近日,中國數字產業領域第三方咨詢機構數世咨詢發布安全行業首份《ADR 能力白皮書》,通過系統研究 ADR 的關鍵能力以及使用場景等,為廣大政企客戶構建整體應用防護體系提供參考和借鑒。白皮書還推薦了 ADR 領域的代表性廠商,作為一家專注于技術創新突破的安全新銳公司,邊界無限憑借其被喻為應用 " 免疫血清 " 的靖云甲 ADR 成為唯一被推薦的國內公司。該 ADR 能力白皮書在 CSA 大中華區組織的 CSA 研討會上首次發布。
ADR關鍵發現
• 應用檢測與響應(Application Detection and Response – ADR)是指以 Web 應用為主要對象,采集應用運行環境與應用內部中用戶輸入、上下文信息、訪問行為等流量數據并上傳至分析管理平臺,輔助威脅情報關聯分析后,以自動化策略或人工響應處置安全事件的解決方案。
• ADR 以 Web 應用為核心,以 RASP 為主要安全能力切入點。
• 作為安全關鍵基礎設施,ADR 能夠與 WAF、HDR、IAST 等多個安全能力形成有機配合。
• ADR 的五大關鍵技術能力:探針(Agent)、應用資產發現、高級威脅檢測、數據建模與分析、響應阻斷與修復。
• 對 0day 漏洞、無文件攻擊等高級攻擊威脅的檢測與響應已經成為 ADR 的關鍵能力之一。
• ADR 廠商將與公有云廠商、各行業云廠商建立更加深入的合作關系,逐步加快 ADR 在各行業的集中部署。
ADR應用場景
關鍵安全基礎設施
與WAF等邊界產品配合,實現縱深防護體系
WAF 部署在網絡邊界,ADR 部署在應用層。WAF 容易被繞過,而 ADR 是應用的最后一道防線。ADR 不會取代 WAF,兩者協同配合,相得益彰,共同組成縱深防御體系。
與主機側HDR配合,實現立體檢測與響應能力
雖然一定程度上 HDR 也能夠覆蓋應用層,但是基于主機側的 HDR,重點還是關注服務器、虛擬機、容器等工作負載上主機層、系統層的安全檢測與響應,因此,不屬于應用運行環境內部的 ADR,能夠與 HDR 相配合,形成由下至上、由外至內的立體檢測與響應能力。
與IAST配合,覆蓋應用的全生命周期
交互式應用程序安全測試(IAST)關注的是應用運行時的安全漏洞,目的是發現漏洞,用于開發測試階段。與 IAST 一樣,ADR 也關注應用在運行時的安全問題,但目的是發現攻擊者利用漏洞的攻擊行為,用于應用的生產運行階段。兩者配合,能夠覆蓋應用的全生命周期,為 DevOps 提供持續有效的 Sec 能力。
實戰攻防演練
攻擊隊一般會利用已知或未知漏洞,繞過或突破網絡邊界,尋找核心資產,控制管理權限。伴隨著演習經驗的不斷豐富,攻擊隊更加專注于應用安全的研究,在演習中經常使用供應鏈攻擊等迂回手法來挖掘出特定 0day 漏洞,由于攻防對抗技術不對等,導致防守方經常處于被動劣勢。此時,用戶可通過部署和運營 ADR,搶占對抗先機。
演練前梳理應用資產,收斂潛在攻擊暴露面
防守隊利用 ADR 可進行應用資產梳理,形成應用資產清單,明確應用中間件的類型、運行環境、版本信息等關鍵信息,為后續安全加固、防護做到有的放矢。同時,利用 ADR 的漏洞發現、基線安全等檢測功能,結合修復加固手段對發現的問題逐一整改,消除應用安全隱患,使應用安全風險維持在可控范圍。
演練中持續檢測與分析,實現有效防御與溯源
ADR 通過 Agent 對應用程序的訪問請求進行持續監控和分析,結合應用上下文和攻擊檢測引擎,使得應用程序在遭受攻擊——特別是 0day、無文件等高級別攻擊手段時——能夠實現有效的自我防御。另外,ADR 的溯源能力可以從多維度捕獲攻擊者信息,聚合形成攻擊者畫像,同時記錄整個攻擊到防御的閉環過程,為編寫報告提供依據。
演練后結合上下文,全面提高應用安全等級
ADR 不僅關注攻擊行為中的指令和代碼本身,還關注涉及到的上下文。因此安全人員可以通過 ADR 提供的調用堆棧信息等內容,推動研發人員進行代碼級漏洞修復,調整安全策略,進行整體加固,全面提高應用安全等級。同時,ADR 支持攻擊事件統計分析和日志功能,幫助安全人員快速整理安全匯報材料,顯著地提升安全運營工作效率。
數據治理安全
在數據生命周期中的采集、傳輸、存儲、處理、交換等各個環節中," 應用 " 是最高頻、最重要、最關鍵的數據安全場景。結合數世咨詢發布的《數據治理安全 DGS》能力白皮書,ADR 能夠有效支持數據治理安全的落地與實踐。
數據的輕量資產化
數據的輕量資產化只需將原始數據進行簡單處理,剔除劣質和無效數據后,將其制作成有效支持分析運算與業務應用的數據資產。 " 應用 " 處于業務與數據關聯的核心,是數據輕量資產化的最佳位置。ADR 基于安全視角的資產發現與管理能力,能夠為其持續提供 " 既懂數據、又懂業務 " 的輕量資產化數據。
數據的分類分級
ADR 的應用安全運行基線能力,能夠基于對國家法律法規、行業監管的理解和對業務數據的理解,極大地減少行業客戶數據分類分級初期咨詢的工作量,在日后需要匹配新的業務流轉或符合新的安全合規要求時,還能夠為 AI/ML 的深度應用持續提供最新的海量數據樣本。
配合安全能力的對接與編排調度
ADR 基于 RASP 技術,具備檢測高準確率、告警低誤報率以及實時阻斷自動化響應等優勢能力,因此可通過 API 的方式與數據安全能力接口進行對接,或結合實網攻防演練或安全運營等不同的業務場景與編排調度平臺進行配合,確保數據始終處于有效保護和合法利用的狀態。
除了上述主要場景,用戶在類似的安全重保、應用加固、供應鏈安全以及集團應用安全體系建設等場景下,都可以采用 ADR 這塊重要拼圖。
邊界無限靖云甲ADR
誠如數世咨詢 ADR 能力白皮書中所述,目前國內相關領域企業數量并不多,只有個別企業明確提出了 ADR 這一概念,而邊界無限就是這么一家將 RASP 技術提升至 ADR 的安全新銳,并憑借超強的技術前瞻性和對 ADR 的專注而入選 ADR 能力白皮書,并且成為國內唯一被推薦的 ADR 代表廠商,其自主研創的靖云甲 ADR 更是被業界稱為應用的 " 免疫血清 "。
邊界無限副總裁、產品總負責人沈思源介紹說,靖云甲 ADR 基于 RASP 技術,以 Web 應用為核心,以 RASP 為主要安全能力切入點,打造 Web 應用全方位安全檢測與響應的解決方案,是邊界無限幫助用戶構建云原生時代安全基礎設施體系的起點和戰略支點,更是 " 靈動智御 " 理念的實踐。靖云甲 ADR 引入多項前瞻性的技術理念,通過對應用風險的持續檢測和安全風險快速響應,幫助企業應對來自業務增長、技術革新和基礎設施環境變化所產生的等諸多應用安全新挑戰。
邊界無限靖云甲 ADR 擁有資產管理、入侵檢測、漏洞管理和內存馬防御等核心功能,具備免重啟、采樣決策分離、IT 部署架構、性能全面領先等核心優勢,其應用場景為業務在線修復、實戰攻防演練、惡意應用攻擊和集團應用安全建設能力等。
具體來說,在流量安全層面,邊界無限靖云甲 ADR 基于網格化流量采集,通過聯動應用端點數據、應用訪問數據,高效準確防御 0day 漏洞利用、內存馬注入等各類安全威脅;在數據安全方面通過數據審計、治理、脫敏等安全技術,有效實現數據安全風險態勢的把控。在為企業提供全面的應用安全保障的同時,ADR 通過虛擬補丁、漏洞威脅情報、訪問控制等運營處置手段,有效提高安全運營的事件處置效率。這順應了時下流行的安全技術趨勢,也滿足了廣大政企客戶的現實安全需求。
邊界無限靖云甲 ADR 擁有精準細化的資產清點、緊跟形式的安全研究、海量可靠的漏洞運營、輕量無感的性能損耗等優點,尤其是在應用資產管理、供應鏈安全、API 資產學習層面,表現優異。靖云甲 ADR 跨 IT 架構統計應用資產,實現安全能力同步管控,為應用提供安全風險評估;動態采集應用運行過程中的組件加載情況,快速感知資產動態,全面有效獲知供應鏈資產信息;自主學習流量 + 應用框架,具體來說,靖云甲 ADR 會通過插樁對應用內部框架定義的 API 方法以及應用流量進行 API 全量采集,同時利用 AI 檢測引擎請求流量進行持續分析,自動分析暴露陳舊、敏感數據等關鍵問題。
此外,邊界無限靖云甲 ADR 采用 " 主被動結合 " 雙重防御機制,對外基于 RASP 能力對內存馬的注入行為進行有效防御,對內通過建立內存馬檢測模型,通過持續分析內存中存在的惡意代碼,幫助用戶解決掉埋藏內存中的 " 定時炸彈 "。針對內存中潛藏的內存馬,靖云甲 ADR 提供了一鍵清除功能,可以直接將內存馬清除,實現對內存馬威脅的快速處理。靖云甲 ADR 還可以通過主動攔截 + 被動掃描,有效阻斷內存馬的注入;對已經被注入的內存馬提供源碼和特征檢測信息,無需重啟應用即可一鍵清除。另外,靖云甲 ADR 采用 "attach" 等方式注入 agent,無需重啟直接更新,以減少對業務運行的干擾。
截至目前,邊界無限已與關鍵基礎設施重要行業和領域的數十家客戶達成業務合作,相信隨著 RASP 以及 ADR 技術的進一步成熟,邊界無限將幫助各運營單位構建關鍵信息基礎設施整體應用防控體系,不斷提升關鍵信息基礎設施安全應用防護能力。
