行業首部《數字安全藍皮書》發佈 邊界無限領航RASP賽道

摘要:應用安全防護最優解

近日,國內數字化産業第三方調研與諮詢機構數世諮詢和CIO時代聯合主辦的第四屆數字安全大會在北京隆重召開,大會中重磅發佈了由數世諮詢牽頭聯合産業、學術、政府部門等智慧編制的國內首本《數字安全藍皮書》。

《數字安全藍皮書》對數字安全技術與産業的現狀,以及數字安全的理念定義、本質特徵作出了梳理和闡述,旨在探討數字安全內涵、明晰數字安全的重要性並凝聚産業共識的著作,構建溝通與探討的語言,統一産業思想、集中技術資源,使數字安全發展不偏航、不出軌,穩定、持續地助力數字中國建設。北京邊界無限科技有限公司(邊界無限,BoundaryX)憑藉深厚技術積澱以及在應用運作時自保護(RASP)領域的銳意創新,獲評RASP賽道領航者。

《數字安全藍皮書》明確了運作時應用自保護(RASP)的定義、核心能力、應用場景等內容。

RASP定義

RASP(Runtime Application Self-Protection,運作時應用自保護)指一種安全技術,能被構建或連接到應用程式或應用程式的運作環境中,並能夠控制應用程式的執行並實時檢測和防止攻擊。

核心能力

探針:根據不同電腦語言開發相對應的探針,如常見的 Java、Golang、Python、PHP(頁面超文本預處理器)等電腦語言。在不同語言中使用的探針是不同的,RASP依賴於向應用程式注入的探針,利用探針對不同語言虛擬機敏感方法進行插樁,在進行插樁之後就能獲取應用程式執行上下文及參數資訊。

高級威脅檢測:具備對0day漏洞、記憶體馬等高級威脅的檢測技術和能力。針對0day漏洞,RASP對應用程式中的關鍵執行函數進行監聽,同時結合上下文資訊進行判斷,因此能夠更加全面地覆蓋攻擊路徑,進而從行為模式層面,對0day漏洞進行有效感知,彌補傳統流量規則檢測方案無法實現的未知漏洞攻擊防禦。針對記憶體馬,RASP首先可通過建立記憶體馬檢測模型,持續檢測記憶體中可能存在的惡意代碼,覆蓋大部分特徵已知的記憶體馬。其次,RASP可以對記憶體馬注入可能利用到的關鍵函數進行實時監測,從行為模式層面以“主被動結合”的方式發現記憶體馬,以此覆蓋剩餘的特徵未知的記憶體馬。

響應阻斷與修復:在應用內部,基於應用訪問關係,梳理應用的拓撲關係與數據流,逐步形成應用的安全運作基線,降低在不同應用區域間潛在的攻擊者橫向移動風險。

應用場景

攻防實戰演練

伴隨著演習經驗的不斷豐富,攻擊隊更加專注于應用安全的研究,在演習中經常使用供應鏈攻擊等迂迴手法來挖掘出特定0day漏洞,由於攻防對抗技術不對等,導致防守方經常處於被動劣勢。此時,用戶可通過部署和運營RASP,搶佔對抗先機。

演練前,可梳理應用資産,收斂潛在攻擊暴露面。RASP可進行應用資産梳理,形成應用資産清單,明確應用中間件的類型、運作環境、版本資訊等關鍵資訊。同時,通過漏洞發現、基線安全等檢測功能,結合修復加固手段對問題逐一整改,消除應用安全隱患,使應用安全風險維持在可控範圍。

演練中,可持續檢測與分析,實現有效防禦與溯源。RASP通過探針對應用程式的訪問請求進行持續監控和分析,結合應用上下文和攻擊檢測引擎,使得應用程式在遭受攻擊,特別是0day、記憶體馬等高級別攻擊時能夠實現有效的自我防禦。另外,RASP可以從多維度捕獲攻擊者資訊,聚合形成攻擊者畫像,同時溯源整個攻擊到防禦的閉環過程。

演練後,結合上下文資訊,全面提高應用安全等級。RASP不僅關注攻擊行為中的指令和代碼本身,還關注涉及到的上下文。因此安全人員可以通過RASP提供的調用堆棧資訊等內容,推動研發人員進行代碼級漏洞修復,調整安全策略,進行整體加固,全面提高應用安全等級。同時,RASP支援攻擊事件統計分析和日誌功能,幫助安全人員快速整理安全彙報材料,顯著地提升安全運營工作效率。

業務線上修復

研發團隊會引入第三方組件庫來加速軟體開發過程,且在已知代碼存在安全風險的情況下,推入生産環境,造成更多漏洞積壓,且上線後安全訴求因排期等問題無法修復。企業可部署RASP,設定符合組件漏洞特徵的專屬漏洞補丁,無需業務重啟即可實現線上修復。

邊界無限明星産品靖雲甲ADR應用檢測與響應系統基於RASP技術,以雲原生為場景,以數據鏈路為核心,以流量安全、API安全和數據安全作為安全能力切入點,引入多項前瞻性的技術理念,通過對應用風險的持續檢測和安全風險快速響應,幫助企業應對來自業務增長、技術革新和基礎設施環境變化所産生的等諸多應用安全新挑戰,獲評RASP領航者的稱號可謂是實至名歸。

靖雲甲ADR核心能力:

0day漏洞無規則防禦,採用RASP技術,無需任何規則即可實現0day漏洞攔截,可天然免疫業界90%以上0day漏洞。

記憶體馬免重啟查殺:應用記憶體級別的記憶體馬查殺,有效提高檢測效率和準確性,無需重啟業務一鍵清除記憶體馬。

組件庫動態採集管理:採用動態捕獲技術,在應用運作過程中自動收集並展示第三方組件資訊及調用情況,實現供應鏈資産的清點和管理。

API和敏感數據清點:採用“流量+框架”的雙層檢測機制,更細顆粒度地採集API資産,並內置敏感數據檢測模型。

靖雲甲ADR典型應用場景:

攻防演練:在HW或實戰,靖雲甲ADR可視為RASP2.0,以探針形式注入應用,對記憶體馬、0Day漏洞這兩個最令人頭疼的問題,ADR的防護作用獨樹一幟。在演練場景或是實際攻防,如被記憶體馬注入,靖雲甲ADR還可以作為清除記憶體馬的應急手段。

供應鏈風險治理:不僅可以幫助用戶防護OA、財務系統、報表、應用集權和研發系統、中間件等(如泛微、致遠、用友等)容易被攻擊的系統,還可以加強開源組件庫風險治理,洞悉應用運作時的組件調用關係,將組件漏洞分類分級,為研發及第三方修補提供依據。

雲上應用安全防護:適應複雜IT環境,實現統一管控策略,打破雲邊界,提高安全水準,應用發佈即可免疫0day漏洞,確保發佈即安全。

老舊業務風險治理:不需要任何代碼改動的情況下將安全防護能力注入老舊業務中,消除由於老舊代碼無人維護,需要長期“負傷”運作的安全風險,特別是早期採購的業務系統,往往出現沒有源碼難以自行維護的情況,ADR可以採用虛擬補丁技術,保障老舊業務平穩運作。

API安全水位提升:ADR嵌入應用內部,可全量盤點API資産,發現影子API、僵屍API,提高安全防護水準。

整體應用安全能力增強:已經部署WAF、SOC、HIDS等的客戶,可與ADR聯防聯控、內外結合、縱深防禦,補足短板。

在實戰演練長常態化的今天,RASP作為應用0day漏洞防禦、記憶體馬注入防禦等高危風險的領防技術,已經被客戶廣泛認可,邊界無限連續中標三大金融客戶及核心能源央企RASP建設項目便是最有力的證明。