近日,中國(guó)數(shù)字產(chǎn)業(yè)領(lǐng)域第三方咨詢機(jī)構(gòu)數(shù)世咨詢發(fā)布安全行業(yè)首份《ADR 能力白皮書》,通過(guò)系統(tǒng)研究 ADR 的關(guān)鍵能力以及使用場(chǎng)景等,為廣大政企客戶構(gòu)建整體應(yīng)用防護(hù)體系提供參考和借鑒。白皮書還推薦了 ADR 領(lǐng)域的代表性廠商,作為一家專注于技術(shù)創(chuàng)新突破的安全新銳公司,邊界無(wú)限憑借其被喻為應(yīng)用 " 免疫血清 " 的靖云甲 ADR 成為唯一被推薦的國(guó)內(nèi)公司。該 ADR 能力白皮書在 CSA 大中華區(qū)組織的 CSA 研討會(huì)上首次發(fā)布。該白皮書指出,繼 NDR、EDR、HDR 等檢測(cè)與響應(yīng)能力之后,ADR 將成為又一個(gè)必備安全能力,關(guān)基領(lǐng)域客戶有望率先集中部署。
ADR關(guān)鍵發(fā)現(xiàn)
• 應(yīng)用檢測(cè)與響應(yīng)(Application Detection and Response – ADR)是指以 Web 應(yīng)用為主要對(duì)象,采集應(yīng)用運(yùn)行環(huán)境與應(yīng)用內(nèi)部中用戶輸入、上下文信息、訪問(wèn)行為等流量數(shù)據(jù)并上傳至分析管理平臺(tái),輔助威脅情報(bào)關(guān)聯(lián)分析后,以自動(dòng)化策略或人工響應(yīng)處置安全事件的解決方案。
• ADR 以 Web 應(yīng)用為核心,以 RASP 為主要安全能力切入點(diǎn)。
• 作為安全關(guān)鍵基礎(chǔ)設(shè)施,ADR 能夠與 WAF、HDR、IAST 等多個(gè)安全能力形成有機(jī)配合。
• ADR 的五大關(guān)鍵技術(shù)能力:探針(Agent)、應(yīng)用資產(chǎn)發(fā)現(xiàn)、高級(jí)威脅檢測(cè)、數(shù)據(jù)建模與分析、響應(yīng)阻斷與修復(fù)。
• 對(duì) 0day 漏洞、無(wú)文件攻擊等高級(jí)攻擊威脅的檢測(cè)與響應(yīng)已經(jīng)成為 ADR 的關(guān)鍵能力之一。
• ADR 廠商將與公有云廠商、各行業(yè)云廠商建立更加深入的合作關(guān)系,逐步加快 ADR 在各行業(yè)的集中部署。
ADR賽道行業(yè)展望
ADR在國(guó)內(nèi)各行業(yè)將加快集中部署
隨著 " 業(yè)務(wù)上云 " 的普及,越來(lái)越多云原生場(chǎng)景下的應(yīng)用檢測(cè)與響應(yīng)需求需要得到滿足。同時(shí),很多 ADR 廠商為了提升應(yīng)用行為的聚類分析、威脅情報(bào)的更新推送、虛擬補(bǔ)丁的分發(fā)等操作的效果與 ROI,自身也會(huì)利用云原生技術(shù)進(jìn)行產(chǎn)品的部署與實(shí)施,如此一來(lái),有實(shí)力的 ADR 廠商將與公有云廠商、各行業(yè)云廠商建立更加深入的合作關(guān)系,逐步加快 ADR 在各行業(yè)的集中部署。
ADR與持續(xù)應(yīng)用安全(CAS)結(jié)合
持續(xù)應(yīng)用安全(CAS)是基于我國(guó)軟件供應(yīng)鏈安全現(xiàn)狀所誕生的一種理念,主要解決軟件供應(yīng)鏈中數(shù)字化應(yīng)用的開發(fā)以及運(yùn)行方面的安全問(wèn)題,覆蓋應(yīng)用的源代碼開發(fā)、構(gòu)建部署、上線運(yùn)行等多個(gè)階段,保障數(shù)字化應(yīng)用的全流程安全狀態(tài),是安全能力原子化(離散式制造、集中式交付、統(tǒng)一式管理、智能式應(yīng)用)在軟件供應(yīng)鏈安全上的應(yīng)用。因此在應(yīng)用的運(yùn)行階段,ADR 能夠與 CAS 形成數(shù)據(jù)關(guān)聯(lián)和能力融合,并經(jīng)由統(tǒng)一調(diào)度管理形成體系化的解決方案,以達(dá)到幫助用戶減少資源投入、整合安全能力和提升安全效率的目的。
繼NDR、EDR、HDR等檢測(cè)與響應(yīng)能力之后,ADR將成為又一個(gè)必備能力
在實(shí)網(wǎng)攻防演練等場(chǎng)景中,大部分用戶已經(jīng)在流量、終端、主機(jī)等維度逐漸形成了 NDR、EDR 乃至 HDR(主機(jī)檢測(cè)與響應(yīng))等檢測(cè)與響應(yīng)能力,有效提升了安全檢測(cè)的覆蓋度與應(yīng)急響應(yīng)時(shí)效。作為更加貼近業(yè)務(wù)側(cè)的檢測(cè)與響應(yīng)能力,ADR 的出現(xiàn),能夠有效補(bǔ)全其他 "DR" 在業(yè)務(wù)側(cè)的不足。因此,數(shù)世咨詢認(rèn)為,在未來(lái) 2-3 年內(nèi),將會(huì)有越來(lái)越多機(jī)構(gòu)用戶將 ADR 作為必備能力之一,納入安全運(yùn)營(yíng)建設(shè)計(jì)劃,并與 NDR、EDR、HDR 等一起形成完備的安全檢測(cè)與響應(yīng)體系。
以《關(guān)基保護(hù)要求》為綱,ADR將具備更加落地的指導(dǎo)要求
在筆者完稿之際,國(guó)家市場(chǎng)監(jiān)管總局批準(zhǔn)發(fā)布了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》( GB/T 39204-2022)(簡(jiǎn)稱《關(guān)基保護(hù)要求》)國(guó)家標(biāo)準(zhǔn)文件。該標(biāo)準(zhǔn)作為《關(guān)基保護(hù)條例》發(fā)布一年后首個(gè)正式發(fā)布的關(guān)基標(biāo)準(zhǔn),是為了落實(shí)《網(wǎng)絡(luò)安全法》《關(guān)基保護(hù)條例》中關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全的保護(hù)要求,借鑒重要行業(yè)和領(lǐng)域開展網(wǎng)絡(luò)安全保護(hù)工作的成熟經(jīng)驗(yàn)而制定的,將于 2023 年 5 月 1 日正式實(shí)施。它規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在識(shí)別分析、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置等方面的安全要求。因此以《關(guān)基保護(hù)要求》為綱,ADR 對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施中的 "Web 應(yīng)用 " 構(gòu)筑安全保障體系時(shí),將具備更加可落地的指導(dǎo)要求。
邊界無(wú)限靖云甲ADR
誠(chéng)如數(shù)世咨詢 ADR 能力白皮書中所述,目前國(guó)內(nèi)相關(guān)領(lǐng)域企業(yè)數(shù)量并不多,只有個(gè)別企業(yè)明確提出了 ADR 這一概念,而邊界無(wú)限就是這么一家將 RASP 技術(shù)提升至 ADR 的安全新銳,并憑借超強(qiáng)的技術(shù)前瞻性和對(duì) ADR 的專注而入選 ADR 能力白皮書,并且成為國(guó)內(nèi)唯一被推薦的 ADR 代表廠商,其自主研創(chuàng)的靖云甲 ADR 更是被業(yè)界稱為應(yīng)用的 " 免疫血清 "。
邊界無(wú)限副總裁、產(chǎn)品總負(fù)責(zé)人沈思源介紹說(shuō),靖云甲 ADR 基于 RASP 技術(shù),以 Web 應(yīng)用為核心,以 RASP 為主要安全能力切入點(diǎn),打造 Web 應(yīng)用全方位安全檢測(cè)與響應(yīng)的解決方案,是邊界無(wú)限幫助用戶構(gòu)建云原生時(shí)代安全基礎(chǔ)設(shè)施體系的起點(diǎn)和戰(zhàn)略支點(diǎn),更是 " 靈動(dòng)智御 " 理念的實(shí)踐。靖云甲 ADR 引入多項(xiàng)前瞻性的技術(shù)理念,通過(guò)對(duì)應(yīng)用風(fēng)險(xiǎn)的持續(xù)檢測(cè)和安全風(fēng)險(xiǎn)快速響應(yīng),幫助企業(yè)應(yīng)對(duì)來(lái)自業(yè)務(wù)增長(zhǎng)、技術(shù)革新和基礎(chǔ)設(shè)施環(huán)境變化所產(chǎn)生的等諸多應(yīng)用安全新挑戰(zhàn)。
邊界無(wú)限靖云甲 ADR 擁有資產(chǎn)管理、入侵檢測(cè)、漏洞管理和內(nèi)存馬防御等核心功能,具備免重啟、采樣決策分離、IT 部署架構(gòu)、性能全面領(lǐng)先等核心優(yōu)勢(shì),其應(yīng)用場(chǎng)景為業(yè)務(wù)在線修復(fù)、實(shí)戰(zhàn)攻防演練、惡意應(yīng)用攻擊和集團(tuán)應(yīng)用安全建設(shè)能力等。
具體來(lái)說(shuō),在流量安全層面,邊界無(wú)限靖云甲 ADR 基于網(wǎng)格化流量采集,通過(guò)聯(lián)動(dòng)應(yīng)用端點(diǎn)數(shù)據(jù)、應(yīng)用訪問(wèn)數(shù)據(jù),高效準(zhǔn)確防御 0day 漏洞利用、內(nèi)存馬注入等各類安全威脅;在數(shù)據(jù)安全方面通過(guò)數(shù)據(jù)審計(jì)、治理、脫敏等安全技術(shù),有效實(shí)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)態(tài)勢(shì)的把控。在為企業(yè)提供全面的應(yīng)用安全保障的同時(shí),ADR 通過(guò)虛擬補(bǔ)丁、漏洞威脅情報(bào)、訪問(wèn)控制等運(yùn)營(yíng)處置手段,有效提高安全運(yùn)營(yíng)的事件處置效率。這順應(yīng)了時(shí)下流行的安全技術(shù)趨勢(shì),也滿足了廣大政企客戶的現(xiàn)實(shí)安全需求。
邊界無(wú)限靖云甲 ADR 擁有精準(zhǔn)細(xì)化的資產(chǎn)清點(diǎn)、緊跟形式的安全研究、海量可靠的漏洞運(yùn)營(yíng)、輕量無(wú)感的性能損耗等優(yōu)點(diǎn),尤其是在應(yīng)用資產(chǎn)管理、供應(yīng)鏈安全、API 資產(chǎn)學(xué)習(xí)層面,表現(xiàn)優(yōu)異。靖云甲 ADR 跨 IT 架構(gòu)統(tǒng)計(jì)應(yīng)用資產(chǎn),實(shí)現(xiàn)安全能力同步管控,為應(yīng)用提供安全風(fēng)險(xiǎn)評(píng)估;動(dòng)態(tài)采集應(yīng)用運(yùn)行過(guò)程中的組件加載情況,快速感知資產(chǎn)動(dòng)態(tài),全面有效獲知供應(yīng)鏈資產(chǎn)信息;自主學(xué)習(xí)流量 + 應(yīng)用框架,具體來(lái)說(shuō),靖云甲 ADR 會(huì)通過(guò)插樁對(duì)應(yīng)用內(nèi)部框架定義的 API 方法以及應(yīng)用流量進(jìn)行 API 全量采集,同時(shí)利用 AI 檢測(cè)引擎請(qǐng)求流量進(jìn)行持續(xù)分析,自動(dòng)分析暴露陳舊、敏感數(shù)據(jù)等關(guān)鍵問(wèn)題。
此外,邊界無(wú)限靖云甲 ADR 采用 " 主被動(dòng)結(jié)合 " 雙重防御機(jī)制,對(duì)外基于 RASP 能力對(duì)內(nèi)存馬的注入行為進(jìn)行有效防御,對(duì)內(nèi)通過(guò)建立內(nèi)存馬檢測(cè)模型,通過(guò)持續(xù)分析內(nèi)存中存在的惡意代碼,幫助用戶解決掉埋藏內(nèi)存中的 " 定時(shí)炸彈 "。針對(duì)內(nèi)存中潛藏的內(nèi)存馬,靖云甲 ADR 提供了一鍵清除功能,可以直接將內(nèi)存馬清除,實(shí)現(xiàn)對(duì)內(nèi)存馬威脅的快速處理。靖云甲 ADR 還可以通過(guò)主動(dòng)攔截 + 被動(dòng)掃描,有效阻斷內(nèi)存馬的注入;對(duì)已經(jīng)被注入的內(nèi)存馬提供源碼和特征檢測(cè)信息,無(wú)需重啟應(yīng)用即可一鍵清除。另外,靖云甲 ADR 采用 "attach" 等方式注入 agent,無(wú)需重啟直接更新,以減少對(duì)業(yè)務(wù)運(yùn)行的干擾。
截至目前,邊界無(wú)限已與關(guān)鍵基礎(chǔ)設(shè)施重要行業(yè)和領(lǐng)域的數(shù)十家客戶達(dá)成業(yè)務(wù)合作,相信隨著 RASP 以及 ADR 技術(shù)的進(jìn)一步成熟,邊界無(wú)限將幫助各運(yùn)營(yíng)單位構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施整體應(yīng)用防控體系,不斷提升關(guān)鍵信息基礎(chǔ)設(shè)施安全應(yīng)用防護(hù)能力。
