近日,中国数字产业领域第三方咨询机构数世咨询发布安全行业首份《ADR能力白皮书》,通过系统研究ADR的关键能力以及使用场景等,为广大政企客户构建整体应用防护体系提供参考和借鉴。白皮书还推荐了ADR领域的代表性厂商,作为一家专注于技术创新突破的安全新锐公司,边界无限凭借其被喻为应用“免疫血清”的靖云甲ADR成为唯一被推荐的国内公司。该ADR能力白皮书在CSA大中华区组织的CSA研讨会上首次发布。
ADR关键发现
应用检测与响应(Application Detection and Response – ADR)是指以Web应用为主要对象,采集应用运行环境与应用内部中用户输入、上下文信息、访问行为等流量数据并上传至分析管理平台,辅助威胁情报关联分析后,以自动化策略或人工响应处置安全事件的解决方案。
ADR以Web应用为核心,以RASP为主要安全能力切入点。
作为安全关键基础设施,ADR能够与WAF、HDR、IAST等多个安全能力形成有机配合。
ADR 的五大关键技术能力:探针(Agent)、应用资产发现、高级威胁检测、数据建模与分析、响应阻断与修复。
对0day漏洞、无文件攻击等高级攻击威胁的检测与响应已经成为ADR的关键能力之一。
ADR厂商将与公有云厂商、各行业云厂商建立更加深入的合作关系,逐步加快ADR在各行业的集中部署。
ADR关键技术能力
RASP恰好处在应用访问流量中东西向与南北向的交叉点,因此以RASP作为能力切入点,ADR 应当具备以下几个关键技术能力:
探针(Agent)
应用资产发现
高级威胁检测
数据调度与分析
响应阻断与修复
探针(Agent)
在主机安全层面,探针技术已经开始被多数用户接受。因此在应用安全领域,用户对Agent的考量主要在于性能、兼容性、是否重启等要点。
业务连续性
早期的RASP部署之后,需要重启应用环境,对用户的业务连续性会有较大影响。近年来,随着技术发展,ADR已经有采用“attach”等方式注入Agent,无需重启直接更新,以减少对业务运行的干扰。
对应用性能的影响
RASP技术实现的实质是在不接触应用源码的情况下,对函数进行Hook操作。因此不可避免的Agent对原有的应用性能会有影响。在PoC试用时查看Agent对性能的影响,用户一般关注内存占用、RT(Response Time)等关键指标。
兼容性
首先是对多开发语言的支持,Java、Golang、PHP、Python、Nodejs等主流开发语言,Agent探针都应当支持。再就是除了对应用环境中典型中间件、第三方组件、通用类和框架类的函数等兼容外,还要能够对自研代码部分进行Hook。
应用资产发现与管理
ADR应当具备较强的应用资产发现与管理能力,这是后续检测与响应的基础。
持续资产发现
ADR所覆盖的资产主要为应用资产、组件库资产、API资产三大类。资产发现手段可采用第三方导入+持续发现相结合的方式。一方面导入已有的应用资产信息、第三方组件信息、所属业务信息等资产数据,另一方面,通过具备资产信息更新的接口,便于随时从自有的资产发现模块,或EDR、HDR等外部端侧资产信息,定期接入更新的应用资产数据。特别针对应用框架中大量的API资产,可通过插桩方式对应用流量进行全量采集并持续分析,持续发现API资产。
应用资产管理
ADR应针对应用的框架、组件、业务属性、时间线等具备细粒度的资产管理能力、可视化的资产信息展示能力。除此之外,对于应用框架中的第三方组件库,ADR应当具备动态采集加载组件库信息的能力。也就是说,针对组件库资产,要能区分在全量组件中哪些是应用已经加载的组件,以便后续环节中,对其能够优先进行检测与响应。特别是当供应链出现严重漏洞的时候,可以快速定位到组件使用情况,加强对供应链管理能力。
形成运行基线
通过持续的资产发现与管理,结合应用、中间件的配置检查能力,由此,ADR即可形成应用安全运行基线。无论是实网攻防演练,还是日常安全运营,结合不同的业务场景,安全团队可对应用和中间件的资产完整性、策略配置、异常行为等进行针对性的监测、检测、响应。
ADR的能力建设到这一步,可以满足大部分针对应用的攻击检测与响应需求。接下来,还需要对更高级别的攻击行为构筑威胁检测能力。
高级威胁检测
基于RASP的技术实现特性,ADR应当具备对0day漏洞、内存马等高级威胁的检测能力。
0day漏洞
对nday漏洞的PoC检测基于漏洞的已知特征实现。区别于此,ADR是对应用中关键执行函数进行Hook监听,同时采集上下文信息结合判断。因此能够覆盖更加全面的攻击路径,进而从行为模式的层面,对0day漏洞实现有效感知,弥补传统流量规则检测方案所无法实现的未知漏洞攻击防御。
前段时间造成大范围影响的Log4j漏洞事件中,就已经有ADR代表企业以上述思路成功阻断了当时以0day身份出现的Log4j漏洞在客户侧的蔓延。因此,对0day漏洞的检测与响应已经成为ADR的关键能力之一。
内存马
应用内存马的攻击实现方式是,攻击者通过应用漏洞结合语言特性在应用中注册包含后门功能的API。此类API在植入之后并不会在磁盘上写入文件,代码数据只寄存在内存中,此类无文件攻击特性可以很好的隐藏后门,攻击者可长期控制业务系统或将其作为进入企业内部的网络跳板。
针对应用内存马,ADR首先可通过建立内存马检测模型,持续检测内存中可能存在的恶意代码,覆盖大部分已知特征的内存马;其次,基于RASP的技术特点,ADR可以对内存马注入可能利用到的关键函数,进行实时监测,从行为模式层面以“主被动结合”的方式发现内存马,以此覆盖剩余的未知特征的内存马。
因为是在内存中进行检测与判断,因此,对内存马的攻击行为一经发现并结合上下文确认,就可以实时进行阻断并清除,实现自动化的检测与响应。相比之下,其他响应阻断都会有一定的滞后性。因此可以说这是ADR的核心关键能力之一。
数据建模与分析
ADR需要具备较强的数据建模与分析能力。
鉴于Agent不能过高占用应用环境资源,ADR数据建模与分析应由专门的服务端引擎来承担,将Agent采集数据、安全日志数据、外部威胁情报数据等有序调度汇总后,进行威胁建模与分析研判。
数据的建模与分析应当兼顾成本与效率,数据模型要考虑资产优先级、业务场景等,原则是提高对常见威胁的分析效率与准确率,降低自动化响应的失误率。
对于高级别威胁的数据分析,引擎中的场景剧本,要能够随时增加或更新,分析结果在管理平台可视化呈现或以可编辑报告的形式导出,为高级别威胁所需的人工研判提供支持依据。
响应阻断与修复
不同于边界设备基于特征匹配检测攻击,对于扫描器的踩点、扫描行为,?般会产??量误报,RASP 运?在应?内部,失败的攻击不会触发检测逻辑,所以每条告警都是真实正在发生的攻击,这就为ADR自动化的阻断响应提供了天然的技术基础。
首先,基于应用访问关系,梳理应用的拓扑关系与数据流,逐步形成应用的安全运行基线,然后利用微隔离,降低攻击者在不同应用区域间潜在的横向移动风险;然后在此基础上,如前所述,针对0day漏洞、内存马等高级威胁,结合上下文进行自动化的阻断响应。最后,为避免再发生类似攻击,ADR还应具备临时修复加固功能。例如通过弹性补丁或虚拟补丁,对漏洞进行临时修复,待将来某个时刻,应用升级或重启时,再交由研发、运维等兄弟部门处置。
需要注意的是,虽然 RASP 几乎没有误报,但自动化阻断始终不能影响应用的业务连续性,应当具备一定的自查自保护机制。例如针对上述各响应各环节,在管理平台侧提供完备的隔离策略、阻断控制、补丁分发等功能的完整日志记录,从而为运营人员进一步的重放、分析、溯源、报告等操作提供支撑。
边界无限靖云甲ADR
诚如数世咨询ADR能力白皮书中所述,目前国内相关领域企业数量并不多,只有个别企业明确提出了ADR这一概念,而边界无限就是这么一家将RASP技术提升至ADR的安全新锐,并凭借超强的技术前瞻性和对ADR的专注而入选ADR能力白皮书,并且成为国内唯一被推荐的ADR代表厂商,其自主研创的靖云甲ADR更是被业界称为应用的“免疫血清”。
边界无限副总裁、产品总负责人沈思源介绍说,靖云甲ADR基于RASP技术,以Web应用为核心,以RASP为主要安全能力切入点,打造Web应用全方位安全检测与响应的解决方案,是边界无限帮助用户构建云原生时代安全基础设施体系的起点和战略支点,更是“灵动智御”理念的实践。靖云甲ADR引入多项前瞻性的技术理念,通过对应用风险的持续检测和安全风险快速响应,帮助企业应对来自业务增长、技术革新和基础设施环境变化所产生的等诸多应用安全新挑战。
边界无限靖云甲ADR拥有资产管理、入侵检测、漏洞管理和内存马防御等核心功能,具备免重启、采样决策分离、IT部署架构、性能全面领先等核心优势,其应用场景为业务在线修复、实战攻防演练、恶意应用攻击和集团应用安全建设能力等。
具体来说,在流量安全层面,边界无限靖云甲ADR基于网格化流量采集,通过联动应用端点数据、应用访问数据,高效准确防御0day漏洞利用、内存马注入等各类安全威胁;在数据安全方面通过数据审计、治理、脱敏等安全技术,有效实现数据安全风险态势的把控。在为企业提供全面的应用安全保障的同时,ADR通过虚拟补丁、漏洞威胁情报、访问控制等运营处置手段,有效提高安全运营的事件处置效率。这顺应了时下流行的安全技术趋势,也满足了广大政企客户的现实安全需求。
边界无限靖云甲ADR拥有精准细化的资产清点、紧跟形式的安全研究、海量可靠的漏洞运营、轻量无感的性能损耗等优点,尤其是在应用资产管理、供应链安全、API资产学习层面,表现优异。靖云甲ADR跨IT架构统计应用资产,实现安全能力同步管控,为应用提供安全风险评估;动态采集应用运行过程中的组件加载情况,快速感知资产动态,全面有效获知供应链资产信息;自主学习流量+应用框架,具体来说,靖云甲ADR会通过插桩对应用内部框架定义的API方法以及应用流量进行API全量采集,同时利用AI 检测引擎请求流量进行持续分析,自动分析暴露陈旧、敏感数据等关键问题。
此外,边界无限靖云甲ADR采用“主被动结合”双重防御机制,对外基于RASP能力对内存马的注入行为进行有效防御,对内通过建立内存马检测模型,通过持续分析内存中存在的恶意代码,帮助用户解决掉埋藏内存中的“定时炸弹”。针对内存中潜藏的内存马,靖云甲ADR提供了一键清除功能,可以直接将内存马清除,实现对内存马威胁的快速处理。靖云甲ADR还可以通过主动拦截+被动扫描,有效阻断内存马的注入;对已经被注入的内存马提供源码和特征检测信息,无需重启应用即可一键清除。另外,靖云甲ADR采用“attach”等方式注入agent,无需重启直接更新,以减少对业务运行的干扰。
截至目前,边界无限已与关键基础设施重要行业和领域的数十家客户达成业务合作,相信随着RASP以及ADR技术的进一步成熟,边界无限将帮助各运营单位构建关键信息基础设施整体应用防控体系,不断提升关键信息基础设施安全应用防护能力。