摘要：應(yīng)用安全防護(hù)最優(yōu)解

近日，國(guó)內(nèi)數(shù)字化產(chǎn)業(yè)第三方調(diào)研與咨詢機(jī)構(gòu)數(shù)世咨詢和CIO時(shí)代聯(lián)合主辦的第四屆數(shù)字安全大會(huì)在北京隆重召開，大會(huì)中重磅發(fā)布了由數(shù)世咨詢牽頭聯(lián)合產(chǎn)業(yè)、學(xué)術(shù)、政府部門等智慧編制的國(guó)內(nèi)首本《數(shù)字安全藍(lán)皮書》。

《數(shù)字安全藍(lán)皮書》對(duì)數(shù)字安全技術(shù)與產(chǎn)業(yè)的現(xiàn)狀，以及數(shù)字安全的理念定義、本質(zhì)特征作出了梳理和闡述，旨在探討數(shù)字安全內(nèi)涵、明晰數(shù)字安全的重要性并凝聚產(chǎn)業(yè)共識(shí)的著作，構(gòu)建溝通與探討的語(yǔ)言，統(tǒng)一產(chǎn)業(yè)思想、集中技術(shù)資源，使數(shù)字安全發(fā)展不偏航、不出軌，穩(wěn)定、持續(xù)地助力數(shù)字中國(guó)建設(shè)。北京邊界無(wú)限科技有限公司(邊界無(wú)限，BoundaryX)憑借深厚技術(shù)積淀以及在應(yīng)用運(yùn)行時(shí)自保護(hù)(RASP)領(lǐng)域的銳意創(chuàng)新，獲評(píng)RASP賽道領(lǐng)航者。

《數(shù)字安全藍(lán)皮書》明確了運(yùn)行時(shí)應(yīng)用自保護(hù)(RASP)的定義、核心能力、應(yīng)用場(chǎng)景等內(nèi)容。

RASP定義

RASP(Runtime Application Self-Protection，運(yùn)行時(shí)應(yīng)用自保護(hù))指一種安全技術(shù)，能被構(gòu)建或連接到應(yīng)用程序或應(yīng)用程序的運(yùn)行環(huán)境中，并能夠控制應(yīng)用程序的執(zhí)行并實(shí)時(shí)檢測(cè)和防止攻擊。

核心能力

探針：根據(jù)不同計(jì)算機(jī)語(yǔ)言開發(fā)相對(duì)應(yīng)的探針，如常見的 Java、Golang、Python、PHP(頁(yè)面超文本預(yù)處理器)等計(jì)算機(jī)語(yǔ)言。在不同語(yǔ)言中使用的探針是不同的，RASP依賴于向應(yīng)用程序注入的探針，利用探針對(duì)不同語(yǔ)言虛擬機(jī)敏感方法進(jìn)行插樁，在進(jìn)行插樁之后就能獲取應(yīng)用程序執(zhí)行上下文及參數(shù)信息。

高級(jí)威脅檢測(cè)：具備對(duì)0day漏洞、內(nèi)存馬等高級(jí)威脅的檢測(cè)技術(shù)和能力。針對(duì)0day漏洞，RASP對(duì)應(yīng)用程序中的關(guān)鍵執(zhí)行函數(shù)進(jìn)行監(jiān)聽，同時(shí)結(jié)合上下文信息進(jìn)行判斷，因此能夠更加全面地覆蓋攻擊路徑，進(jìn)而從行為模式層面，對(duì)0day漏洞進(jìn)行有效感知，彌補(bǔ)傳統(tǒng)流量規(guī)則檢測(cè)方案無(wú)法實(shí)現(xiàn)的未知漏洞攻擊防御。針對(duì)內(nèi)存馬，RASP首先可通過(guò)建立內(nèi)存馬檢測(cè)模型，持續(xù)檢測(cè)內(nèi)存中可能存在的惡意代碼，覆蓋大部分特征已知的內(nèi)存馬。其次，RASP可以對(duì)內(nèi)存馬注入可能利用到的關(guān)鍵函數(shù)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，從行為模式層面以“主被動(dòng)結(jié)合”的方式發(fā)現(xiàn)內(nèi)存馬，以此覆蓋剩余的特征未知的內(nèi)存馬。

響應(yīng)阻斷與修復(fù)：在應(yīng)用內(nèi)部，基于應(yīng)用訪問(wèn)關(guān)系，梳理應(yīng)用的拓?fù)潢P(guān)系與數(shù)據(jù)流，逐步形成應(yīng)用的安全運(yùn)行基線，降低在不同應(yīng)用區(qū)域間潛在的攻擊者橫向移動(dòng)風(fēng)險(xiǎn)。

應(yīng)用場(chǎng)景

攻防實(shí)戰(zhàn)演練

伴隨著演習(xí)經(jīng)驗(yàn)的不斷豐富，攻擊隊(duì)更加專注于應(yīng)用安全的研究，在演習(xí)中經(jīng)常使用供應(yīng)鏈攻擊等迂回手法來(lái)挖掘出特定0day漏洞，由于攻防對(duì)抗技術(shù)不對(duì)等，導(dǎo)致防守方經(jīng)常處于被動(dòng)劣勢(shì)。此時(shí)，用戶可通過(guò)部署和運(yùn)營(yíng)RASP，搶占對(duì)抗先機(jī)。

演練前，可梳理應(yīng)用資產(chǎn)，收斂潛在攻擊暴露面。RASP可進(jìn)行應(yīng)用資產(chǎn)梳理，形成應(yīng)用資產(chǎn)清單，明確應(yīng)用中間件的類型、運(yùn)行環(huán)境、版本信息等關(guān)鍵信息。同時(shí)，通過(guò)漏洞發(fā)現(xiàn)、基線安全等檢測(cè)功能，結(jié)合修復(fù)加固手段對(duì)問(wèn)題逐一整改，消除應(yīng)用安全隱患，使應(yīng)用安全風(fēng)險(xiǎn)維持在可控范圍。

演練中，可持續(xù)檢測(cè)與分析，實(shí)現(xiàn)有效防御與溯源。RASP通過(guò)探針對(duì)應(yīng)用程序的訪問(wèn)請(qǐng)求進(jìn)行持續(xù)監(jiān)控和分析，結(jié)合應(yīng)用上下文和攻擊檢測(cè)引擎，使得應(yīng)用程序在遭受攻擊，特別是0day、內(nèi)存馬等高級(jí)別攻擊時(shí)能夠?qū)崿F(xiàn)有效的自我防御。另外，RASP可以從多維度捕獲攻擊者信息，聚合形成攻擊者畫像，同時(shí)溯源整個(gè)攻擊到防御的閉環(huán)過(guò)程。

演練后，結(jié)合上下文信息，全面提高應(yīng)用安全等級(jí)。RASP不僅關(guān)注攻擊行為中的指令和代碼本身，還關(guān)注涉及到的上下文。因此安全人員可以通過(guò)RASP提供的調(diào)用堆棧信息等內(nèi)容，推動(dòng)研發(fā)人員進(jìn)行代碼級(jí)漏洞修復(fù)，調(diào)整安全策略，進(jìn)行整體加固，全面提高應(yīng)用安全等級(jí)。同時(shí)，RASP支持攻擊事件統(tǒng)計(jì)分析和日志功能，幫助安全人員快速整理安全匯報(bào)材料，顯著地提升安全運(yùn)營(yíng)工作效率。

業(yè)務(wù)在線修復(fù)

研發(fā)團(tuán)隊(duì)會(huì)引入第三方組件庫(kù)來(lái)加速軟件開發(fā)過(guò)程，且在已知代碼存在安全風(fēng)險(xiǎn)的情況下，推入生產(chǎn)環(huán)境，造成更多漏洞積壓，且上線后安全訴求因排期等問(wèn)題無(wú)法修復(fù)。企業(yè)可部署RASP，設(shè)定符合組件漏洞特征的專屬漏洞補(bǔ)丁，無(wú)需業(yè)務(wù)重啟即可實(shí)現(xiàn)在線修復(fù)。

邊界無(wú)限明星產(chǎn)品靖云甲ADR應(yīng)用檢測(cè)與響應(yīng)系統(tǒng)基于RASP技術(shù)，以云原生為場(chǎng)景，以數(shù)據(jù)鏈路為核心，以流量安全、API安全和數(shù)據(jù)安全作為安全能力切入點(diǎn)，引入多項(xiàng)前瞻性的技術(shù)理念，通過(guò)對(duì)應(yīng)用風(fēng)險(xiǎn)的持續(xù)檢測(cè)和安全風(fēng)險(xiǎn)快速響應(yīng)，幫助企業(yè)應(yīng)對(duì)來(lái)自業(yè)務(wù)增長(zhǎng)、技術(shù)革新和基礎(chǔ)設(shè)施環(huán)境變化所產(chǎn)生的等諸多應(yīng)用安全新挑戰(zhàn)，獲評(píng)RASP領(lǐng)航者的稱號(hào)可謂是實(shí)至名歸。

靖云甲ADR核心能力：

0day漏洞無(wú)規(guī)則防御，采用RASP技術(shù)，無(wú)需任何規(guī)則即可實(shí)現(xiàn)0day漏洞攔截，可天然免疫業(yè)界90%以上0day漏洞。

內(nèi)存馬免重啟查殺：應(yīng)用內(nèi)存級(jí)別的內(nèi)存馬查殺，有效提高檢測(cè)效率和準(zhǔn)確性，無(wú)需重啟業(yè)務(wù)一鍵清除內(nèi)存馬。

組件庫(kù)動(dòng)態(tài)采集管理：采用動(dòng)態(tài)捕獲技術(shù)，在應(yīng)用運(yùn)行過(guò)程中自動(dòng)收集并展示第三方組件信息及調(diào)用情況，實(shí)現(xiàn)供應(yīng)鏈資產(chǎn)的清點(diǎn)和管理。

API和敏感數(shù)據(jù)清點(diǎn)：采用“流量+框架”的雙層檢測(cè)機(jī)制，更細(xì)顆粒度地采集API資產(chǎn)，并內(nèi)置敏感數(shù)據(jù)檢測(cè)模型。

靖云甲ADR典型應(yīng)用場(chǎng)景：

攻防演練：在HW或?qū)崙?zhàn)，靖云甲ADR可視為RASP2.0，以探針形式注入應(yīng)用，對(duì)內(nèi)存馬、0Day漏洞這兩個(gè)最令人頭疼的問(wèn)題，ADR的防護(hù)作用獨(dú)樹一幟。在演練場(chǎng)景或是實(shí)際攻防，如被內(nèi)存馬注入，靖云甲ADR還可以作為清除內(nèi)存馬的應(yīng)急手段。

供應(yīng)鏈風(fēng)險(xiǎn)治理：不僅可以幫助用戶防護(hù)OA、財(cái)務(wù)系統(tǒng)、報(bào)表、應(yīng)用集權(quán)和研發(fā)系統(tǒng)、中間件等(如泛微、致遠(yuǎn)、用友等)容易被攻擊的系統(tǒng)，還可以加強(qiáng)開源組件庫(kù)風(fēng)險(xiǎn)治理，洞悉應(yīng)用運(yùn)行時(shí)的組件調(diào)用關(guān)系，將組件漏洞分類分級(jí)，為研發(fā)及第三方修補(bǔ)提供依據(jù)。

云上應(yīng)用安全防護(hù)：適應(yīng)復(fù)雜IT環(huán)境，實(shí)現(xiàn)統(tǒng)一管控策略，打破云邊界，提高安全水平，應(yīng)用發(fā)布即可免疫0day漏洞，確保發(fā)布即安全。

老舊業(yè)務(wù)風(fēng)險(xiǎn)治理：不需要任何代碼改動(dòng)的情況下將安全防護(hù)能力注入老舊業(yè)務(wù)中，消除由于老舊代碼無(wú)人維護(hù)，需要長(zhǎng)期“負(fù)傷”運(yùn)行的安全風(fēng)險(xiǎn)，特別是早期采購(gòu)的業(yè)務(wù)系統(tǒng)，往往出現(xiàn)沒(méi)有源碼難以自行維護(hù)的情況，ADR可以采用虛擬補(bǔ)丁技術(shù)，保障老舊業(yè)務(wù)平穩(wěn)運(yùn)行。

API安全水位提升：ADR嵌入應(yīng)用內(nèi)部，可全量盤點(diǎn)API資產(chǎn)，發(fā)現(xiàn)影子API、僵尸API，提高安全防護(hù)水平。

整體應(yīng)用安全能力增強(qiáng)：已經(jīng)部署WAF、SOC、HIDS等的客戶，可與ADR聯(lián)防聯(lián)控、內(nèi)外結(jié)合、縱深防御，補(bǔ)足短板。

在實(shí)戰(zhàn)演練長(zhǎng)常態(tài)化的今天，RASP作為應(yīng)用0day漏洞防御、內(nèi)存馬注入防御等高危風(fēng)險(xiǎn)的領(lǐng)防技術(shù)，已經(jīng)被客戶廣泛認(rèn)可，邊界無(wú)限連續(xù)中標(biāo)三大金融客戶及核心能源央企RASP建設(shè)項(xiàng)目便是最有力的證明。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）