做安全的人應(yīng)該都對WAF耳熟能詳,也就是我們常說的Web應(yīng)用防火墻,成為了應(yīng)用安全防護(hù)的明星產(chǎn)品之一。從傳統(tǒng)的防火墻、IDS、IPS,再到WAF橫空出世,引領(lǐng)技術(shù)趨勢若干年,這一階段可以稱為應(yīng)用安全防護(hù)1.0時代。作為一款成熟的Web應(yīng)用防護(hù)產(chǎn)品, WAF一度成為企業(yè)為Web應(yīng)用提供安全防護(hù)的必備利器,但技術(shù)的演進(jìn)并未由此停止。
Log4j2等“核彈級漏洞”的爆發(fā),使RASP技術(shù)迅速升溫,填補(bǔ)了市場在應(yīng)用層防護(hù)的空白,很多人喜歡把RASP稱為下一代WAF,但實際并不是,RASP更像是WAF的“拍檔”。
時間來到2022年12月,國內(nèi)知名安全咨詢公司數(shù)世咨詢發(fā)布行業(yè)首份《ADR能力白皮書》中首次提出ADR這一新賽道。ADR類產(chǎn)品基于RASP,并在其基礎(chǔ)上增加了開源風(fēng)險治理、API資產(chǎn)梳理(可以從應(yīng)用內(nèi)部洞悉全量API資產(chǎn))、中間件基線、應(yīng)用基線等持續(xù)檢測和環(huán)境安全功能,ADR被視作RASP2.0。
那么,問題來了,RASP并非下一個WAF,在RASP基礎(chǔ)上全面升級的ADR,跟WAF是何種關(guān)系?它會取代WAF和RASP,成為廣大政企客戶應(yīng)用安全防護(hù)的“新寵”嗎?這是一個嚴(yán)肅的話題。
WAF
WAF的全稱是Web Application Firewall,即Web應(yīng)用防火墻。國際上公認(rèn)的一種說法是:Web應(yīng)用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。WAF是集Web防護(hù)、網(wǎng)頁保護(hù)、負(fù)載均衡、應(yīng)用交付于一體的Web整體安全防護(hù)設(shè)備。
RASP
RASP的全稱是Runtime Application Self-Protection,即運(yùn)行時應(yīng)用自我保護(hù)。它是一種應(yīng)用程序安全保護(hù)技術(shù),可以在應(yīng)用程序運(yùn)行時檢測和防御各種攻擊,包括代碼注入、SQL注入、跨站點腳本攻擊(XSS)和跨站點請求偽造(CSRF)等。通過注入安全疫苗的方式將防護(hù)引擎嵌入到應(yīng)用內(nèi)部,與應(yīng)用程序融為一體,使應(yīng)用程序具備自我防護(hù)能力,對0day漏洞、內(nèi)存馬等攻擊實現(xiàn)免疫防護(hù)。
ADR
ADR的全稱是Application Detection and Response,即應(yīng)用檢測與響應(yīng)。它是以Web應(yīng)用為主要對象,采集應(yīng)用運(yùn)行環(huán)境與應(yīng)用內(nèi)部中用戶輸入、上下文信息、訪問行為等流量數(shù)據(jù)并上傳至分析管理平臺,輔助威脅情報關(guān)聯(lián)分析后,以自動化策略或人工響應(yīng)處置安全事件的解決方案。ADR以Web應(yīng)用為核心,以RASP為主要安全能力切入點,通過對應(yīng)用流量數(shù)據(jù)中潛在威脅的持續(xù)檢測和快速響應(yīng),幫助用戶應(yīng)對來自業(yè)務(wù)增長、技術(shù)革新和基礎(chǔ)設(shè)施環(huán)境變化所產(chǎn)生的諸多應(yīng)用安全新挑戰(zhàn)。在安全檢測方面,ADR基于網(wǎng)格化的流量采集,通過應(yīng)用資產(chǎn)數(shù)據(jù)、應(yīng)用訪問數(shù)據(jù)、上下文信息等,結(jié)合外部威脅情報數(shù)據(jù),高效準(zhǔn)確檢測0day漏洞利用、內(nèi)存馬注入等各類安全威脅;在安全響應(yīng)方面,ADR基于場景化的學(xué)習(xí)模型,實現(xiàn)應(yīng)用資產(chǎn)的自動發(fā)現(xiàn)與適配,自動生成應(yīng)用訪問策略,建立可視化的應(yīng)用訪問基線,發(fā)現(xiàn)安全威脅時,通過虛擬補(bǔ)丁、訪問控制等安全運(yùn)營處置手段,有效提高事件響應(yīng)的處置效率。
ADR與WAF有何異同?
ADR和WAF都是用于Web應(yīng)用安全的防御措施,總體而言,它們有以下幾點區(qū)別。
部署位置不同:WAF在應(yīng)用程序與客戶端之間部署,可以檢查和過濾所有進(jìn)出應(yīng)用程序的網(wǎng)絡(luò)流量,而ADR是在應(yīng)用程序內(nèi)置的模塊中運(yùn)行,直接監(jiān)控應(yīng)用程序運(yùn)行狀態(tài),可以實時檢測漏洞和攻擊。
防御方式不同:WAF主要是通過規(guī)則匹配和過濾來防御攻擊,屬于一種被動的防御方式。而ADR是采用主動防御方式,可以及時檢測惡意行為并攔截攻擊,能夠更好地預(yù)防漏洞攻擊。
實現(xiàn)方式不同:WAF可以作為獨立設(shè)備,也可以部署在網(wǎng)關(guān)、交換機(jī)或負(fù)載均衡設(shè)備上,適用于多種類型的Web應(yīng)用程序。而ADR需要內(nèi)置在Web應(yīng)用程序中,為每個應(yīng)用程序單獨部署。
雖然存在諸多不同,但ADR和WAF也存在一些結(jié)合點。例如,可以將ADR作為WAF的一部分,在流量檢測和防御的同時,對應(yīng)用程序進(jìn)行實時監(jiān)控和保護(hù)。另外,ADR和WAF均可以通過監(jiān)視應(yīng)用程序的行為和流量,發(fā)現(xiàn)并攔截惡意代碼、SQL注入、跨站點腳本等攻擊。
綜上所述,ADR和WAF都是用于保護(hù)Web應(yīng)用程序的安全防御措施,部署位置和防御方式不同,但可以結(jié)合使用來提高Web應(yīng)用程序的安全性。ADR直接內(nèi)置于應(yīng)用程序中,可以實時檢測漏洞和攔截攻擊,WAF則部署在應(yīng)用程序與客戶端之間,通過規(guī)則匹配和過濾來防御攻擊。在整體應(yīng)用防護(hù)場景下,ADR可與WAF結(jié)合,實現(xiàn)流量檢測和應(yīng)用程序保護(hù)的雙重防御,從而達(dá)到聯(lián)防聯(lián)控、縱深防御的效果。
ADR會取代WAF嗎?
不得不提的是,ADR和WAF存在根本的差異:WAF的目的是發(fā)現(xiàn)可疑的流量,ADR則是發(fā)現(xiàn)具有威脅的行為。近期幾次大的0day漏洞爆發(fā)事件,ADR因其天然優(yōu)勢,在防護(hù)未知攻擊方面發(fā)揮了重要的作用,但ADR并不是要取代WAF,兩者是完全不同的技術(shù),各有各的優(yōu)勢。傳統(tǒng)的WAF像是給應(yīng)用穿上一層盔甲,而ADR作為應(yīng)用內(nèi)部運(yùn)行時防護(hù),更像是給應(yīng)用注射了“免疫血清”,使安全成為應(yīng)用的內(nèi)生基因,給應(yīng)用實施全方位保護(hù)。
在產(chǎn)品部署方面,首先企業(yè)不應(yīng)期望于某個安全產(chǎn)品能夠?qū)崿F(xiàn)所有的安全需求;其次,在選擇一項新的安全產(chǎn)品時,要找準(zhǔn)新產(chǎn)品的能力價值,盡量與原有的安全能力互補(bǔ)形成合力,同時避免能力冗余。這就使ADR與WAF的結(jié)合成為水到渠成的事情。ADR作為運(yùn)行時防護(hù),與傳統(tǒng)應(yīng)用防護(hù)、主機(jī)防護(hù)類產(chǎn)品的定位有明顯的差異,在安全防御系統(tǒng)中,可以與WAF等傳統(tǒng)邊界防護(hù)系統(tǒng)組合形成更加體系化的縱深防護(hù)能力。
對于已有WAF產(chǎn)品的用戶,采用ADR不但不與WAF重疊,還可以為Web應(yīng)用訪問增強(qiáng)最后一道安全防線;同樣,與云原生或云計算主機(jī)集成,也可以對傳統(tǒng)主機(jī)防護(hù)能力進(jìn)行增強(qiáng)。同時,ADR與傳統(tǒng)防護(hù)產(chǎn)品的處置方式和部署方式不同,無法與傳統(tǒng)產(chǎn)品統(tǒng)一部署,但在態(tài)勢分析和管理方面可以與其它風(fēng)險采集系統(tǒng)統(tǒng)籌考慮,實現(xiàn)綜合分析和聯(lián)動處置。此外,為了更順利地應(yīng)用ADR,建議應(yīng)用前一般要在測試環(huán)境下驗證,確保沒有影響后再切換到生產(chǎn)環(huán)境;對于沒有驗證環(huán)境的,在安裝過程中要做好回退機(jī)制,在安裝失敗時能保證恢復(fù)到插樁前的狀態(tài)。特別值得指出的是,很多主機(jī)側(cè)安全廠商會給客戶灌輸結(jié)合HIDS產(chǎn)品“無感”部署RASP或ADR產(chǎn)品的思想,這一思路雖然解決了快速部署的問題,但不經(jīng)過測試環(huán)境的功能性、兼容性以及資源占用等驗證,將給客戶帶來極大的潛在風(fēng)險。這是因為ADR不同于WAF,部署在應(yīng)用內(nèi)部,在生產(chǎn)、業(yè)務(wù)環(huán)境與應(yīng)用無縫結(jié)合,盲目強(qiáng)推會給業(yè)務(wù)帶來巨大的威脅,務(wù)必慎重。因此我們建議在測試環(huán)境結(jié)合業(yè)務(wù)應(yīng)用對ADR進(jìn)行充分的功能、性能驗證,并在業(yè)務(wù)網(wǎng)、生產(chǎn)網(wǎng)規(guī)模部署之前在邊緣業(yè)務(wù)業(yè)務(wù)系統(tǒng)進(jìn)行實網(wǎng)試用,真正保障業(yè)務(wù)不受影響的前提下,使ADR能充分匹配、適應(yīng)不同客戶的不同網(wǎng)絡(luò)環(huán)境及業(yè)務(wù)邏輯,從而真正契合內(nèi)生安全的理念,在應(yīng)用內(nèi)部提升自免疫能力。
ADR強(qiáng)于攻防融合多種安全能力
不能忽視的是,有別于WAF,未來ADR在應(yīng)對攻防對抗這種場景應(yīng)用的機(jī)會會更多。但是隨著業(yè)務(wù)云化和安全左移能力的增強(qiáng),未來用戶對應(yīng)用程序的安全防護(hù)和應(yīng)用層數(shù)據(jù)保護(hù)的要求會越來越強(qiáng)。同時,也會要求ADR提供更多維度的Detection和Response能力。其次,ADR可以與諸多安全能力在不同場景下形成合力。
與 SCA融合。可以形成運(yùn)行時SCA檢測能力。在應(yīng)用程序上線后進(jìn)行應(yīng)用軟件成分分析,檢測那些開發(fā)環(huán)節(jié)不受控,成分不清晰的構(gòu)建包、軟件制品。這在一定程度上融合了SCA的能力,但從應(yīng)用場景看,與開發(fā)階段應(yīng)用的SCA并不會沖突。尤其是ADR與運(yùn)行時態(tài)的SCA結(jié)合,可以更全面地洞悉應(yīng)用調(diào)用了哪些組件庫,并且可把被真正使用的組件庫清晰地陳列出來,幫助客戶更好地實現(xiàn)漏洞分級分類治理。
與WAAP結(jié)合。可以進(jìn)一步檢測遺留或長期潛伏的API。目前的WAAP多是通過網(wǎng)絡(luò)側(cè)流量進(jìn)行API檢測,對應(yīng)用程序中潛伏的影子API無能為力,ADR可以在端側(cè)為WAAP增強(qiáng) API檢測能力和全量API資產(chǎn)梳理能力。同時,WAAP核心功能包括Web應(yīng)用防火墻、API保護(hù)、Bot防護(hù)和七層DDoS攻擊防護(hù),進(jìn)一步擴(kuò)展了云上應(yīng)用安全防護(hù)范圍和安全深度。但WAAP目前仍存在一個很大的問題,那就是Web應(yīng)用防護(hù)仍主要依靠邊界防護(hù)手段,并未形成應(yīng)用的自我防護(hù)機(jī)制,ADR則可更有效地加強(qiáng)此方面的能力,即在運(yùn)行時態(tài)實現(xiàn)應(yīng)用自免疫。
與容器安全、云原生安全能力(如微隔離)深度融合。隨著業(yè)務(wù)上云趨勢愈演愈烈,未來安全技術(shù)必須考慮容器化部署以及云原生安全能力,可以預(yù)見,未來ADR技術(shù)將向云原生應(yīng)用程序保護(hù)平臺( CNAPP )的方向發(fā)展演進(jìn)。
靖云甲ADR值得青睞
隨著企業(yè)深度用云以及云原生應(yīng)用的快速普及,云上復(fù)雜性提升,導(dǎo)致網(wǎng)絡(luò)攻擊面倍增,也伴生出新的安全風(fēng)險。安全行業(yè)需要革新安全理念、技術(shù)和模式,將人工智能、云原生等新技術(shù)應(yīng)用到網(wǎng)絡(luò)安全防護(hù)中,實現(xiàn)對網(wǎng)絡(luò)威脅的預(yù)先研判、智能防護(hù)和自動抵御,有效提升安全威脅檢測、應(yīng)急處置和追蹤溯源能力,實現(xiàn)從事后補(bǔ)救到安全前置,從局部分割到全面防護(hù),從被動安全到主動安全的轉(zhuǎn)變,以便構(gòu)筑起主動、智能、全面的應(yīng)用安全防護(hù)體系。結(jié)合敏銳的市場洞察力以及多年的攻防經(jīng)驗積淀,北京邊界無限科技有限公司(邊界無限,BoundaryX)基于RASP和云原生技術(shù)推出了靖云甲ADR應(yīng)用檢測與響應(yīng)系統(tǒng),這是一款值得用戶重點關(guān)注的產(chǎn)品。靖云甲ADR是針對應(yīng)用運(yùn)行時安全防護(hù)的顛覆性解決方案,更是邊界無限打造云原生應(yīng)用整體防護(hù)平臺的起點和戰(zhàn)略支點,為云時代應(yīng)用安全提供實時保障。
邊界無限聯(lián)合創(chuàng)始人、CTO王佳寧介紹說,邊界無限靖云甲ADR應(yīng)用檢測與響應(yīng)系統(tǒng)基于RASP技術(shù),以云原生為場景,以數(shù)據(jù)鏈路為核心,以流量安全、API安全和數(shù)據(jù)安全作為安全能力切入點,引入多項前瞻性的技術(shù)理念,通過對應(yīng)用風(fēng)險的持續(xù)檢測和安全風(fēng)險快速響應(yīng),幫助企業(yè)應(yīng)對來自業(yè)務(wù)增長、技術(shù)革新和基礎(chǔ)設(shè)施環(huán)境變化所產(chǎn)生的等諸多應(yīng)用安全新挑戰(zhàn)。
在流量安全方面,靖云甲ADR基于網(wǎng)格化流量采集,通過聯(lián)動應(yīng)用端點數(shù)據(jù)、應(yīng)用訪問數(shù)據(jù),高效準(zhǔn)確防御0day漏洞利用、內(nèi)存馬注入等各類安全威脅;在數(shù)據(jù)安全方面,靖云甲ADR通過數(shù)據(jù)審計、治理、脫敏等安全技術(shù),有效實現(xiàn)數(shù)據(jù)安全風(fēng)險態(tài)勢的把控。在為企業(yè)提供全面的應(yīng)用安全保障的同時,靖云甲ADR通過虛擬補(bǔ)丁、漏洞威脅情報、訪問控制等運(yùn)營處置手段,有效提高安全運(yùn)營的事件處置效率。這順應(yīng)了時下流行的安全技術(shù)趨勢,也滿足了廣大政企客戶的應(yīng)用安全防護(hù)的真實需求。
內(nèi)存馬免重啟查殺。邊界無限靖云甲ADR采用“主被動結(jié)合”雙重防御機(jī)制,對外基于RASP能力對內(nèi)存馬的注入行為進(jìn)行有效防御,對內(nèi)通過建立內(nèi)存馬檢測模型,通過持續(xù)分析內(nèi)存中存在的惡意代碼,幫助用戶解決掉埋藏內(nèi)存中的“定時炸彈”。針對內(nèi)存中潛藏的內(nèi)存馬,靖云甲ADR提供了一鍵清除功能,可以直接將內(nèi)存馬清除,實現(xiàn)對內(nèi)存馬威脅的快速處理。靖云甲ADR還可以通過主動攔截+被動掃描,有效阻斷內(nèi)存馬的注入;對已經(jīng)被注入的內(nèi)存馬提供源碼和特征檢測信息,無需重啟應(yīng)用即可一鍵清除。另外,靖云甲ADR采用“attach”等方式注入agent,無需重啟直接更新,以減少對業(yè)務(wù)運(yùn)行的干擾。
0Day漏洞無規(guī)則防御。邊界無限靖云甲ADR采用RASP應(yīng)用運(yùn)行時監(jiān)控技術(shù),實現(xiàn)資產(chǎn)的精準(zhǔn)采集,自動化高效地響應(yīng),構(gòu)建了0day漏洞原生免疫,結(jié)合語義分析技術(shù),同時實現(xiàn)漏洞的精準(zhǔn)防御,大大降低了無效告警。靖云甲ADR可有效解決90%的0day漏洞,內(nèi)存馬注入防御、Webshell檢測、反序列化漏洞等功能100%完善,應(yīng)用運(yùn)行時風(fēng)險降低95%以上,且具有高精準(zhǔn)度,近乎零誤報。
組件庫動態(tài)采集管理。邊界無限靖云甲ADR采用動態(tài)捕獲技術(shù),在應(yīng)用運(yùn)行過程中自動收集并展示第三方組件信息及調(diào)用情況,快速感知資產(chǎn)動態(tài),全面有效獲知供應(yīng)鏈資產(chǎn)信息,實現(xiàn)供應(yīng)鏈資產(chǎn)的清點和管理;消除資產(chǎn)盲區(qū),實現(xiàn)資產(chǎn)有效管理,讓安全防護(hù)覆蓋到資產(chǎn)的每一個角落。
API和敏感數(shù)據(jù)清點。邊界無限靖云甲ADR擁有精準(zhǔn)細(xì)化的資產(chǎn)清點、緊跟形式的安全研究、海量可靠的漏洞運(yùn)營、輕量無感的性能損耗等優(yōu)點,尤其是在應(yīng)用資產(chǎn)管理、供應(yīng)鏈安全、API資產(chǎn)學(xué)習(xí)層面,其表現(xiàn)優(yōu)異。靖云甲ADR跨IT架構(gòu)統(tǒng)計應(yīng)用資產(chǎn),實現(xiàn)安全能力同步管控,為應(yīng)用提供安全風(fēng)險評估;自主學(xué)習(xí)流量加應(yīng)用框架,具體來說,靖云甲ADR會通過插樁對應(yīng)用內(nèi)部框架定義的API方法以及應(yīng)用流量進(jìn)行API全量采集,同時利用AI檢測引擎請求流量進(jìn)行持續(xù)分析,自動分析暴露陳舊、敏感數(shù)據(jù)等關(guān)鍵問題。
王佳寧表示,邊界無限在RASP基礎(chǔ)上推出靖云甲ADR應(yīng)用檢測與響應(yīng)方案并進(jìn)而向云原生應(yīng)用整體防護(hù)平臺演進(jìn),深受業(yè)界各方認(rèn)可,這面對的是一個全新的市場和賽道,邊界無限已經(jīng)憑借多年攻防經(jīng)驗積淀以及技術(shù)創(chuàng)新優(yōu)勢取得桿位,連續(xù)在各大標(biāo)桿客戶測試中奪魁并獲得連續(xù)數(shù)輪數(shù)千萬元融資,這都是最好的見證。希望在應(yīng)用安全及云原生領(lǐng)域,邊界無限能夠塑造新的安全行業(yè)傳奇。
