件,代碼數(shù)據(jù)只寄存在內(nèi)存中,此類(lèi)無(wú)文件攻擊特性可以很好的隱藏后門(mén),攻擊者可長(zhǎng)期控制業(yè)務(wù)系統(tǒng)或?qū)⑵渥鳛檫M(jìn)入企業(yè)內(nèi)部的網(wǎng)絡(luò)跳板。
針對(duì)應(yīng)用內(nèi)存馬,ADR首先可通過(guò)建立內(nèi)存馬檢測(cè)模型,持續(xù)檢測(cè)內(nèi)存中可能存在的惡意代碼,覆蓋大部分已知特征的內(nèi)存馬;其次,基于RASP的技術(shù)特點(diǎn),ADR可以對(duì)內(nèi)存馬注入可能利用到的關(guān)鍵函數(shù),進(jìn)行實(shí)時(shí)監(jiān)測(cè),從行為模式層面以“主被動(dòng)結(jié)合”的方式發(fā)現(xiàn)內(nèi)存馬,以此覆蓋剩余的未知特征的內(nèi)存馬。
因?yàn)槭窃趦?nèi)存中進(jìn)行檢測(cè)與判斷,因此,對(duì)內(nèi)存馬的攻擊行為一經(jīng)發(fā)現(xiàn)并結(jié)合上下文確認(rèn),就可以實(shí)時(shí)進(jìn)行阻斷并清除,實(shí)現(xiàn)自動(dòng)化的檢測(cè)與響應(yīng)。相比之下,其他響應(yīng)阻斷都會(huì)有一定的滯后性。因此可以說(shuō)這是ADR的核心關(guān)鍵能力之一。
數(shù)據(jù)建模與分析
ADR需要具備較強(qiáng)的數(shù)據(jù)建模與分析能力。
鑒于Agent不能過(guò)高占用應(yīng)用環(huán)境資源,ADR數(shù)據(jù)建模與分析應(yīng)由專(zhuān)門(mén)的服務(wù)端引擎來(lái)承擔(dān),將Agent采集數(shù)據(jù)、安全日志數(shù)據(jù)、外部威脅情報(bào)數(shù)據(jù)等有序調(diào)度匯總后,進(jìn)行威脅建模與分析研判。
數(shù)據(jù)的建模與分析應(yīng)當(dāng)兼顧成本與效率,數(shù)據(jù)模型要考慮資產(chǎn)優(yōu)先級(jí)、業(yè)務(wù)場(chǎng)景等,原則是提高對(duì)常見(jiàn)威脅的分析效率與準(zhǔn)確率,降低自動(dòng)化響應(yīng)的失誤率。
對(duì)于高級(jí)別威脅的數(shù)據(jù)分析,引擎中的場(chǎng)景劇本,要能夠隨時(shí)增加或更新,分析結(jié)果在管理平臺(tái)可視化呈現(xiàn)或以可編輯報(bào)告的形式導(dǎo)出,為高級(jí)別威脅所需的人工研判提供支持依據(jù)。
響應(yīng)阻斷與修復(fù)
不同于邊界設(shè)備基于特征匹配檢測(cè)攻擊,對(duì)于掃描器的踩點(diǎn)、掃描行為,?般會(huì)產(chǎn)??量誤報(bào),RASP 運(yùn)?在應(yīng)?內(nèi)部,失敗的攻擊不會(huì)觸發(fā)檢測(cè)邏輯,所以每條告警都是真實(shí)正在發(fā)生的攻擊,這就為ADR自動(dòng)化的阻斷響應(yīng)提供了天然的技術(shù)基礎(chǔ)。
首先,基于應(yīng)用訪問(wèn)關(guān)系,梳理應(yīng)用的拓?fù)潢P(guān)系與數(shù)據(jù)流,逐步形成應(yīng)用的安全運(yùn)行基線,然后利用微隔離,降低攻擊者在不同應(yīng)用區(qū)域間潛在的橫向移動(dòng)風(fēng)險(xiǎn);然后在此基礎(chǔ)上,如前所述,針對(duì)0day漏洞、內(nèi)存馬等高級(jí)威脅,結(jié)合上下文進(jìn)行自動(dòng)化的阻斷響應(yīng)。最后,為避免再發(fā)生類(lèi)似攻擊,ADR還應(yīng)具備臨時(shí)修復(fù)加固功能。例如通過(guò)彈性補(bǔ)丁或虛擬補(bǔ)丁,對(duì)漏洞進(jìn)行臨時(shí)修復(fù),待將來(lái)某個(gè)時(shí)刻,應(yīng)用升級(jí)或重啟時(shí),再交由研發(fā)、運(yùn)維等兄弟部門(mén)處置。
需要注意的是,雖然 RASP 幾乎沒(méi)有誤報(bào),但自動(dòng)化阻斷始終不能影響應(yīng)用的業(yè)務(wù)連續(xù)性,應(yīng)當(dāng)具備一定的自查自保護(hù)機(jī)制。例如針對(duì)上述各響應(yīng)各環(huán)節(jié),在管理平臺(tái)側(cè)提供完備的隔離策略、阻斷控制、補(bǔ)丁分發(fā)等功能的完整日志記錄,從而為運(yùn)營(yíng)人員進(jìn)一步的重放、分析、溯源、報(bào)告等操作提供支撐。
邊界無(wú)限靖云甲ADR
誠(chéng)如數(shù)世咨詢(xún)ADR能力白皮書(shū)中所述,目前國(guó)內(nèi)相關(guān)領(lǐng)域企業(yè)數(shù)量并不多,只有個(gè)別企業(yè)明確提出了ADR這一概念,而邊界無(wú)限就是這么一家將RASP技術(shù)提升至ADR的安全新銳,并憑借超強(qiáng)的技術(shù)前瞻性和對(duì)ADR的專(zhuān)注而入選ADR能力白皮書(shū),并且成為國(guó)內(nèi)唯一被推薦的ADR代表廠商,其自主研創(chuàng)的靖云甲ADR更是被業(yè)界稱(chēng)為應(yīng)用的“免疫血清”。
邊界無(wú)限副總裁、產(chǎn)品總負(fù)責(zé)人沈思源介紹說(shuō),靖云甲ADR基于RASP技術(shù),以Web應(yīng)用為核心,以RASP為主要安全能力切入點(diǎn),打造Web應(yīng)用全方位安全檢測(cè)與響應(yīng)的解決方案,是邊界無(wú)限幫助用戶(hù)構(gòu)建云原生時(shí)代安全基礎(chǔ)設(shè)施體系的起點(diǎn)和戰(zhàn)略支點(diǎn),更是“靈動(dòng)智御”理念的實(shí)踐。靖云甲ADR引入多項(xiàng)前瞻性的技術(shù)理念,通過(guò)對(duì)應(yīng)用風(fēng)險(xiǎn)的持續(xù)檢測(cè)和安全風(fēng)險(xiǎn)快速響應(yīng),幫助企業(yè)應(yīng)對(duì)來(lái)自業(yè)務(wù)增長(zhǎng)、技術(shù)革新和基礎(chǔ)設(shè)施環(huán)境變化所產(chǎn)生的等諸多應(yīng)用安全新挑戰(zhàn)。
邊界無(wú)限靖云甲ADR擁有資產(chǎn)管理、入侵檢測(cè)、漏洞管理和內(nèi)存馬防御等核心功能,具備免重啟、采樣決策分離、IT部署架構(gòu)、性能全面領(lǐng)先等核心優(yōu)勢(shì),其應(yīng)用場(chǎng)景為業(yè)務(wù)在線修復(fù)、實(shí)戰(zhàn)攻防演練、惡意應(yīng)用攻擊和集團(tuán)應(yīng)用安全建設(shè)能力等。
具體來(lái)說(shuō),在流量安全層面,邊界無(wú)限靖云甲ADR基于網(wǎng)格化流量采集,通過(guò)聯(lián)動(dòng)應(yīng)用端點(diǎn)數(shù)據(jù)、應(yīng)用訪問(wèn)數(shù)據(jù),高效準(zhǔn)確防御0day漏洞利用、內(nèi)存馬注入等各類(lèi)安全威脅;在數(shù)據(jù)安全方面通過(guò)數(shù)據(jù)審計(jì)、治理、脫敏等安全技術(shù),有效實(shí)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)態(tài)勢(shì)的把控。在為企業(yè)提供全面的應(yīng)用安全保障的同時(shí),ADR通過(guò)虛擬補(bǔ)丁、漏洞威脅情報(bào)、訪問(wèn)控制等運(yùn)營(yíng)處置手段,有效提高安全運(yùn)營(yíng)的事件處置效率。這順應(yīng)了時(shí)下流行的安全技術(shù)趨勢(shì),也滿足了廣大政企客戶(hù)的現(xiàn)實(shí)安全需求。
邊界無(wú)限靖云甲ADR擁有精準(zhǔn)細(xì)化的資產(chǎn)清點(diǎn)、緊跟形式的安全研究、海量可靠的漏洞運(yùn)營(yíng)、輕量無(wú)感的性能損耗等優(yōu)點(diǎn),尤其是在應(yīng)用資產(chǎn)管理、供應(yīng)鏈安全、API資產(chǎn)學(xué)習(xí)層面,表現(xiàn)優(yōu)異。靖云甲ADR跨IT架構(gòu)統(tǒng)計(jì)應(yīng)用資產(chǎn),實(shí)現(xiàn)安全能力同步管控,為應(yīng)用提供安全風(fēng)險(xiǎn)評(píng)估;動(dòng)態(tài)采集應(yīng)用運(yùn)行過(guò)程中的組件加載情況,快速感知資產(chǎn)動(dòng)態(tài),全面有效獲知供應(yīng)鏈資產(chǎn)信息;自主學(xué)習(xí)流量+應(yīng)用框架,具體來(lái)說(shuō),靖云甲ADR會(huì)通過(guò)插樁對(duì)應(yīng)用內(nèi)部框架定義的API方法以及應(yīng)用流量進(jìn)行API全量采集,同時(shí)利用AI 檢測(cè)引擎請(qǐng)求流量進(jìn)行持續(xù)分析,自動(dòng)分析暴露陳舊、敏感數(shù)據(jù)等關(guān)鍵問(wèn)題。
此外,邊界無(wú)限靖云甲ADR采用“主被動(dòng)結(jié)合”雙重防御機(jī)制,對(duì)外基于RASP能力對(duì)內(nèi)存馬的注入行為進(jìn)行有效防御,對(duì)內(nèi)通過(guò)建立內(nèi)存馬檢測(cè)模型,通過(guò)持續(xù)分析內(nèi)存中存在的惡意代碼,幫助用戶(hù)解決掉埋藏內(nèi)存中的“定時(shí)炸彈”。針對(duì)內(nèi)存中潛藏的內(nèi)存馬,靖云甲ADR提供了一鍵清除功能,可以直接將內(nèi)存馬清除,實(shí)現(xiàn)對(duì)內(nèi)存馬威脅的快速處理。靖云甲ADR還可以通過(guò)主動(dòng)攔截+被動(dòng)掃描,有效阻斷內(nèi)存馬的注入;對(duì)已經(jīng)被注入的內(nèi)存馬提供源碼和特征檢測(cè)信息,無(wú)需重啟應(yīng)用即可一鍵清除。另外,靖云甲ADR采用“attach”等方式注入agent,無(wú)需重啟直接更新,以減少對(duì)業(yè)務(wù)運(yùn)行的干擾。
截至目前,邊界無(wú)限已與關(guān)鍵基礎(chǔ)設(shè)施重要行業(yè)和領(lǐng)域的數(shù)十家客戶(hù)達(dá)成業(yè)務(wù)合作,相信隨著RASP以及ADR技術(shù)的進(jìn)一步成熟,邊界無(wú)限將幫助各運(yùn)營(yíng)單位構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施整體應(yīng)用防控體系,不斷提升關(guān)鍵信息基礎(chǔ)設(shè)施安全應(yīng)用防護(hù)能力。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )