RASP能力煥新升級 邊界無限領航ADR賽道

摘要:RASP2.0

近日,國內數字化産業第三方調研與諮詢機構數世諮詢和CIO時代聯合主辦的第四屆數字安全大會在北京隆重召開,大會中重磅發佈了由數世諮詢牽頭聯合産業、學術、政府部門等智慧,編制的國內首本《數字安全藍皮書》。

《數字安全藍皮書》對數字安全技術與産業的現狀,以及數字安全的理念定義、本質特徵作出了梳理和闡述,旨在探討數字安全內涵、明晰數字安全的重要性並凝聚産業共識的著作,構建溝通與探討的語言,統一産業思想、集中技術資源,使數字安全發展不偏航、不出軌,穩定、持續地助力數字中國建設。北京邊界無限科技有限公司(邊界無限,BoundaryX)憑藉深厚技術積澱以及在應用檢測與響應(ADR)領域的銳意創新,獲評ADR賽道領航者。

《數字安全藍皮書》明確了應用檢測與響應(ADR)的定義、核心能力、應用場景等內容。

應用檢測與響應(ADR)的定義

應用檢測與響應(Application Detection and Response,ADR)是指,以Web應用為主要檢測與響應對象,以RASP技術為內核,採集應用運作環境與應用內部的用戶輸入、上下文資訊、訪問行為等流量數據並上傳至分析管理平臺,輔助威脅情報關聯分析後,以自動化策略或人工響應處置安全事件的解決方案。

核心能力:

應用運作時的入侵檢測技術:可在JAVA、PHP、Golang語言中進行數據採集,數據採集之後,核心演算法引擎將根據應用運作上下文來做出準確的攻擊分析以及決策。

探針功能解耦技術:基於分離載入的技術方案實現了探針功能插件化,使探針具備熱插拔能力,從而根據企業的實際需求,保障業務性能和功能的相對平衡。

代碼框架分析技術:基於應用中包含的標準方法,在程式運作時調用框架中的介面定義方法,來獲取程式中的API資産。

組件庫調用分析技術:Java語言中通過 JVM(Java虛擬機)提供的 JVMTI (Java虛擬機工具介面)技術將探針注入到目標應用內,實現完整獲取到應用程式中載入的 jar包(一種Java文檔格式)。PHP語言通過解析應用程式的composer.lock文件來完成組件庫的採集,若應用程式中未存在 composer.lock文件將降級解析 composer.json文件來完成組件庫的採集。

流量請求分析技術:探針在注入到應用程式之後,通過Hook的方式獲取到應用輸入和輸出請求,採集輸入輸出請求對數據進行分析,可發現應用的流量行為以及在當前上下文下的數據意義,也可分析出應用與應用之前的調用關係,形成業務拓撲圖。

應用場景:

應用安全體系建設:對於企業而言,應用安全是一個技術體系,單一的産品無法真正實現應用安全。在一個完整的應用安全體系裏,有很多執行不同任務的安全産品,它們聯合作戰,在功能上互相彌補,才能實現保衛應用安全的目標。目前WAF等傳統邊界防護産品暴露出的不足催生了ADR等新型應用安全防護技術的誕生。ADR不但可以跟WAF等能力互補,還可以與SCA、SOC、WAAP、HIDS、HDR、容器安全、雲原生安全能力(如微隔離)等在不同場景下形成合力,從而構建縱深防禦、全面監控的企業整體應用安全體系。在這其中,ADR不可或缺,因為深入應用內部的特性,保障了應用安全的“最後一道防線”。ADR針對應用的框架、組件、業務屬性、時間線等具備細粒度的資産管理能力、可視化的資産資訊展示能力。除此之外,對於應用框架中的第三方組件庫,ADR具備動態採集載入組件庫資訊的能力。ADR通過流量請求分析技術和代碼框架分析技術對應用進行流量離線分析和代碼框架API採集,實現對API資産的自動發現和API資産可視化;通過API的流量訪問情況檢測出是否存在影子API;內置的海量敏感資訊檢測庫,能夠對API的參數及請求頭等關鍵內容進行風險評估,為API安全優化提供輔助性的策略。未來ADR技術將向雲原生應用程式保護平臺的方向發展演進,將為企業的應用安全防護提供更有力的支援。

軟體供應鏈安全治理:在安全運營團隊處理高危漏洞時,ADR可以提供全量的組件庫資産資訊清單,精準定位到組件涉及的應用範圍及組件路徑、版本等相關資訊,幫助團隊快速完成前期統計工作;在漏洞修復計劃制定時,ADR可以提供組件的載入情況,對於被應用引入但實際並未調用的組件庫可以安排後期修復,先期對被調用的組件應用進行優先修復,幫助安全運營團隊確定應用路東修復優先級。尤其是客戶外採或者外包的軟體産品,一旦出現高危漏洞,將使客戶面臨極大的風險,ADR可以有效防護這些供應商提供應用在業務運作時態的安全狀態。ADR基於RASP的免重啟探針注入技術,可以在不影響業務運作,且不需要任何代碼改動的情況下將安全防護能力注入老舊業務中,消除由於老舊代碼無人維護,需要長期“負傷”運作的安全風險;對於早期採購的業務系統可能由於供應商無法提供源碼,難以自行維護的情況,ADR可以採用虛擬補丁技術,提供方法級的應用漏洞補丁,持續保障老舊業務平穩運作。

邊界無限明星産品靖雲甲ADR應用檢測與響應系統基於RASP技術,以雲原生為場景,以數據鏈路為核心,以流量安全、API安全和數據安全作為安全能力切入點,引入多項前瞻性的技術理念,通過對應用風險的持續檢測和安全風險快速響應,幫助企業應對來自業務增長、技術革新和基礎設施環境變化所産生的等諸多應用安全新挑戰。此前,在數世諮詢發佈的安全業界首份《ADR能力白皮書》中推薦了ADR領域的代表性廠商,邊界無限憑藉其被喻為應用“免疫血清”的靖雲甲ADR成為唯一被推薦的國內公司,這是技術優勢與創新能力的雙重體現,獲評ADR領航者的稱號可謂是實至名歸。

靖雲甲ADR核心能力:

靖雲甲ADR可實現0day漏洞無規則防禦,採用RASP技術,無需任何規則即可實現0day漏洞攔截,可天然免疫業界90%以上0day漏洞。

記憶體馬免重啟查殺:應用記憶體級別的記憶體馬查殺,有效提高檢測效率和準確性,無需重啟業務一鍵清除記憶體馬。

組件庫動態採集管理:採用動態捕獲技術,在應用運作過程中自動收集並展示第三方組件資訊及調用情況,實現供應鏈資産的清點和管理。

API和敏感數據清點:採用“流量+框架”的雙層檢測機制,更細顆粒度地採集API資産,並內置敏感數據檢測模型。

靖雲甲ADR典型應用場景:

攻防演練:在HW或實戰,靖雲甲ADR可視為RASP2.0,以探針形式注入應用,對記憶體馬、0Day漏洞這兩個最令人頭疼的問題,ADR的防護作用獨樹一幟。在演練場景或是實際攻防,如被記憶體馬注入,靖雲甲ADR還可以作為清除記憶體馬的應急手段。

供應鏈風險治理:不僅可以幫助用戶防護OA、財務系統、報表、應用集權和研發系統、中間件等(如泛微、致遠、用友等)容易被攻擊的系統,還可以加強開源組件庫風險治理,洞悉應用運作時的組件調用關係,將組件漏洞分類分級,為研發及第三方修補提供依據。

雲上應用安全防護:適應複雜IT環境,實現統一管控策略,打破雲邊界,提高安全水準,應用發佈即可免疫0day漏洞,確保發佈即安全。

老舊業務風險治理:不需要任何代碼改動的情況下將安全防護能力注入老舊業務中,消除由於老舊代碼無人維護,需要長期“負傷”運作的安全風險,特別是早期採購的業務系統,往往出現沒有源碼難以自行維護的情況,ADR可以採用虛擬補丁技術,保障老舊業務平穩運作。

API安全水位提升:ADR嵌入應用內部,可全量盤點API資産,發現影子API、僵屍API,提高安全防護水準。

整體應用安全能力增強:已經部署WAF、SOC、HIDS等的客戶,可與ADR聯防聯控、內外結合、縱深防禦,補足短板。

總體而言,ADR是應用安全防護的更新形態,兼顧合規與攻防,兼具運作時防護與供應鏈安全管理,是RASP技術的全面升級,可與WAF形成縱深防禦體系,將應用安全防護從注重邊界防禦的1.0時代提升至“內外兼顧”的2.0時代。

在實戰演練長常態化的今天,基於RASP技術的靖雲甲ADR作為應用0day漏洞防禦、記憶體馬注入防禦等高危風險的領防技術,已經被客戶廣泛認可,邊界無限連續中標三大金融客戶及核心能源央企RASP建設項目便是最有力的證明。