近日,中國數字產業領域第三方咨詢機構數世咨詢發布安全行業首份《ADR能力白皮書》,通過系統研究ADR的關鍵能力以及使用場景等,為廣大政企客戶構建整體應用防護體系提供參考和借鑒。白皮書還推薦了ADR領域的代表性廠商,作為一家專注于技術創新突破的安全新銳公司,邊界無限憑借其被喻為應用“免疫血清”的靖云甲ADR成為唯一被推薦的國內公司。該ADR能力白皮書在CSA大中華區組織的CSA研討會上首次發布。
ADR關鍵發現
應用檢測與響應(Application Detection and Response – ADR)是指以Web應用為主要對象,采集應用運行環境與應用內部中用戶輸入、上下文信息、訪問行為等流量數據并上傳至分析管理平臺,輔助威脅情報關聯分析后,以自動化策略或人工響應處置安全事件的解決方案。
ADR以Web應用為核心,以RASP為主要安全能力切入點。
作為安全關鍵基礎設施,ADR能夠與WAF、HDR、IAST等多個安全能力形成有機配合。
ADR 的五大關鍵技術能力:探針(Agent)、應用資產發現、高級威脅檢測、數據建模與分析、響應阻斷與修復。
對0day漏洞、無文件攻擊等高級攻擊威脅的檢測與響應已經成為ADR的關鍵能力之一。
ADR廠商將與公有云廠商、各行業云廠商建立更加深入的合作關系,逐步加快ADR在各行業的集中部署。
ADR關鍵技術能力
RASP恰好處在應用訪問流量中東西向與南北向的交叉點,因此以RASP作為能力切入點,ADR 應當具備以下幾個關鍵技術能力:
探針(Agent)
應用資產發現
高級威脅檢測
數據調度與分析
響應阻斷與修復
探針(Agent)
在主機安全層面,探針技術已經開始被多數用戶接受。因此在應用安全領域,用戶對Agent的考量主要在于性能、兼容性、是否重啟等要點。
業務連續性
早期的RASP部署之后,需要重啟應用環境,對用戶的業務連續性會有較大影響。近年來,隨著技術發展,ADR已經有采用“attach”等方式注入Agent,無需重啟直接更新,以減少對業務運行的干擾。
對應用性能的影響
RASP技術實現的實質是在不接觸應用源碼的情況下,對函數進行Hook操作。因此不可避免的Agent對原有的應用性能會有影響。在PoC試用時查看Agent對性能的影響,用戶一般關注內存占用、RT(Response Time)等關鍵指標。
兼容性
首先是對多開發語言的支持,Java、Golang、PHP、Python、Nodejs等主流開發語言,Agent探針都應當支持。再就是除了對應用環境中典型中間件、第三方組件、通用類和框架類的函數等兼容外,還要能夠對自研代碼部分進行Hook。
應用資產發現與管理
ADR應當具備較強的應用資產發現與管理能力,這是后續檢測與響應的基礎。
持續資產發現
ADR所覆蓋的資產主要為應用資產、組件庫資產、API資產三大類。資產發現手段可采用第三方導入+持續發現相結合的方式。一方面導入已有的應用資產信息、第三方組件信息、所屬業務信息等資產數據,另一方面,通過具備資產信息更新的接口,便于隨時從自有的資產發現模塊,或EDR、HDR等外部端側資產信息,定期接入更新的應用資產數據。特別針對應用框架中大量的API資產,可通過插樁方式對應用流量進行全量采集并持續分析,持續發現API資產。
應用資產管理
ADR應針對應用的框架、組件、業務屬性、時間線等具備細粒度的資產管理能力、可視化的資產信息展示能力。除此之外,對于應用框架中的第三方組件庫,ADR應當具備動態采集加載組件庫信息的能力。也就是說,針對組件庫資產,要能區分在全量組件中哪些是應用已經加載的組件,以便后續環節中,對其能夠優先進行檢測與響應。特別是當供應鏈出現嚴重漏洞的時候,可以快速定位到組件使用情況,加強對供應鏈管理能力。
形成運行基線
通過持續的資產發現與管理,結合應用、中間件的配置檢查能力,由此,ADR即可形成應用安全運行基線。無論是實網攻防演練,還是日常安全運營,結合不同的業務場景,安全團隊可對應用和中間件的資產完整性、策略配置、異常行為等進行針對性的監測、檢測、響應。
ADR的能力建設到這一步,可以滿足大部分針對應用的攻擊檢測與響應需求。接下來,還需要對更高級別的攻擊行為構筑威脅檢測能力。
高級威脅檢測
基于RASP的技術實現特性,ADR應當具備對0day漏洞、內存馬等高級威脅的檢測能力。
0day漏洞
對nday漏洞的PoC檢測基于漏洞的已知特征實現。區別于此,ADR是對應用中關鍵執行函數進行Hook監聽,同時采集上下文信息結合判斷。因此能夠覆蓋更加全面的攻擊路徑,進而從行為模式的層面,對0day漏洞實現有效感知,彌補傳統流量規則檢測方案所無法實現的未知漏洞攻擊防御。
前段時間造成大范圍影響的Log4j漏洞事件中,就已經有ADR代表企業以上述思路成功阻斷了當時以0day身份出現的Log4j漏洞在客戶側的蔓延。因此,對0day漏洞的檢測與響應已經成為ADR的關鍵能力之一。
內存馬
應用內存馬的攻擊實現方式是,攻擊者通過應用漏洞結合語言特性在應用中注冊包含后門功能的API。此類API在植入之后并不會在磁盤上寫入文件,代碼數據只寄存在內存中,此類無文件攻擊特性可以很好的隱藏后門,攻擊者可長期控制業務系統或將其作為進入企業內部的網絡跳板。
針對應用內存馬,ADR首先可通過建立內存馬檢測模型,持續檢測內存中可能存在的惡意代碼,覆蓋大部分已知特征的內存馬;其次,基于RASP的技術特點,ADR可以對內存馬注入可能利用到的關鍵函數,進行實時監測,從行為模式層面以“主被動結合”的方式發現內存馬,以此覆蓋剩余的未知特征的內存馬。
因為是在內存中進行檢測與判斷,因此,對內存馬的攻擊行為一經發現并結合上下文確認,就可以實時進行阻斷并清除,實現自動化的檢測與響應。相比之下,其他響應阻斷都會有一定的滯后性。因此可以說這是ADR的核心關鍵能力之一。
數據建模與分析
ADR需要具備較強的數據建模與分析能力。
鑒于Agent不能過高占用應用環境資源,ADR數據建模與分析應由專門的服務端引擎來承擔,將Agent采集數據、安全日志數據、外部威脅情報數據等有序調度匯總后,進行威脅建模與分析研判。
數據的建模與分析應當兼顧成本與效率,數據模型要考慮資產優先級、業務場景等,原則是提高對常見威脅的分析效率與準確率,降低自動化響應的失誤率。
對于高級別威脅的數據分析,引擎中的場景劇本,要能夠隨時增加或更新,分析結果在管理平臺可視化呈現或以可編輯報告的形式導出,為高級別威脅所需的人工研判提供支持依據。
響應阻斷與修復
不同于邊界設備基于特征匹配檢測攻擊,對于掃描器的踩點、掃描行為,?般會產??量誤報,RASP 運?在應?內部,失敗的攻擊不會觸發檢測邏輯,所以每條告警都是真實正在發生的攻擊,這就為ADR自動化的阻斷響應提供了天然的技術基礎。
首先,基于應用訪問關系,梳理應用的拓撲關系與數據流,逐步形成應用的安全運行基線,然后利用微隔離,降低攻擊者在不同應用區域間潛在的橫向移動風險;然后在此基礎上,如前所述,針對0day漏洞、內存馬等高級威脅,結合上下文進行自動化的阻斷響應。最后,為避免再發生類似攻擊,ADR還應具備臨時修復加固功能。例如通過彈性補丁或虛擬補丁,對漏洞進行臨時修復,待將來某個時刻,應用升級或重啟時,再交由研發、運維等兄弟部門處置。
需要注意的是,雖然 RASP 幾乎沒有誤報,但自動化阻斷始終不能影響應用的業務連續性,應當具備一定的自查自保護機制。例如針對上述各響應各環節,在管理平臺側提供完備的隔離策略、阻斷控制、補丁分發等功能的完整日志記錄,從而為運營人員進一步的重放、分析、溯源、報告等操作提供支撐。
邊界無限靖云甲ADR
誠如數世咨詢ADR能力白皮書中所述,目前國內相關領域企業數量并不多,只有個別企業明確提出了ADR這一概念,而邊界無限就是這么一家將RASP技術提升至ADR的安全新銳,并憑借超強的技術前瞻性和對ADR的專注而入選ADR能力白皮書,并且成為國內唯一被推薦的ADR代表廠商,其自主研創的靖云甲ADR更是被業界稱為應用的“免疫血清”。
邊界無限副總裁、產品總負責人沈思源介紹說,靖云甲ADR基于RASP技術,以Web應用為核心,以RASP為主要安全能力切入點,打造Web應用全方位安全檢測與響應的解決方案,是邊界無限幫助用戶構建云原生時代安全基礎設施體系的起點和戰略支點,更是“靈動智御”理念的實踐。靖云甲ADR引入多項前瞻性的技術理念,通過對應用風險的持續檢測和安全風險快速響應,幫助企業應對來自業務增長、技術革新和基礎設施環境變化所產生的等諸多應用安全新挑戰。
邊界無限靖云甲ADR擁有資產管理、入侵檢測、漏洞管理和內存馬防御等核心功能,具備免重啟、采樣決策分離、IT部署架構、性能全面領先等核心優勢,其應用場景為業務在線修復、實戰攻防演練、惡意應用攻擊和集團應用安全建設能力等。
具體來說,在流量安全層面,邊界無限靖云甲ADR基于網格化流量采集,通過聯動應用端點數據、應用訪問數據,高效準確防御0day漏洞利用、內存馬注入等各類安全威脅;在數據安全方面通過數據審計、治理、脫敏等安全技術,有效實現數據安全風險態勢的把控。在為企業提供全面的應用安全保障的同時,ADR通過虛擬補丁、漏洞威脅情報、訪問控制等運營處置手段,有效提高安全運營的事件處置效率。這順應了時下流行的安全技術趨勢,也滿足了廣大政企客戶的現實安全需求。
邊界無限靖云甲ADR擁有精準細化的資產清點、緊跟形式的安全研究、海量可靠的漏洞運營、輕量無感的性能損耗等優點,尤其是在應用資產管理、供應鏈安全、API資產學習層面,表現優異。靖云甲ADR跨IT架構統計應用資產,實現安全能力同步管控,為應用提供安全風險評估;動態采集應用運行過程中的組件加載情況,快速感知資產動態,全面有效獲知供應鏈資產信息;自主學習流量+應用框架,具體來說,靖云甲ADR會通過插樁對應用內部框架定義的API方法以及應用流量進行API全量采集,同時利用AI 檢測引擎請求流量進行持續分析,自動分析暴露陳舊、敏感數據等關鍵問題。
此外,邊界無限靖云甲ADR采用“主被動結合”雙重防御機制,對外基于RASP能力對內存馬的注入行為進行有效防御,對內通過建立內存馬檢測模型,通過持續分析內存中存在的惡意代碼,幫助用戶解決掉埋藏內存中的“定時炸彈”。針對內存中潛藏的內存馬,靖云甲ADR提供了一鍵清除功能,可以直接將內存馬清除,實現對內存馬威脅的快速處理。靖云甲ADR還可以通過主動攔截+被動掃描,有效阻斷內存馬的注入;對已經被注入的內存馬提供源碼和特征檢測信息,無需重啟應用即可一鍵清除。另外,靖云甲ADR采用“attach”等方式注入agent,無需重啟直接更新,以減少對業務運行的干擾。
截至目前,邊界無限已與關鍵基礎設施重要行業和領域的數十家客戶達成業務合作,相信隨著RASP以及ADR技術的進一步成熟,邊界無限將幫助各運營單位構建關鍵信息基礎設施整體應用防控體系,不斷提升關鍵信息基礎設施安全應用防護能力。
