摘要:rasp2.0
近日,国内数字化产业第三方调研与咨询机构数世咨询和cio时代联合主办的第四届数字安全大会在北京隆重召开,大会中重磅发布了由数世咨询牵头联合产业、学术、政府部门等智慧,编制的国内首本《数字安全蓝皮书》。
《数字安全蓝皮书》对数字安全技术与产业的现状,以及数字安全的理念定义、本质特征作出了梳理和阐述,旨在探讨数字安全内涵、明晰数字安全的重要性并凝聚产业共识的著作,构建沟通与探讨的语言,统一产业思想、集中技术资源,使数字安全发展不偏航、不出轨,稳定、持续地助力数字中国建设。北京边界无限科技有限公司(边界无限,boundaryx)凭借深厚技术积淀以及在应用检测与响应(adr)领域的锐意创新,获评adr赛道领航者。
《数字安全蓝皮书》明确了应用检测与响应(adr)的定义、核心能力、应用场景等内容。
应用检测与响应(adr)的定义
应用检测与响应(application detection and response,adr)是指,以web应用为主要检测与响应对象,以rasp技术为内核,采集应用运行环境与应用内部的用户输入、上下文信息、访问行为等流量数据并上传至分析管理平台,辅助威胁情报关联分析后,以自动化策略或人工响应处置安全事件的凯发k8官网的解决方案。
核心能力:
应用运行时的入侵检测技术:可在java、php、golang语言中进行数据采集,数据采集之后,核心算法引擎将根据应用运行上下文来做出准确的攻击分析以及决策。
探针功能解耦技术:基于分离加载的技术方案实现了探针功能插件化,使探针具备热插拔能力,从而根据企业的实际需求,保障业务性能和功能的相对平衡。
代码框架分析技术:基于应用中包含的标准方法,在程序运行时调用框架中的接口定义方法,来获取程序中的api资产。
组件库调用分析技术:java语言中通过 jvm(java虚拟机)提供的 jvmti (java虚拟机工具接口)技术将探针注入到目标应用内,实现完整获取到应用程序中加载的 jar包(一种java文档格式)。php语言通过解析应用程序的composer.lock文件来完成组件库的采集,若应用程序中未存在 composer.lock文件将降级解析 composer.json文件来完成组件库的采集。
流量请求分析技术:探针在注入到应用程序之后,通过hook的方式获取到应用输入和输出请求,采集输入输出请求对数据进行分析,可发现应用的流量行为以及在当前上下文下的数据意义,也可分析出应用与应用之前的调用关系,形成业务拓扑图。
应用场景:
应用安全体系建设:对于企业而言,应用安全是一个技术体系,单一的产品无法真正实现应用安全。在一个完整的应用安全体系里,有很多执行不同任务的安全产品,它们联合作战,在功能上互相弥补,才能实现保卫应用安全的目标。目前waf等传统边界防护产品暴露出的不足催生了adr等新型应用安全防护技术的诞生。adr不但可以跟waf等能力互补,还可以与sca、soc、waap、hids、hdr、容器安全、云原生安全能力(如微隔离)等在不同场景下形成合力,从而构建纵深防御、全面监控的企业整体应用安全体系。在这其中,adr不可或缺,因为深入应用内部的特性,保障了应用安全的“最后一道防线”。adr针对应用的框架、组件、业务属性、时间线等具备细粒度的资产管理能力、可视化的资产信息展示能力。除此之外,对于应用框架中的第三方组件库,adr具备动态采集加载组件库信息的能力。adr通过流量请求分析技术和代码框架分析技术对应用进行流量离线分析和代码框架api采集,实现对api资产的自动发现和api资产可视化;通过api的流量访问情况检测出是否存在影子api;内置的海量敏感信息检测库,能够对api的参数及请求头等关键内容进行风险评估,为api安全优化提供辅助性的策略。未来adr技术将向云原生应用程序保护平台的方向发展演进,将为企业的应用安全防护提供更有力的支持。
软件供应链安全治理:在安全运营团队处理高危漏洞时,adr可以提供全量的组件库资产信息清单,精准定位到组件涉及的应用范围及组件路径、版本等相关信息,帮助团队快速完成前期统计工作;在漏洞修复计划制定时,adr可以提供组件的加载情况,对于被应用引入但实际并未调用的组件库可以安排后期修复,先期对被调用的组件应用进行优先修复,帮助安全运营团队确定应用路东修复优先级。尤其是客户外采或者外包的软件产品,一旦出现高危漏洞,将使客户面临极大的风险,adr可以有效防护这些供应商提供应用在业务运行时态的安全状态。adr基于rasp的免重启探针注入技术,可以在不影响业务运行,且不需要任何代码改动的情况下将安全防护能力注入老旧业务中,消除由于老旧代码无人维护,需要长期“负伤”运行的安全风险;对于早期采购的业务系统可能由于供应商无法提供源码,难以自行维护的情况,adr可以采用虚拟补丁技术,提供方法级的应用漏洞补丁,持续保障老旧业务平稳运行。
边界无限明星产品靖云甲adr应用检测与响应系统基于rasp技术,以云原生为场景,以数据链路为核心,以流量安全、api安全和数据安全作为安全能力切入点,引入多项前瞻性的技术理念,通过对应用风险的持续检测和安全风险快速响应,帮助企业应对来自业务增长、技术革新和基础设施环境变化所产生的等诸多应用安全新挑战。此前,在数世咨询发布的安全业界首份《adr能力白皮书》中推荐了adr领域的代表性厂商,边界无限凭借其被喻为应用“免疫血清”的靖云甲adr成为唯一被推荐的国内公司,这是技术优势与创新能力的双重体现,获评adr领航者的称号可谓是实至名归。
靖云甲adr核心能力:
靖云甲adr可实现0day漏洞无规则防御,采用rasp技术,无需任何规则即可实现0day漏洞拦截,可天然免疫业界90%以上0day漏洞。
内存马免重启查杀:应用内存级别的内存马查杀,有效提高检测效率和准确性,无需重启业务一键清除内存马。
组件库动态采集管理:采用动态捕获技术,在应用运行过程中自动收集并展示第三方组件信息及调用情况,实现供应链资产的清点和管理。
api和敏感数据清点:采用“流量 框架”的双层检测机制,更细颗粒度地采集api资产,并内置敏感数据检测模型。
靖云甲adr典型应用场景:
攻防演练:在hw或实战,靖云甲adr可视为rasp2.0,以探针形式注入应用,对内存马、0day漏洞这两个最令人头疼的问题,adr的防护作用独树一帜。在演练场景或是实际攻防,如被内存马注入,靖云甲adr还可以作为清除内存马的应急手段。
供应链风险治理:不仅可以帮助用户防护oa、财务系统、报表、应用集权和研发系统、中间件等(如泛微、致远、用友等)容易被攻击的系统,还可以加强开源组件库风险治理,洞悉应用运行时的组件调用关系,将组件漏洞分类分级,为研发及第三方修补提供依据。
云上应用安全防护:适应复杂it环境,实现统一管控策略,打破云边界,提高安全水平,应用发布即可免疫0day漏洞,确保发布即安全。
老旧业务风险治理:不需要任何代码改动的情况下将安全防护能力注入老旧业务中,消除由于老旧代码无人维护,需要长期“负伤”运行的安全风险,特别是早期采购的业务系统,往往出现没有源码难以自行维护的情况,adr可以采用虚拟补丁技术,保障老旧业务平稳运行。
api安全水位提升:adr嵌入应用内部,可全量盘点api资产,发现影子api、僵尸api,提高安全防护水平。
整体应用安全能力增强:已经部署waf、soc、hids等的客户,可与adr联防联控、内外结合、纵深防御,补足短板。
总体而言,adr是应用安全防护的更新形态,兼顾合规与攻防,兼具运行时防护与供应链安全管理,是rasp技术的全面升级,可与waf形成纵深防御体系,将应用安全防护从注重边界防御的1.0时代提升至“内外兼顾”的2.0时代。
在实战演练长常态化的今天,基于rasp技术的靖云甲adr作为应用0day漏洞防御、内存马注入防御等高危风险的领防技术,已经被客户广泛认可,边界无限连续中标三大金融客户及核心能源央企rasp建设项目便是最有力的证明。