近日,中國數字產業領域第三方咨詢機構數世咨詢發布安全行業首份《ADR 能力白皮書》,通過系統研究 ADR 的關鍵能力以及使用場景等,為廣大政企客戶構建整體應用防護體系提供參考和借鑒。白皮書還推薦了 ADR 領域的代表性廠商,作為一家專注于技術創新突破的安全新銳公司,邊界無限憑借其被喻為應用 " 免疫血清 " 的靖云甲 ADR 成為唯一被推薦的國內公司。該 ADR 能力白皮書在 CSA 大中華區組織的 CSA 研討會上首次發布。
ADR關鍵發現
應用檢測與響應(Application Detection and Response – ADR)是指以 Web 應用為主要對象,采集應用運行環境與應用內部中用戶輸入、上下文信息、訪問行為等流量數據并上傳至分析管理平臺,輔助威脅情報關聯分析后,以自動化策略或人工響應處置安全事件的解決方案。
ADR 以 Web 應用為核心,以 RASP 為主要安全能力切入點。
作為安全關鍵基礎設施,ADR 能夠與 WAF、HDR、IAST 等多個安全能力形成有機配合。
ADR 的五大關鍵技術能力:探針(Agent)、應用資產發現、高級威脅檢測、數據建模與分析、響應阻斷與修復。
對 0day 漏洞、無文件攻擊等高級攻擊威脅的檢測與響應已經成為 ADR 的關鍵能力之一。
ADR 廠商將與公有云廠商、各行業云廠商建立更加深入的合作關系,逐步加快 ADR 在各行業的集中部署。
ADR賽道國內外代表企業
Araali Network
Araali Network 是今年 RSAC2022 的創新沙盒 10 強,關注云原生場景下的應用運行時安全。其安全理念、技術框架、產品功能與本文提出的 ADR 十分相符。
舉例來說,Araali 首先會對應用的運行時環境進行持續掃描監測,以評估固有風險并確定其優先級。它會自動檢測最易受攻擊的應用程序、最有價值的應用程序,它還會查找具有過多特權、未使用的開放端口、磁盤上的密鑰、特權過高的 IAM 配置,以分析潛在的攻擊暴露面,逐步形成應用的安全運行基線。
在 " 檢測 " 環節,Araali 使用基于 eBPF 的控件來創建基于身份的行為模型,對出站的請求進行檢測分析,并與外部威脅情報結合,在網絡流程層面對惡意連接進行分析阻斷。一旦發現可疑行為,Araali 會將時間、客戶端、服務、狀態等完整上下文信息一同推送給安全運營團隊,功能上甚至允許運營團隊 " 重放 " 觸發告警的行為動作,方便團隊參考上下文順序進行進一步關聯分析。
在后續的 " 響應 " 部分,運營團隊除了對事件中的單點威脅進行阻斷外,還通過自動化、自適應的 " 彈性補丁 " 對風險點進行加固修復。這一部分能力,也是通過 eBPF 來實現。
基于上述能力,Araali 實現了對 0day 漏洞的預防護。彈性補丁可以直接鞏固強化應用的行為,從而防止潛在的利用 0day 入侵的威脅。官方宣稱 " 一次響應,永久預防 "。
針對 0day 等高級威脅的檢測能力,以及不中斷業務、彈性補丁等貼合用戶實際需求的優勢,是數世咨詢將 Araali 列入代表企業的原因。
Reveal Security
同數世咨詢一樣,Reveal Security 也明確提出了 ADR 應用檢測與響應的理念
它認為,網絡、終端、操作系統以及用戶行為等維度,均已經有成型的安全檢測與響應技術,但在應用層仍缺少有效的檢測與響應手段,ADR 應需而生。
Reveal 的核心技術理念,以分析用戶訪問應用的行為上下文為出發點,代替基于規則的應用安全檢測,目的是提升應用檢測的準確率,為之后的響應環節提供高效支撐。
在實現上,它放棄了之前只分析某個行為本身的做法,改為分析用戶在應用中的一系列行為。通過行為上下文,找出不同于正常訪問行為的異常特征 session,進而發現潛在威脅。
Reveal 強調并非要找到一個適用于所有用戶的通用性行為,而是要通過機器學習形成針對每個用戶的行為基線,因此,它會盡量多的獲取各類日志信息,以聚類數據引擎對各類分組數據進行調度與分析,逐步形成用戶的行為基線,進而發現異常威脅行為。
據 Reveal 宣稱,其檢測模型具有非常廣泛的適應性,不依賴于應用中某個具體的運行環境。同時它的聚類分析引擎并不需要準確集群數量的先驗知識,仍能保持準確性。
對應用行為數據的聚類分析,是 RevealSecurity 的亮點優勢,也是 ADR 所需的關鍵能力之一,這也是數世咨詢將其列入代表企業的原因。
邊界無限(BoundaryX)
邊界無限作為國內新成立的安全創新企業,其團隊核心成員來自騰訊玄武實驗室和頭部安全公司,具備很高的攻防起點,因此,0day、內存馬等高級威脅檢測場景是其 RASP 產品的優勢之一,據了解,Log4j、Spring4shell 等高危漏洞爆發時,他們的 RASP 產品靖云甲都成功檢測并進行了攔截。
基于 RASP 技術,憑借攻防基因與技術優勢,邊界無限完善了應用運行時全流程全周期的安全防護能力,加入了多場景業務適配、虛擬補丁、編排模式等檢測與響應能力。依托這些能力,用戶可以快速聚焦攻擊者,定位缺陷應用,進而提升團隊的 MTTD/MTTR 時效。
具體以應用資產盤點能力舉例來說,該能力以實戰攻防演練為主要場景、以攻擊面收斂為主要目的,除了常見的第三方組件庫等應用資產,對應用間的 API 資產也能夠持續發現與管理,對南北向之外的東西向流量,都可以做到覆蓋與識別,進而梳理清楚應用間的訪問關系。
今年,邊界無限也提出了應用檢測與響應 ADR 的理念,與數世咨詢不謀而合。作為國內少有的 ADR 代表企業之一,數世咨詢會對其持續關注。
邊界無限靖云甲ADR
誠如數世咨詢 ADR 能力白皮書中所述,目前國內相關領域企業數量并不多,只有個別企業明確提出了 ADR 這一概念,而邊界無限就是這么一家將 RASP 技術提升至 ADR 的安全新銳,并憑借超強的技術前瞻性和對 ADR 的專注而入選 ADR 能力白皮書,并且成為國內唯一被推薦的 ADR 代表廠商,其自主研創的靖云甲 ADR 更是被業界稱為應用的 " 免疫血清 "。
邊界無限副總裁、產品總負責人沈思源介紹說,靖云甲 ADR 基于 RASP 技術,以 Web 應用為核心,以 RASP 為主要安全能力切入點,打造 Web 應用全方位安全檢測與響應的解決方案,是邊界無限幫助用戶構建云原生時代安全基礎設施體系的起點和戰略支點,更是 " 靈動智御 " 理念的實踐。靖云甲 ADR 引入多項前瞻性的技術理念,通過對應用風險的持續檢測和安全風險快速響應,幫助企業應對來自業務增長、技術革新和基礎設施環境變化所產生的等諸多應用安全新挑戰。
邊界無限靖云甲 ADR 擁有資產管理、入侵檢測、漏洞管理和內存馬防御等核心功能,具備免重啟、采樣決策分離、IT 部署架構、性能全面領先等核心優勢,其應用場景為業務在線修復、實戰攻防演練、惡意應用攻擊和集團應用安全建設能力等。
具體來說,在流量安全層面,邊界無限靖云甲 ADR 基于網格化流量采集,通過聯動應用端點數據、應用訪問數據,高效準確防御 0day 漏洞利用、內存馬注入等各類安全威脅;在數據安全方面通過數據審計、治理、脫敏等安全技術,有效實現數據安全風險態勢的把控。在為企業提供全面的應用安全保障的同時,ADR 通過虛擬補丁、漏洞威脅情報、訪問控制等運營處置手段,有效提高安全運營的事件處置效率。這順應了時下流行的安全技術趨勢,也滿足了廣大政企客戶的現實安全需求。
邊界無限靖云甲 ADR 擁有精準細化的資產清點、緊跟形式的安全研究、海量可靠的漏洞運營、輕量無感的性能損耗等優點,尤其是在應用資產管理、供應鏈安全、API 資產學習層面,表現優異。靖云甲 ADR 跨 IT 架構統計應用資產,實現安全能力同步管控,為應用提供安全風險評估;動態采集應用運行過程中的組件加載情況,快速感知資產動態,全面有效獲知供應鏈資產信息;自主學習流量 + 應用框架,具體來說,靖云甲 ADR 會通過插樁對應用內部框架定義的 API 方法以及應用流量進行 API 全量采集,同時利用 AI 檢測引擎請求流量進行持續分析,自動分析暴露陳舊、敏感數據等關鍵問題。
此外,邊界無限靖云甲 ADR 采用 " 主被動結合 " 雙重防御機制,對外基于 RASP 能力對內存馬的注入行為進行有效防御,對內通過建立內存馬檢測模型,通過持續分析內存中存在的惡意代碼,幫助用戶解決掉埋藏內存中的 " 定時炸彈 "。針對內存中潛藏的內存馬,靖云甲 ADR 提供了一鍵清除功能,可以直接將內存馬清除,實現對內存馬威脅的快速處理。靖云甲 ADR 還可以通過主動攔截 + 被動掃描,有效阻斷內存馬的注入;對已經被注入的內存馬提供源碼和特征檢測信息,無需重啟應用即可一鍵清除。另外,靖云甲 ADR 采用 "attach" 等方式注入 agent,無需重啟直接更新,以減少對業務運行的干擾。
截至目前,邊界無限已與關鍵基礎設施重要行業和領域的數十家客戶達成業務合作,相信隨著 RASP 以及 ADR 技術的進一步成熟,邊界無限將幫助各運營單位構建關鍵信息基礎設施整體應用防控體系,不斷提升關鍵信息基礎設施安全應用防護能力。
