曾幾何時,黑客攻擊大多通過網絡層進行,但隨著基于網絡層的基礎安全防護措施趨于嚴密,防火墻、入侵防御、防病毒等安全軟硬件構建起了相對完善的防護體系,想再從網絡層鉆空子的難度增大。如今,黑客攻擊從網絡層轉入Web為主,傳統(tǒng)安全體系越來越捉襟見肘。當前很多政企客戶的安全關注點就在于應用安全,迫切需要針對Web應用層提供更新的解決辦法,這是安全業(yè)界新的課題。
應用安全不可忽視
隨著新興技術的快速發(fā)展,網絡應用類別越來越多,應用復雜度也越來越高,單純解決網絡層的安全已經無法防御黑客的新型攻擊,必須高度重視維護關鍵應用的安全。這是因為Web應用程序無處不在,在大多數(shù)情況下是公司的核心組件。由于各種原因,它們經常獲取、處理、存儲和傳輸敏感數(shù)據(如機密業(yè)務信息、員工信息、客戶個人數(shù)據、財務信息等)。Web應用程序成為網絡犯罪分子獲取敏感信息,入侵您的組織的最簡單的途徑之一。因此,對于Web應用安全的關注度更加熱切。
隨著越來越多的企業(yè)將核心業(yè)務系統(tǒng)轉移到網絡上,Web瀏覽器成為業(yè)務系統(tǒng)的主要入口。在這種背景下,如何保障企業(yè)的應用安全,尤其是Web應用安全,成為信息安全保障的關鍵所在。一份來自某國際知名咨詢公司的分析報告指出,在調查的企業(yè)數(shù)據中心中,92%的Web應用存在安全缺陷,80%存在跨站攻擊的風險,而高達62%存在SQL注入漏洞。同時,專門針對應用層進行攻擊的手段也日益增多,防范起來越來越困難。值得注意的是,網絡應用之所以不安全,其中一個關鍵因素是應用程序本身的安全性問題,給黑客攻擊留下了可乘之機。
北京邊界無限科技有限公司(邊界無限,BoundaryX)聯(lián)合創(chuàng)始人、CTO王佳寧表示,未來,更多的業(yè)務將以Web應用方式呈現(xiàn),信息安全也必將從以邊界防護為主向應用自身安全防護為主過渡,同時眾多政企客戶將加強各個應用安全防護產品的聯(lián)防聯(lián)控,形成整體應用防護的縱深防御體系。
WAF獨木難支
對Web應用的攻擊不曾停止,應用安全防護技術的進化也一直在持續(xù)。從傳統(tǒng)的IPS防火墻,再到WAF(Web應用防火墻)的橫空出世,引領技術趨勢若干年,這一階段可以稱為應用安全防護1.0時代。尤其是WAF作為一款成熟的網站防護產品,一度成為企業(yè)為Web應用提供安全防護的必備利器。它能夠抵御定向的Web技術攻擊、部分業(yè)務邏輯攻擊以及海量肉雞的惡意訪問。通過對Web應用的深入解析和檢測, 能夠阻攔SQL注入、跨站腳本攻擊,阻止惡意掃描等常見Web攻擊并提供修補漏洞的能力。
近年來,隨著云計算市場的火熱,WAF有了一種新的接入方式:云部署。通過簡單的DNS記錄變更,將流量引入到云端防護集群,經過安全防護檢測后,將安全流量回源到服務器。相比于硬件WAF,云WAF擁有零部署、零安裝、快速穩(wěn)定等優(yōu)勢,并可將防護能力自動擴展、與云上網站共享、集群彈性擴容、輕松應對海量業(yè)務下的防護。越來越多的企業(yè)開始考慮購買云WAF產品。除了專業(yè)WAF廠商外,目前主要的云供應商都通過收購或者研發(fā)豐富了自己的WAF產品,它們與服務商自己的負載均衡器很好地集成在一起。但根據最新的調查報告,WAF產品的有效性和客戶滿意度的表現(xiàn)越來越令人失望。雖然WAF目前是企業(yè)應用安全策略的主力產品,但事實是,大多數(shù)企業(yè)都難以充分利用此類產品。
擁有WAF并不意味著應用安全防護可以一勞永逸。WAF的優(yōu)點是可以進行流量告警,通常的安裝方式是將WAF串行部署在Web服務器前端,用于檢測、阻斷異常流量,對全流量進行分析。但是WAF的缺點更讓企業(yè)頭痛,易被繞過、誤報率高、維護成本高、需要不斷更新規(guī)則庫、出現(xiàn)0day不能及時防御等都讓安全部門極為苦惱。
由于傳統(tǒng)WAF基于規(guī)則構建安全策略,只要針對Web服務器、Web應用對協(xié)議解析、字符解析、文件名解析、編碼解析以及SQL語法解析的差異進行變形,就可能達到繞過WAF的效果。同時,傳統(tǒng)WAF無法對新型的攻擊進行有效的識別和阻斷。目前市面上大多數(shù)的WAF都是基于規(guī)則匹配的,但規(guī)則的更新往往是滯后于攻擊發(fā)生,例如:0day漏洞攻擊,沒有預配置的規(guī)則,只能在漏洞披露后,依據漏洞特征建立防護規(guī)則。此外,傳統(tǒng)WAF對攻擊的識別來自于已經設定好的規(guī)則庫,對于看似“正常”的業(yè)務邏輯漏洞卻無能為力。例如越權操作,入侵者可以用低權限賬號登陸系統(tǒng)后,通過攔截并修改用戶參數(shù),以達到查看或者修改其它權限賬號的目的,而傳統(tǒng)WAF并不能識別這一看似正常的操作。
可以這么說,WAF代表了應用安全防護1.0時代的最高水平,但隨著攻擊手段的不斷更新,應用安全防護應該具備檢測與響應能力,并契合內生安全理念,實現(xiàn)應用程序的自我防護,尤其是業(yè)務上云之后。
ADR應運而生
隨著企業(yè)深度用云以及云原生應用的快速普及,云上復雜性提升,導致網絡攻擊面倍增,也伴生出新的安全風險。既然WAF在防護范圍和防護能力上存在局限,難以應對復雜的網絡攻擊形勢,于是很多廠商極力倡導WAAP成為革新必然。WAAP核心功能包括Web應用防火墻、API保護、Bot防護和七層DDoS攻擊防護,進一步擴展了云上應用安全防護范圍和安全深度。但WAAP目前仍存在一個很大的問題,那就是Web應用防護仍主要依靠邊界防護手段,并未形成應用的自我防護機制。
大家對WAF、Bot防護、DDoS攻擊防護已經比較熟悉,在此不多贅述。以API防護為例,隨著API廣泛應用于各個在線業(yè)務,涉及交易、賬號敏感相關的環(huán)節(jié)都備受灰黑產關注,在線業(yè)務欺詐風險驟升。黑灰產已高度成熟,通過大量自動化、流程化的方式進行業(yè)務欺詐,并貫穿于整個在線業(yè)務場景。在注冊、登錄、營銷場景下,自動化攻擊占比均在50%以上。絕大多數(shù)企業(yè)對自身API資產現(xiàn)狀不清,大量僵尸API、影子API存在,使敏感數(shù)據暴露在API之上,給攻擊者留下了突破口。同時API沒有上下文,攻擊成本較低,攻擊者通過簡單的網絡請求即可獲取數(shù)據或者進行攻擊。但目前,廣大客戶的API防護還是依靠API網關等設備,并未真正解決API防護的“最后一公里”問題。
那如何從應用自身加強防護,從而跟邊界防護產品形成互動與聯(lián)防,真正做到內外兼顧,縱深防御呢?Gartner引領的關鍵技術趨勢可以給我們一定的借鑒意義。早在2014年,Gartner引入了“RASP-Runtime application self-protection”這一概念,它是一種新型應用安全保護技術,它將保護程序像“免疫血清”一樣注入到應用程序中,與應用程序融為一體,能實時檢測和阻斷安全攻擊,使應用程序具備自我保護能力。Log4j2等“核彈級漏洞”的爆發(fā),使RASP技術迅速升溫,填補了市場在應用層防護的空白,但技術的演進并未停止。
2022年12月,在國內知名安全咨詢公司數(shù)世咨詢發(fā)布的行業(yè)首份《ADR能力白皮書》中首次提出ADR這一新賽道,通過系統(tǒng)研究ADR的關鍵能力以及使用場景等,為廣大政企客戶構建整體應用防護體系提供參考和借鑒。ADR類產品基于RASP,并在其基礎上增加了開源風險治理、API資產梳理(可以從應用內部洞悉全量API資產)、中間件基線、應用基線等持續(xù)檢測和環(huán)境安全功能,可以視作RASP2.0,并可與WAF等傳統(tǒng)安全產品形成縱深防御體系,達到應用安全“內外兼顧”的效果。這代表了應用安全防護的最新趨勢,將應用安全由之前以邊界防護為主的1.0時代提升至內外結合、持續(xù)檢測與響應的2.0時代,打造了應用安全防護的新范式。
靖云甲ADR獨領風騷
當前,安全行業(yè)需要革新安全理念、技術和模式,將人工智能、云原生等新技術應用到網絡安全防護中,實現(xiàn)對網絡威脅的預先研判、智能防護和自動抵御,有效提升安全威脅檢測、應急處置和追蹤溯源能力,實現(xiàn)從事后補救到安全前置,從局部分割到全面防護,從被動安全到主動安全的轉變,以便構筑起主動、智能、全面的應用安全防護體系。結合敏銳的市場洞察力以及多年的攻防經驗積淀,邊界無限基于RASP和云原生技術推出了靖云甲ADR應用安全檢測與響應系統(tǒng)。
邊界無限靖云甲ADR基于RASP技術,以云原生為場景,以數(shù)據鏈路為核心,以流量安全、API安全和數(shù)據安全作為安全能力切入點,引入多項前瞻性的技術理念,通過對應用風險的持續(xù)檢測和安全風險快速響應,幫助企業(yè)應對來自業(yè)務增長、技術革新和基礎設施環(huán)境變化所產生的等諸多應用安全新挑戰(zhàn)。
在流量安全方面,靖云甲ADR基于網格化流量采集,通過聯(lián)動應用端點數(shù)據、應用訪問數(shù)據,高效準確防御0day漏洞利用、內存馬注入等各類安全威脅;在數(shù)據安全方面通過數(shù)據審計、治理、脫敏等安全技術,有效實現(xiàn)數(shù)據安全風險態(tài)勢的把控。在為企業(yè)提供全面的應用安全保障的同時,靖云甲ADR通過虛擬補丁、漏洞威脅情報、訪問控制等運營處置手段,有效提高安全運營的事件處置效率。這順應了時下流行的安全技術趨勢,也滿足了廣大政企客戶的現(xiàn)實安全需求。
靖云甲ADR擁有精準細化的資產清點、緊跟形式的安全研究、海量可靠的漏洞運營、輕量無感的性能損耗等優(yōu)點,尤其是在應用資產管理、供應鏈安全、API資產學習層面,其表現(xiàn)優(yōu)異。靖云甲ADR跨IT架構統(tǒng)計應用資產,實現(xiàn)安全能力同步管控,為應用提供安全風險評估;動態(tài)采集應用運行過程中的組件加載情況,快速感知資產動態(tài),全面有效獲知供應鏈資產信息;自主學習流量加應用框架,具體來說,靖云甲ADR會通過插樁對應用內部框架定義的API方法以及應用流量進行API全量采集,同時利用AI檢測引擎請求流量進行持續(xù)分析,自動分析暴露陳舊、敏感數(shù)據等關鍵問題。
靖云甲ADR的技術領先優(yōu)勢已經被業(yè)界廣泛認可。在客戶層面,廣大政企客戶均加大了對RASP技術的研究和引進力度,其中金融行業(yè)匹馬當先,運營商、能源電力、大型央企及互聯(lián)網企業(yè)等也在迅速跟進。在國產化層面,邊界無限靖云甲ADR也取得了不錯的進展,已經相繼完成在銀河麒麟和兆芯、龍芯、鯤鵬等CPU環(huán)境下的交叉測試,均可穩(wěn)定高效運行。在國產中間件領域,靖云甲ADR已經相繼完成了針對寶藍德BES以及東方通Tongweb的兼容性測試,各項功能及防護能力均可穩(wěn)定高效運行。
邊界無限憑借靖云甲ADR在國際領先的IT市場研究和咨詢公司IDC發(fā)布的《IDC Innovators:中國云原生安全技術,2023》報告中獲得云原生安全技術的創(chuàng)新者稱號;在國內知名研究機構數(shù)世咨詢發(fā)布的安全行業(yè)首份《ADR能力白皮書》中,成為唯一被推薦的國內代表廠商;也是順利通過信通院首批“運行時應用程序自我保護(RASP)工具能力評估”認證的廠商。近日,在數(shù)字咨詢舉辦的第三屆數(shù)字安全大會上,邊界無限獲得ADR賽道領航者的稱號。靖云甲ADR的整體實力已經受到國內外咨詢機構的權威認可,可以說是在行業(yè)內獨領風騷。
綜合而言,現(xiàn)在國內的Web應用安全仍在探索和實踐階段。傳統(tǒng)網絡安全防御體系剛剛完成閉環(huán)的安全周期,明確了以資產為保護核心的理念,而之后向Web應用安全轉化和發(fā)展是需要一個過程和周期。但黑客對Web應用的新型攻擊已經兵臨城下,這不僅需要廣大客戶在Web應用安全方面進行大力投入,還要充分了解未來Web應用防護的技術趨勢,在以ADR、WAAP等新技術加大Web應用安全方面防護措施投入的同時,結合原來的網絡層安全防御體系,達到更加理想的安全防護效果,將黑客對Web應用的攻擊損失減少到最小。
王佳寧表示,傳統(tǒng)邊界防護方案很容易被繞過,應用將成為用戶防護的“最后一道防線”,邊界無限引領應用安全新趨勢的靖云甲ADR主攻應用檢測與響應,可與WAF形成縱深防御體系,聯(lián)防聯(lián)控,動態(tài)防御,助力廣大客戶建設縱深防護體系和整體防護體系,從而實現(xiàn)真正的動態(tài)全方位防護,實現(xiàn)關基業(yè)務“零關停”、“少關停”。未來,邊界無限將持續(xù)加大在應用安全和云原生安全上的投入力度,為廣大客戶在云時代的應用安全防護升級和云原生安全體系建設添磚加瓦。
