近日,中国数字产业领域第三方咨询机构数世咨询发布安全行业首份《ADR能力白皮书》,通过系统研究ADR的关键能力以及使用场景等,为广大政企客户构建整体应用防护体系提供参考和借鉴。白皮书还推荐了ADR领域的代表性厂商,作为一家专注于技术创新突破的安全新锐公司,边界无限凭借其被喻为应用“免疫血清”的靖云甲ADR成为唯一被推荐的国内公司。该ADR能力白皮书在CSA大中华区组织的CSA研讨会上首次发布。
ADR关键发现
应用检测与响应(Application Detection and Response – ADR)是指以Web应用为主要对象,采集应用运行环境与应用内部中用户输入、上下文信息、访问行为等流量数据并上传至分析管理平台,辅助威胁情报关联分析后,以自动化策略或人工响应处置安全事件的解决方案。
ADR以Web应用为核心,以RASP为主要安全能力切入点。
作为安全关键基础设施,ADR能够与WAF、HDR、IAST等多个安全能力形成有机配合。
ADR 的五大关键技术能力:探针(Agent)、应用资产发现、高级威胁检测、数据建模与分析、响应阻断与修复。
对0day漏洞、无文件攻击等高级攻击威胁的检测与响应已经成为ADR的关键能力之一。
ADR厂商将与公有云厂商、各行业云厂商建立更加深入的合作关系,逐步加快ADR在各行业的集中部署。
ADR应用场景
关键安全基础设施
与WAF等边界产品配合,实现纵深防护体系
WAF部署在网络边界,ADR部署在应用层。WAF容易被绕过,而ADR是应用的最后一道防线。ADR不会取代WAF,两者协同配合,相得益彰,共同组成纵深防御体系。
与主机侧HDR配合,实现立体检测与响应能力
虽然一定程度上HDR也能够覆盖应用层,但是基于主机侧的HDR,重点还是关注服务器、虚拟机、容器等工作负载上主机层、系统层的安全检测与响应,因此,不属于应用运行环境内部的ADR,能够与HDR相配合,形成由下至上、由外至内的立体检测与响应能力。
与IAST配合,覆盖应用的全生命周期
交互式应用程序安全测试(IAST)关注的是应用运行时的安全漏洞,目的是发现漏洞,用于开发测试阶段。与IAST一样,ADR也关注应用在运行时的安全问题,但目的是发现攻击者利用漏洞的攻击行为,用于应用的生产运行阶段。两者配合,能够覆盖应用的全生命周期,为DevOps提供持续有效的Sec能力。
实战攻防演练
攻击队一般会利用已知或未知漏洞,绕过或突破网络边界,寻找核心资产,控制管理权限。伴随着演习经验的不断丰富,攻击队更加专注于应用安全的研究,在演习中经常使用供应链攻击等迂回手法来挖掘出特定0day漏洞,由于攻防对抗技术不对等,导致防守方经常处于被动劣势。此时,用户可通过部署和运营ADR,抢占对抗先机。
演练前梳理应用资产,收敛潜在攻击暴露面
防守队利用ADR可进行应用资产梳理,形成应用资产清单,明确应用中间件的类型、运行环境、版本信息等关键信息,为后续安全加固、防护做到有的放矢。同时,利用ADR的漏洞发现、基线安全等检测功能,结合修复加固手段对发现的问题逐一整改,消除应用安全隐患,使应用安全风险维持在可控范围。
演练中持续检测与分析,实现有效防御与溯源
ADR通过Agent对应用程序的访问请求进行持续监控和分析,结合应用上下文和攻击检测引擎,使得应用程序在遭受攻击——特别是0day、无文件等高级别攻击手段时——能够实现有效的自我防御。另外,ADR的溯源能力可以从多维度捕获攻击者信息,聚合形成攻击者画像,同时记录整个攻击到防御的闭环过程,为编写报告提供依据。
演练后结合上下文,全面提高应用安全等级
ADR不仅关注攻击行为中的指令和代码本身,还关注涉及到的上下文。因此安全人员可以通过ADR提供的调用堆栈信息等内容,推动研发人员进行代码级漏洞修复,调整安全策略,进行整体加固,全面提高应用安全等级。同时,ADR支持攻击事件统计分析和日志功能,帮助安全人员快速整理安全汇报材料,显著地提升安全运营工作效率。
数据治理安全
在数据生命周期中的采集、传输、存储、处理、交换等各个环节中,“应用”是最高频、最重要、最关键的数据安全场景。结合数世咨询发布的《数据治理安全DGS》能力白皮书,ADR能够有效支持数据治理安全的落地与实践。
数据的轻量资产化
数据的轻量资产化只需将原始数据进行简单处理,剔除劣质和无效数据后,将其制作成有效支持分析运算与业务应用的数据资产。 “应用”处于业务与数据关联的核心,是数据轻量资产化的最佳位置。ADR基于安全视角的资产发现与管理能力,能够为其持续提供“既懂数据、又懂业务”的轻量资产化数据。
数据的分类分级
ADR的应用安全运行基线能力,能够基于对国家法律法规、行业监管的理解和对业务数据的理解,极大地减少行业客户数据分类分级初期咨询的工作量,在日后需要匹配新的业务流转或符合新的安全合规要求时,还能够为AI/ML的深度应用持续提供最新的海量数据样本。
配合安全能力的对接与编排调度
ADR基于RASP技术,具备检测高准确率、告警低误报率以及实时阻断自动化响应等优势能力,因此可通过API的方式与数据安全能力接口进行对接,或结合实网攻防演练或安全运营等不同的业务场景与编排调度平台进行配合,确保数据始终处于有效保护和合法利用的状态。
除了上述主要场景,用户在类似的安全重保、应用加固、供应链安全以及集团应用安全体系建设等场景下,都可以采用ADR这块重要拼图。
边界无限靖云甲ADR
诚如数世咨询ADR能力白皮书中所述,目前国内相关领域企业数量并不多,只有个别企业明确提出了ADR这一概念,而边界无限就是这么一家将RASP技术提升至ADR的安全新锐,并凭借超强的技术前瞻性和对ADR的专注而入选ADR能力白皮书,并且成为国内唯一被推荐的ADR代表厂商,其自主研创的靖云甲ADR更是被业界称为应用的“免疫血清”。
边界无限副总裁、产品总负责人沈思源介绍说,靖云甲ADR基于RASP技术,以Web应用为核心,以RASP为主要安全能力切入点,打造Web应用全方位安全检测与响应的解决方案,是边界无限帮助用户构建云原生时代安全基础设施体系的起点和战略支点,更是“灵动智御”理念的实践。靖云甲ADR引入多项前瞻性的技术理念,通过对应用风险的持续检测和安全风险快速响应,帮助企业应对来自业务增长、技术革新和基础设施环境变化所产生的等诸多应用安全新挑战。
边界无限靖云甲ADR拥有资产管理、入侵检测、漏洞管理和内存马防御等核心功能,具备免重启、采样决策分离、IT部署架构、性能全面领先等核心优势,其应用场景为业务在线修复、实战攻防演练、恶意应用攻击和集团应用安全建设能力等。
具体来说,在流量安全层面,边界无限靖云甲ADR基于网格化流量采集,通过联动应用端点数据、应用访问数据,高效准确防御0day漏洞利用、内存马注入等各类安全威胁;在数据安全方面通过数据审计、治理、脱敏等安全技术,有效实现数据安全风险态势的把控。在为企业提供全面的应用安全保障的同时,ADR通过虚拟补丁、漏洞威胁情报、访问控制等运营处置手段,有效提高安全运营的事件处置效率。这顺应了时下流行的安全技术趋势,也满足了广大政企客户的现实安全需求。
边界无限靖云甲ADR拥有精准细化的资产清点、紧跟形式的安全研究、海量可靠的漏洞运营、轻量无感的性能损耗等优点,尤其是在应用资产管理、供应链安全、API资产学习层面,表现优异。靖云甲ADR跨IT架构统计应用资产,实现安全能力同步管控,为应用提供安全风险评估;动态采集应用运行过程中的组件加载情况,快速感知资产动态,全面有效获知供应链资产信息;自主学习流量+应用框架,具体来说,靖云甲ADR会通过插桩对应用内部框架定义的API方法以及应用流量进行API全量采集,同时利用AI 检测引擎请求流量进行持续分析,自动分析暴露陈旧、敏感数据等关键问题。
此外,边界无限靖云甲ADR采用“主被动结合”双重防御机制,对外基于RASP能力对内存马的注入行为进行有效防御,对内通过建立内存马检测模型,通过持续分析内存中存在的恶意代码,帮助用户解决掉埋藏内存中的“定时炸弹”。针对内存中潜藏的内存马,靖云甲ADR提供了一键清除功能,可以直接将内存马清除,实现对内存马威胁的快速处理。靖云甲ADR还可以通过主动拦截+被动扫描,有效阻断内存马的注入;对已经被注入的内存马提供源码和特征检测信息,无需重启应用即可一键清除。另外,靖云甲ADR采用“attach”等方式注入agent,无需重启直接更新,以减少对业务运行的干扰。
截至目前,边界无限已与关键基础设施重要行业和领域的数十家客户达成业务合作,相信随着RASP以及ADR技术的进一步成熟,边界无限将帮助各运营单位构建关键信息基础设施整体应用防控体系,不断提升关键信息基础设施安全应用防护能力。