摘要:RASP2.0
近日,國內(nèi)數(shù)字化產(chǎn)業(yè)第三方調(diào)研與咨詢機(jī)構(gòu)數(shù)世咨詢和CIO時(shí)代聯(lián)合主辦的第四屆數(shù)字安全大會(huì)在北京隆重召開,大會(huì)中重磅發(fā)布了由數(shù)世咨詢牽頭聯(lián)合產(chǎn)業(yè)、學(xué)術(shù)、政府部門等智慧,編制的國內(nèi)首本《數(shù)字安全藍(lán)皮書》。
《數(shù)字安全藍(lán)皮書》對數(shù)字安全技術(shù)與產(chǎn)業(yè)的現(xiàn)狀,以及數(shù)字安全的理念定義、本質(zhì)特征作出了梳理和闡述,旨在探討數(shù)字安全內(nèi)涵、明晰數(shù)字安全的重要性并凝聚產(chǎn)業(yè)共識(shí)的著作,構(gòu)建溝通與探討的語言,統(tǒng)一產(chǎn)業(yè)思想、集中技術(shù)資源,使數(shù)字安全發(fā)展不偏航、不出軌,穩(wěn)定、持續(xù)地助力數(shù)字中國建設(shè)。北京邊界無限科技有限公司(邊界無限,BoundaryX)憑借深厚技術(shù)積淀以及在應(yīng)用檢測與響應(yīng)(ADR)領(lǐng)域的銳意創(chuàng)新,獲評ADR賽道領(lǐng)航者。
《數(shù)字安全藍(lán)皮書》明確了應(yīng)用檢測與響應(yīng)(ADR)的定義、核心能力、應(yīng)用場景等內(nèi)容。
應(yīng)用檢測與響應(yīng)(ADR)的定義
應(yīng)用檢測與響應(yīng)(Application Detection and Response,ADR)是指,以Web應(yīng)用為主要檢測與響應(yīng)對象,以RASP技術(shù)為內(nèi)核,采集應(yīng)用運(yùn)行環(huán)境與應(yīng)用內(nèi)部的用戶輸入、上下文信息、訪問行為等流量數(shù)據(jù)并上傳至分析管理平臺(tái),輔助威脅情報(bào)關(guān)聯(lián)分析后,以自動(dòng)化策略或人工響應(yīng)處置安全事件的解決方案。
核心能力:
應(yīng)用運(yùn)行時(shí)的入侵檢測技術(shù):可在JAVA、PHP 、Golang語言中進(jìn)行數(shù)據(jù)采集,數(shù)據(jù)采集之后,核心算法引擎將根據(jù)應(yīng)用運(yùn)行上下文來做出準(zhǔn)確的攻擊分析以及決策。
探針功能解耦技術(shù):基于分離加載的技術(shù)方案實(shí)現(xiàn)了探針功能插件化,使探針具備熱插拔能力,從而根據(jù)企業(yè)的實(shí)際需求,保障業(yè)務(wù)性能和功能的相對平衡。
代碼框架分析技術(shù):基于應(yīng)用中包含的標(biāo)準(zhǔn)方法,在程序運(yùn)行時(shí)調(diào)用框架中的接口定義方法,來獲取程序中的API資產(chǎn)。
組件庫調(diào)用分析技術(shù):Java語言中通過 JVM(Java虛擬機(jī)) 提供的 JVMTI (Java虛擬機(jī)工具接口) 技術(shù)將探針注入到目標(biāo)應(yīng)用內(nèi),實(shí)現(xiàn)完整獲取到應(yīng)用程序中加載的 jar 包(一種Java文檔格式)。PHP語言通過解析應(yīng)用程序的composer.lock 文件來完成組件庫的采集,若應(yīng)用程序中未存在 composer.lock 文件將降級解析 composer.json 文件來完成組件庫的采集。
流量請求分析技術(shù):探針在注入到應(yīng)用程序之后,通過Hook的方式獲取到應(yīng)用輸入和輸出請求,采集輸入輸出請求對數(shù)據(jù)進(jìn)行分析,可發(fā)現(xiàn)應(yīng)用的流量行為以及在當(dāng)前上下文下的數(shù)據(jù)意義,也可分析出應(yīng)用與應(yīng)用之前的調(diào)用關(guān)系,形成業(yè)務(wù)拓?fù)鋱D。
應(yīng)用場景:
應(yīng)用安全體系建設(shè):對于企業(yè)而言,應(yīng)用安全是一個(gè)技術(shù)體系,單一的產(chǎn)品無法真正實(shí)現(xiàn)應(yīng)用安全。在一個(gè)完整的應(yīng)用安全體系里,有很多執(zhí)行不同任務(wù)的安全產(chǎn)品,它們聯(lián)合作戰(zhàn),在功能上互相彌補(bǔ),才能實(shí)現(xiàn)保衛(wèi)應(yīng)用安全的目標(biāo)。目前WAF等傳統(tǒng)邊界防護(hù)產(chǎn)品暴露出的不足催生了ADR等新型應(yīng)用安全防護(hù)技術(shù)的誕生。ADR不但可以跟WAF等能力互補(bǔ),還可以與SCA、SOC、WAAP、HIDS、HDR、容器安全、云原生安全能力(如微隔離)等在不同場景下形成合力,從而構(gòu)建縱深防御、全面監(jiān)控的企業(yè)整體應(yīng)用安全體系。在這其中,ADR不可或缺,因?yàn)樯钊霊?yīng)用內(nèi)部的特性,保障了應(yīng)用安全的“最后一道防線”。ADR針對應(yīng)用的框架、組件、業(yè)務(wù)屬性、時(shí)間線等具備細(xì)粒度的資產(chǎn)管理能力、可視化的資產(chǎn)信息展示能力。除此之外,對于應(yīng)用框架中的第三方組件庫,ADR具備動(dòng)態(tài)采集加載組件庫信息的能力。ADR通過流量請求分析技術(shù)和代碼框架分析技術(shù)對應(yīng)用進(jìn)行流量離線分析和代碼框架API采集,實(shí)現(xiàn)對API資產(chǎn)的自動(dòng)發(fā)現(xiàn)和API資產(chǎn)可視化;通過API的流量訪問情況檢測出是否存在影子API;內(nèi)置的海量敏感信息檢測庫,能夠?qū)PI的參數(shù)及請求頭等關(guān)鍵內(nèi)容進(jìn)行風(fēng)險(xiǎn)評估,為API安全優(yōu)化提供輔助性的策略。未來ADR技術(shù)將向云原生應(yīng)用程序保護(hù)平臺(tái)的方向發(fā)展演進(jìn),將為企業(yè)的應(yīng)用安全防護(hù)提供更有力的支持。
軟件供應(yīng)鏈安全治理:在安全運(yùn)營團(tuán)隊(duì)處理高危漏洞時(shí),ADR可以提供全量的組件庫資產(chǎn)信息清單,精準(zhǔn)定位到組件涉及的應(yīng)用范圍及組件路徑、版本等相關(guān)信息,幫助團(tuán)隊(duì)快速完成前期統(tǒng)計(jì)工作;在漏洞修復(fù)計(jì)劃制定時(shí),ADR可以提供組件的加載情況,對于被應(yīng)用引入但實(shí)際并未調(diào)用的組件庫可以安排后期修復(fù),先期對被調(diào)用的組件應(yīng)用進(jìn)行優(yōu)先修復(fù),幫助安全運(yùn)營團(tuán)隊(duì)確定應(yīng)用路東修復(fù)優(yōu)先級。尤其是客戶外采或者外包的軟件產(chǎn)品,一旦出現(xiàn)高危漏洞,將使客戶面臨極大的風(fēng)險(xiǎn),ADR可以有效防護(hù)這些供應(yīng)商提供應(yīng)用在業(yè)務(wù)運(yùn)行時(shí)態(tài)的安全狀態(tài)。ADR基于RASP的免重啟探針注入技術(shù),可以在不影響業(yè)務(wù)運(yùn)行,且不需要任何代碼改動(dòng)的情況下將安全防護(hù)能力注入老舊業(yè)務(wù)中,消除由于老舊代碼無人維護(hù),需要長期“負(fù)傷”運(yùn)行的安全風(fēng)險(xiǎn);對于早期采購的業(yè)務(wù)系統(tǒng)可能由于供應(yīng)商無法提供源碼,難以自行維護(hù)的情況,ADR可以采用虛擬補(bǔ)丁技術(shù),提供方法級的應(yīng)用漏洞補(bǔ)丁,持續(xù)保障老舊業(yè)務(wù)平穩(wěn)運(yùn)行。
邊界無限明星產(chǎn)品靖云甲ADR應(yīng)用檢測與響應(yīng)系統(tǒng)基于RASP技術(shù),以云原生為場景,以數(shù)據(jù)鏈路為核心,以流量安全、API安全和數(shù)據(jù)安全作為安全能力切入點(diǎn),引入多項(xiàng)前瞻性的技術(shù)理念,通過對應(yīng)用風(fēng)險(xiǎn)的持續(xù)檢測和安全風(fēng)險(xiǎn)快速響應(yīng),幫助企業(yè)應(yīng)對來自業(yè)務(wù)增長、技術(shù)革新和基礎(chǔ)設(shè)施環(huán)境變化所產(chǎn)生的等諸多應(yīng)用安全新挑戰(zhàn)。此前,在數(shù)世咨詢發(fā)布的安全業(yè)界首份《ADR能力白皮書》中推薦了ADR領(lǐng)域的代表性廠商,邊界無限憑借其被喻為應(yīng)用“免疫血清”的靖云甲ADR成為唯一被推薦的國內(nèi)公司,這是技術(shù)優(yōu)勢與創(chuàng)新能力的雙重體現(xiàn),獲評ADR領(lǐng)航者的稱號可謂是實(shí)至名歸。
靖云甲ADR核心能力:
靖云甲ADR可實(shí)現(xiàn)0day漏洞無規(guī)則防御,采用RASP技術(shù),無需任何規(guī)則即可實(shí)現(xiàn)0day漏洞攔截,可天然免疫業(yè)界90%以上0day漏洞。
內(nèi)存馬免重啟查殺:應(yīng)用內(nèi)存級別的內(nèi)存馬查殺,有效提高檢測效率和準(zhǔn)確性,無需重啟業(yè)務(wù)一鍵清除內(nèi)存馬。
組件庫動(dòng)態(tài)采集管理:采用動(dòng)態(tài)捕獲技術(shù),在應(yīng)用運(yùn)行過程中自動(dòng)收集并展示第三方組件信息及調(diào)用情況,實(shí)現(xiàn)供應(yīng)鏈資產(chǎn)的清點(diǎn)和管理。
API和敏感數(shù)據(jù)清點(diǎn):采用“流量+框架”的雙層檢測機(jī)制,更細(xì)顆粒度地采集API資產(chǎn),并內(nèi)置敏感數(shù)據(jù)檢測模型。
靖云甲ADR典型應(yīng)用場景:
攻防演練:在HW或?qū)崙?zhàn),靖云甲ADR可視為RASP2.0,以探針形式注入應(yīng)用,對內(nèi)存馬、0Day漏洞這兩個(gè)最令人頭疼的問題,ADR的防護(hù)作用獨(dú)樹一幟。在演練場景或是實(shí)際攻防,如被內(nèi)存馬注入,靖云甲ADR還可以作為清除內(nèi)存馬的應(yīng)急手段。
供應(yīng)鏈風(fēng)險(xiǎn)治理:不僅可以幫助用戶防護(hù)OA、財(cái)務(wù)系統(tǒng)、報(bào)表、應(yīng)用集權(quán)和研發(fā)系統(tǒng)、中間件等(如泛微、致遠(yuǎn)、用友等)容易被攻擊的系統(tǒng),還可以加強(qiáng)開源組件庫風(fēng)險(xiǎn)治理,洞悉應(yīng)用運(yùn)行時(shí)的組件調(diào)用關(guān)系,將組件漏洞分類分級,為研發(fā)及第三方修補(bǔ)提供依據(jù)。
云上應(yīng)用安全防護(hù):適應(yīng)復(fù)雜IT環(huán)境,實(shí)現(xiàn)統(tǒng)一管控策略,打破云邊界,提高安全水平,應(yīng)用發(fā)布即可免疫0day漏洞,確保發(fā)布即安全。
老舊業(yè)務(wù)風(fēng)險(xiǎn)治理:不需要任何代碼改動(dòng)的情況下將安全防護(hù)能力注入老舊業(yè)務(wù)中,消除由于老舊代碼無人維護(hù),需要長期“負(fù)傷”運(yùn)行的安全風(fēng)險(xiǎn),特別是早期采購的業(yè)務(wù)系統(tǒng),往往出現(xiàn)沒有源碼難以自行維護(hù)的情況,ADR可以采用虛擬補(bǔ)丁技術(shù),保障老舊業(yè)務(wù)平穩(wěn)運(yùn)行。
API安全水位提升:ADR嵌入應(yīng)用內(nèi)部,可全量盤點(diǎn)API資產(chǎn),發(fā)現(xiàn)影子API、僵尸API,提高安全防護(hù)水平。
整體應(yīng)用安全能力增強(qiáng):已經(jīng)部署WAF、SOC、HIDS等的客戶,可與ADR聯(lián)防聯(lián)控、內(nèi)外結(jié)合、縱深防御,補(bǔ)足短板。
總體而言,ADR是應(yīng)用安全防護(hù)的更新形態(tài),兼顧合規(guī)與攻防,兼具運(yùn)行時(shí)防護(hù)與供應(yīng)鏈安全管理,是RASP技術(shù)的全面升級,可與WAF形成縱深防御體系,將應(yīng)用安全防護(hù)從注重邊界防御的1.0時(shí)代提升至“內(nèi)外兼顧”的2.0時(shí)代。
在實(shí)戰(zhàn)演練長常態(tài)化的今天,基于RASP技術(shù)的靖云甲ADR作為應(yīng)用0day漏洞防御、內(nèi)存馬注入防御等高危風(fēng)險(xiǎn)的領(lǐng)防技術(shù),已經(jīng)被客戶廣泛認(rèn)可,邊界無限連續(xù)中標(biāo)三大金融客戶及核心能源央企RASP建設(shè)項(xiàng)目便是最有力的證明。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )