啟蒙:從《黑客X檔案》讀者到安全從業(yè)者
在陳佩文自己看來,他認為自己屬于安全業(yè)界中的草根創(chuàng)業(yè)者,從業(yè)經(jīng)歷被他云淡風輕地提及,似乎相比其他創(chuàng)業(yè)者自己的身上好像缺了一些“明星光環(huán)”,但實則在他的娓娓敘事中,我們還是聽到了許多令其他年輕安全從業(yè)者們羨慕不來的標簽。
和很多年輕人一樣,陳佩文的技術夢想始于那本傳奇的雜志《黑客X檔案》。早在2006年讀初中的時候,陳佩文不經(jīng)意間買到一本《黑客X檔案》,書中紀錄的那些黑客趣事,還有那些入侵網(wǎng)吧計費系統(tǒng)的操作指南、在游戲中一鍵開掛的隱秘技術分享,點燃了他對安全技術的向往。
在分享年少時對這本雜志的癡迷時,陳佩文談到:“這本雜志在一些小書攤上你是買不到的,得去專門找那種‘隱蔽’的地方買,對于渴望學習黑客技術的人來說,這本雜志帶給大家的不只是黑客技術,更多地還有黑客文化。但后來蠻令人遺憾的,雜志停刊了,只好轉去看電子版和論壇?!?/p>
年少時期的陳佩文將大量的課余時間和精力都撲在了學習和實踐安全技術上,得益于這份對技術的熱愛,高中時期他在安全研究方面已經(jīng)小有成績,在許多計算機技術相關的比賽中都曾獲獎,其中成績最好的一次是在高中NOIP信息學奧賽中拿下了省級獎項。
大學時期,他更加忙碌于各大網(wǎng)絡安全競賽的賽場,同時也與讓他與國內(nèi)那一批頂尖的網(wǎng)絡安全競賽選手結下了深厚的友誼。
值得一提的是,陳佩文在一次打比賽的時候幸運的結識了帶自己進入網(wǎng)絡安全行業(yè)的領路人——TK教主。后面發(fā)生的一切就更加順理成章,即將畢業(yè),在陳佩文向TK提到正在找一份實習工作的時候,TK告訴他:“來吧”。
就這樣,陳佩文順利地進入了騰訊七大安全實驗室之一的玄武實驗室,正式邁入了安全行業(yè),也正式開啟了他的“開掛”人生。
轉身:從研究員到甲方安全負責人再到創(chuàng)業(yè)
陳佩文回憶,在玄武實驗室期間研究員們一般都會被賦予多重使命,一半對內(nèi),一半對外。
首先,對內(nèi)是要深入到騰訊自身的業(yè)務中去,給包括騰訊云、微信、微信支付、游戲等多個業(yè)務單元,圍繞安全、業(yè)務合規(guī)以及用戶隱私保護等一系列方向做好技術支撐。在對內(nèi)的這部分職責下,陳佩文收獲了許多與業(yè)務部門協(xié)作的經(jīng)驗。
對外則是給每一位研究員留下充足的時間和空間去做安全研究工作,在安全研究員的角色下,陳佩文與玄武安全實驗室的伙伴們一起在云安全架構、云安全防護方面做出了大量研究相關的成果,將云底層架構到云應用業(yè)務中可能存在的安全問題進行了系統(tǒng)性的梳理。同時,在當時不斷爆發(fā)的第三方開源庫漏洞事件的影響下,他還主導了對第三方開源庫的安全研究工作,這也為后續(xù)陳佩文創(chuàng)辦邊界無限,專攻云原生安全和應用安全領域打下了扎實的技術基礎。
可以說,陳佩文在騰訊玄武實驗室的2年中收獲頗豐。很快,他迎來了自己在安全行業(yè)中第一次身份的轉變。
2017年底,各行各業(yè)均加強了對安全的監(jiān)管力度。很多企業(yè)開始設立安全負責人的崗位,增強風險管控能力。不久后,一位好友找到了陳佩文,盛情難卻之下,他便答應了下來。他也完成了從安全研究員到甲方安全負責人的角色轉變。
在談到這部分工作經(jīng)歷的時候,陳佩文分享了自己最引以為傲的一個故事。
安全從來都是不容小覷的頭等大事。在這家甲方企業(yè)擔任安全負責人期間,他除了要負責整體集團的安全體系化建設外,同時還要做好業(yè)務反欺詐方面的安全工作。
他談到,剛剛去做安全負責人時,這家公司的風控模型效果一般,反欺詐能力有待提高,對整個公司的業(yè)績都有很大影響。面對這一歷史問題,陳佩文對公司整體業(yè)務流程進行了詳細的梳理后,選擇另辟蹊徑,逆向代入安全思維試圖從弱口令的角度著手解決這一問題。
用通俗的話說,陳佩文先是利用哈希算法將歷史數(shù)據(jù)庫中所有的弱口令用戶都扒了出來,標注為“安全意識一般、較差的用戶”,同時再將那些“安全意識較強的用戶”篩選出來,此時通過與實時注冊用戶數(shù)據(jù)進行比對,那些在短時間內(nèi)連續(xù)出現(xiàn)2-3次的密碼組合,就會被識別為高風險用戶,甚至會這套風控模型直接標注為“黑產(chǎn)團伙”。
從邏輯上分析,黑產(chǎn)團伙內(nèi)部往往也會采用一套標準的操作流程,黑產(chǎn)團伙或許能夠采用一些如隨機位置信息、隨機新用戶身份信息等手段來繞過風控機制的檢測,但為了方便管理,密碼是黑產(chǎn)團隊常忽略的隨機點。黑產(chǎn)團伙可能會設置一系列復雜的密碼來重復的使用,通過對強密碼的關聯(lián)分析,就能夠追蹤到其背后黑產(chǎn)團伙的關聯(lián)關系。
順著這樣的一條思路,陳佩文很快做出了一個全新的風控模型,將惡意欺詐直線降低了50%左右,最大程度地掐滅了潛在的欺詐風險,讓業(yè)務部門拍手稱贊。
隨后的兩年中,陳佩文結合在玄武實驗室的工作經(jīng)驗,為新東家全面搭建了自身的安全防護體系。到2019年底,在公司的安全建設逐漸走上正軌后,陳佩文有些按捺不住了。作為一個閩南人,“單干”的決心似乎一直都存在,但某一瞬間,正式被點燃而一發(fā)不可收拾。
創(chuàng)業(yè):迎接新一階段的使命與挑戰(zhàn)
“跟一些業(yè)內(nèi)的朋友聊的時候,突然發(fā)現(xiàn)自己好像進入了一個按部就班的舒適圈,從我個人性格上來看,還是喜歡去做挑戰(zhàn)性強的事情。所以創(chuàng)業(yè)是自然而然。愛打拼也是福建人骨子里的一種文化?!?/p>
陳佩文坦誠地告訴我們,在剛從上一家公司轉身離開時,唯一確認的事情是要創(chuàng)業(yè)了,但在具體創(chuàng)業(yè)做什么的問題上,網(wǎng)絡安全行業(yè)并非排在第一位。但經(jīng)過一段時間的思考后,最終還是決定創(chuàng)辦一家安全公司,投身自己最擅長的領域。他強調,做安全是他的初心和熱愛,一如少年時。
他談到,從2019年開始,所有安全從業(yè)者都開始看到安全行業(yè)正在迎來一些新變化。在網(wǎng)絡攻擊不斷升級、網(wǎng)絡安全提升為國家戰(zhàn)略的背景下,中國政企用戶的安全意識不斷提升,對安全類產(chǎn)品的需求日漸上升,網(wǎng)絡安全支出也在顯著增加。頻發(fā)的安全事件更是提高了對網(wǎng)絡安全防護的要求,加速了行業(yè)新場景、新技術、新模式下的安全需求。
在這樣的大環(huán)境下,安全行業(yè)開始從合規(guī)市場向實戰(zhàn)攻防和結果導向轉變?!斑^去的安全行業(yè)我們認為是一個銷售型和關系型的合規(guī)市場,但在結果導向的市場下,技術人員迎來了自己的機會,大家能夠憑借自身的技術和能力走到用戶面前,讓用戶看到自己的獨特價值,最終用戶也愿意為此買單?!?/p>
在拜訪用戶的時候,陳佩文也得到了十分積極的反饋。一些互聯(lián)網(wǎng)頭部的企業(yè)同樣都感受到了風向的變化。甚至還有用戶明確表示:“攻防演練行動已經(jīng)改變了甲方的決策邏輯,過去大家更多是過清單式采購,先對照合規(guī)要求過一遍,缺什么買什么。但現(xiàn)在大家才會真正考慮效果的維度,防不住怎么辦?哪些東西才是真正有用的?”
用戶的反饋也再次印證了陳佩文心中對行業(yè)的預測和判斷,邊界無限這家公司也正式成立了。
破局:面向用戶剛需重新尋找創(chuàng)業(yè)方向
用陳佩文自己的話說,三年前的邊界無限如同剛啟航的一葉小舟,向著許多未知的激流和險灘在前進的道路上航行。
誠然,在一家創(chuàng)業(yè)公司成長的道路上,困境永遠不會缺席。陳佩文回憶道,2019年底的時候拉來了幾位曾經(jīng)的同事和朋友,本著一腔熱血說干就干的心態(tài)成立了邊界無限。但未曾想,公司剛一成立就迎頭趕上了2020年的疫情,在接近4個月的時間里公司沒有接到任何業(yè)務,自己花錢埋頭搞研究成為了大家唯一的樂趣。
不過,對陳佩文來說,疫情的阻礙只是一個小小的插曲。真正令他感到痛苦的還有另外一個難題,隨著時間的推移,他發(fā)現(xiàn)公司的整體方向似乎過于理想了。
他談到:“最早我們在構思整體方向的時候,是想要圍繞云安全平臺來做一系列安全產(chǎn)品,為用戶提供云端的安全能力,也在圍繞這個方向去研發(fā)產(chǎn)品。但后面在對一些目標用戶的走訪中才發(fā)現(xiàn),這一個思路并不是那么正確,很多用戶也認為未來云安全應該是由云廠商來提供的能力,一家初創(chuàng)企業(yè)很難在云安全中找到機會。”
陳佩文被用戶說服了,那邊界無限的未來方向在哪里呢?沉默了一段時間后,他決定帶著團隊一起扎到攻防演練活動中,通過一場場硬仗來讓用戶看到邊界無限的技術能力,同時去到用戶一線看一看,從解決一個剛需和痛點問題角度去尋找公司未來的方向。
三個月后,RASP技術、云原生安全和應用安全幾個標簽與邊界無限牢牢綁定在了一起。
在用戶的攻防實例中陳佩文看到,大量的漏洞未修復甚至無法修復、內(nèi)存馬攻擊無法檢測防御、第三方軟件供應鏈調用關系復雜仍然是最普遍的問題。這些安全問題都發(fā)生于應用內(nèi)部,但廣大政企用戶仍然在采用傳統(tǒng)邊界防御的手段,應用內(nèi)生安全的基因并未被激發(fā),因此邊界無限很堅定地選擇了應用安全與云原生安全的賽道。
他談到,“我們的核心洞察是,應用是云原生的未來,那么應用安全的重要性自然不言而喻。當前IT基礎架構在持續(xù)迭代,唯有應用從始至終貫穿整個架構變革,對應用的防護不但不會停滯,還會迅猛增長,因此應用或將成為未來用戶唯一需要自行保護的內(nèi)容。這也意味著,應用安全將成為云原生時代的重要需求。作為運行時安全技術的典型代表,RASP技術有著天然的優(yōu)勢,是云原生時代加強應用安全防護的創(chuàng)新解決方案,甚至可能帶來顛覆性的影響。所以我們雖然也會覺得RASP實現(xiàn)的難度很高,但最后我們還是堅持認為,RASP是真正能夠解決問題的路徑?!?/p>
革新:以RASP技術為應用注入“免疫血清”
當前,多數(shù)應用都依賴于像入侵防護系統(tǒng)(IPS)和 Web 應用防火墻(WAF)等外部防護。WAF部署在Web應用前線,通過對HTTP/HTTPS的有目的性的策略來達到對Web應用的保護,在HTTP流量到達應用服務器之前對其進行分析,但是基于流量的檢測分析手段容易被繞過。相比于傳統(tǒng)基于邊界的防護產(chǎn)品,RASP不需要依賴規(guī)則。
陳佩文介紹,RASP 以安全插件的形式,將保護引擎注入到應用服務中,就像“免疫血清”一樣,隨應用程序在本地、云、虛擬環(huán)境或容器中進行部署,全面掌握應用內(nèi)部上下文之間的聯(lián)系,這樣可以構建應用安全程序的深度防御體系,尤其是在面臨未知漏洞的前提下,也將是較優(yōu)的選擇,彌補了當前市場在產(chǎn)品應用層的空白。
針對性防護應用行為上的攻擊,RASP可以做到以下幾點:
一是應用資產(chǎn)梳理。幫助用戶從安全角度構建細粒度的應用資產(chǎn)信息,讓被保護的應用資產(chǎn)清晰可見。提供數(shù)十種應用中間件的自動識別,并主動發(fā)現(xiàn)、上報應用的第三方庫信息,實現(xiàn)對應用安全性的內(nèi)透。
二是應用內(nèi)存馬防御。通過建立內(nèi)存馬檢測模型,以Java語言為例,利用安全插件周期性地對 JVM 內(nèi)存中的 API 進行風險篩查,并及時上報存在風險的信息,幫助用戶解決掉埋藏內(nèi)存中的“定時炸彈”。
三是應用漏洞管理。幫助用戶精準發(fā)現(xiàn)應用漏洞風險,幫助安全團隊快速、有效地定位和解決安全風險。主動采集第三方依賴庫庫信息,并與云端漏洞庫進行比對、分析,識別出應用存在的安全隱患,從而縮減應用攻擊面,提升應用安全等級。
四是應用入侵防御。幫助用戶防御無處不在的應用漏洞與網(wǎng)絡威脅。結合應用漏洞攻擊免疫算法、安全切面算法及縱深流量學習算法等關鍵技術,將安全防御能力嵌入到應用自身當中,為應用程序提供全生命周期的動態(tài)安全保護,顯著地提升企業(yè)的安全運營工作效率。
時機:Log4j漏洞爆發(fā)推動RASP持續(xù)升溫
2021年12月,Apache Log4j 開源組件在業(yè)內(nèi)被曝出嚴重漏洞,被認為是“2021年最重要的安全威脅之一”;2022年4月,Spring 開源應用開發(fā)框架也被爆出了一個嚴重高危漏洞,其波及范圍之廣再次引發(fā)各界對開源組件0Day漏洞的擔憂。多個0Day漏洞的相繼爆發(fā)讓RASP技術迅速成為了網(wǎng)絡安全行業(yè)的熱議技話題,RASP技術的市場關注度也得以持續(xù)升溫。
談及對Log4j漏洞事件對RASP市場的影響,陳佩文表示,“在剛決定做RASP的時候我們就認為,未來一定會出現(xiàn)一些通過WAF無法解決,但RASP能夠有效解決的0Day漏洞。Log4j漏洞事件的爆發(fā)比我們的預期來的要更早了一些,但恰好我們的靖云甲產(chǎn)品已經(jīng)在一部分用戶的系統(tǒng)中上線并證明了它的實際價值,這也讓業(yè)界將目光轉移到了邊界無限的身上?!?/p>
但他同時也強調,邊界無限最終的使命并不滿足于使用RASP技術幫助用戶實現(xiàn)防御0Day漏洞攻擊這件事情上。RASP技術只是一個起點,最終邊界無限的目標是構建云原生時代的安全基礎設施體系,解決云上應用運行時安全的整體問題,讓用戶無論是面對0Day漏洞攻擊、內(nèi)存馬注入攻擊類的已知和未知安全威脅,還是API安全,數(shù)據(jù)安全問題都能夠高枕無憂。
針對未來RASP發(fā)展趨勢,陳佩文也談到了自己的看法。他表示,從甲方的視角去看待安全建設過程的時候能夠發(fā)現(xiàn),從物理安全、機房安全、硬件安全到主機安全,安全建設較早的用戶基本上已經(jīng)做完了,但應用安全仍然是擺在甲方用戶面前的一個“黑盒”。現(xiàn)實告訴我們,這個黑盒子必須在下一次0Day漏洞大規(guī)模爆發(fā)前被打破,否則勢必會引起整個IT行業(yè)的又一次震蕩。
所有安全技術的興起其實背后都是有一些安全事件在推動,值得慶幸的是,Log4j已經(jīng)為大家拉響了警報,讓用戶們看到了RASP的價值所在。
“在Log4j漏洞爆發(fā)后,頭部的一些公司和行業(yè)已經(jīng)表現(xiàn)出了他們敏銳的嗅覺和前瞻性,提前規(guī)劃和布局RASP技術。我們能看到包括四大行都在開始落地RASP技術,頭部的互聯(lián)網(wǎng)企業(yè)像阿里、華為也都在自研RASP,這已經(jīng)足以說明這項技術的實用性。如果下一次0Day漏洞爆發(fā)時,大家會突然發(fā)現(xiàn),走在前面的人已經(jīng)通過RASP的技術手段攔下攻擊,腰部的公司就會快速跟進。所以我們相信,RASP市場的繁榮只是一個時間問題,應用安全是所有企業(yè)無法繞過的一個難點。”
前瞻:RASP逐漸成熟 ADR需求正在被激發(fā)
誠如上文,Log4j2等0Day漏洞的爆發(fā)讓RASP技術成為網(wǎng)絡安全行業(yè)的新晉網(wǎng)紅,而隨著網(wǎng)絡攻防實戰(zhàn)化、常態(tài)化的深入,RASP技術的市場關注度持續(xù)升溫,同時基于RASP技術的ADR應運而生并迅速被市場側關注甚至認可。
基于多年的攻防實戰(zhàn)經(jīng)驗與對技術創(chuàng)新的執(zhí)著,邊界無限率先實現(xiàn)了基于RASP技術的靖云甲ADR(Application Detection & Response)產(chǎn)品的落地,并在功能和性能上領先于其他競爭對手,可以說是在這場競賽中搶到了桿位?!皸U位這個詞是F1賽車領域的術語,是指在方程式賽車比賽前,排位賽成績最好者(單圈最快)獲得排在全部賽車最前面的位置,這就是桿位?!标惻逦谋硎?,“不是最先發(fā)力的注定成為最終的勝利者,一款產(chǎn)品的成功,技術實力和時機都很重要。在RASP技術提出到成熟的周期中,邊界無限雖是后發(fā)但卻先至,在RASP技術成熟度上獨樹一幟。一系列0Day漏洞的爆發(fā),網(wǎng)絡攻防實戰(zhàn)化、常態(tài)化的趨勢,邊界無限在攻防領域的深厚積淀以及廣大政企客戶的逐步認可,讓邊界無限推出靖云甲ADR擁有了天時、地利、人和的優(yōu)勢?!?/p>
除了對RASP技術的需求,安全業(yè)界也樂見對應用安全的防護加強檢測與響應能力,ADR這一新的安全賽道也水到渠成。將安全插件加載到應用中,可以抓取到更精細的應用數(shù)據(jù),不單單包括完整的通信數(shù)據(jù),還包括應用程序具體內(nèi)部執(zhí)行的行為。既然擁有這一特性,陳佩文表示,隨著云場景的細化要求,和客戶方對此類技術接受度的提高,植入應用的安全插件也應該幫助甲方解決更多問題,這給靖云甲ADR帶來了廣闊的施展空間。
對比國際廠商,邊界無限靖云甲ADR擁有精準細化的資產(chǎn)清點、緊跟形式的安全研究、海量可靠的漏洞運營、輕量無感的性能損耗等優(yōu)點,尤其是在應用資產(chǎn)管理、供應鏈安全、API資產(chǎn)學習層面,其表現(xiàn)優(yōu)異。靖云甲ADR跨IT架構統(tǒng)計應用資產(chǎn),實現(xiàn)安全能力同步管控,為應用提供安全風險評估;動態(tài)采集應用運行過程中的組件加載情況,快速感知資產(chǎn)動態(tài),全面有效獲知供應鏈資產(chǎn)信息;自主學習流量+應用框架,具體來說,靖云甲ADR會通過插樁對應用內(nèi)部框架定義的API方法以及應用流量進行API全量采集,同時利用AI 檢測引擎請求流量進行持續(xù)分析,自動分析暴露陳舊、敏感數(shù)據(jù)等關鍵問題。
發(fā)力:契合《關基保護要求》發(fā)布 重點面向關基應用防護
近日,市場監(jiān)管總局標準技術司、中央網(wǎng)信辦網(wǎng)絡安全協(xié)調局、公安部網(wǎng)絡安全保衛(wèi)局在京聯(lián)合召開《信息安全技術 關鍵信息基礎設施安全保護要求》(簡稱《關基保護要求》)國家標準發(fā)布會。據(jù)悉,《關基保護要求》是關鍵信息基礎設施安全保護標準體系的構建基礎,將于2023年5月1日正式實施。該標準針對關鍵信息基礎設施安全保護工作,為運營者開展關鍵信息基礎設施保護工作需求提供了詳細指引和指導依據(jù)。
關鍵信息基礎設施定義為“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網(wǎng)絡設施、信息系統(tǒng)等。”由于關基安全自身的特性:“業(yè)務不可中斷”“發(fā)生安全事件的代價極大”“安全風險連鎖連片”等,關基防護從“靜態(tài)防御”轉向“動態(tài)防御”,從“被動防御”轉向“主動防御”,從“單點防御”轉向“協(xié)同聯(lián)防”。陳佩文表示,這與北京邊界無限科技有限公司(簡稱邊界無限)長期堅持的安全理念不謀而合,邊界無限靖云甲ADR更是高度契合相關要求。邊界無限是應用運行時安全、云原生安全“靈動智御”安全理念的創(chuàng)領者,致力于通過還原真實攻防來幫助政企客戶構建更安全、更靈動的網(wǎng)絡及更動態(tài)、更有價值的縱深防御體系。
《關基保護要求》提到的關鍵信息基礎設施安全保護應在網(wǎng)絡安全等級保護制度基礎上,實行重點保護,應遵循以下基本原則。1.以關鍵業(yè)務為核心的整體防控。關鍵信息基礎設施安全保護應以保護關鍵業(yè)務為目標,對業(yè)務所涉及的一個或多個網(wǎng)絡和信息系統(tǒng)進行體系化安全設計,構建整體安全防控體系;2.以風險管理為導向的動態(tài)防護。根據(jù)關鍵信息基礎設施所面臨的安全威脅態(tài)勢進行持續(xù)監(jiān)測和安全控制措施的動態(tài)調整,形成動態(tài)的安全防護機制,及時有效地防范應對安全風險;3.以信息共享為基礎的協(xié)同聯(lián)防。積極構建相關方廣泛參與的信息共享、協(xié)同聯(lián)動的共同防護機制,提升關鍵信息基礎設施應對大規(guī)模網(wǎng)絡攻擊能力。
陳佩文介紹說,以《關基保護要求》為指導,邊界無限著力打造以關鍵業(yè)務為核心的整體應用防護,以風險管理為導向的動態(tài)應用防護,以信息共享為基礎的應用端協(xié)同聯(lián)防。邊界無限靖云甲ADR主要面向關基所涉及的金融、能源電力、運營商、電子政務、公共服務(醫(yī)療、教育等)、交通、水利等多個領域,多方面助力構建關鍵信息基礎設施動態(tài)應用防護機制,實時精準采集應用資產(chǎn)、組件庫資產(chǎn)等信息,消除資產(chǎn)盲區(qū),實現(xiàn)資產(chǎn)有效管理,讓安全防護覆蓋到資產(chǎn)的每一個角落;幫助用戶精準發(fā)現(xiàn)應用漏洞風險,幫助安全團隊快速、有效地定位和解決安全風險;主動采集第三方依賴庫信息,并與云端漏洞庫進行比對、分析,識別出應用存在的安全隱患,從而縮減應用攻擊面,提升應用安全等級;通過對應用運行時環(huán)境的持續(xù)監(jiān)控,有效防御惡意攻擊,為應用提供全生命周期的動態(tài)安全保護。此外,邊界無限靖云甲ADR還可以與傳統(tǒng)應用防護技術WAF相互配合,形成協(xié)同聯(lián)防,一起構建更加嚴謹、有效的縱深防護體系。
《關基保護要求》分別從分析識別、安全防護、檢測評估、監(jiān)測預警、主動防御、事件處置等多個環(huán)節(jié)和維度提出要求。在應用防護層面,邊界無限靖云甲ADR高度契合上述要求。對此,陳佩文做了細致的闡述。
1.分析識別:圍繞關鍵信息基礎設施承載的關鍵業(yè)務,開展業(yè)務依賴性識別、關鍵資產(chǎn)識別、風險識別等活動。基于業(yè)務識別相關的資產(chǎn),明確關基防護的范圍和優(yōu)先級,有利于風險評估工作的開展。
邊界無限靖云甲ADR擁有精細化的資產(chǎn)清點,靖云甲ADR跨IT架構統(tǒng)計應用資產(chǎn),實現(xiàn)安全能力同步管控,為應用提供安全風險評估;動態(tài)采集應用運行過程中的組件加載情況,快速感知資產(chǎn)動態(tài),全面有效獲知供應鏈資產(chǎn)信息;自主學習流量+應用框架,具體來說,靖云甲ADR會通過插樁對應用內(nèi)部框架定義的API方法以及應用流量進行API全量采集,同時利用AI 檢測引擎請求流量進行持續(xù)分析,自動分析暴露陳舊、敏感數(shù)據(jù)等關鍵問題,可消除資產(chǎn)盲區(qū),實現(xiàn)資產(chǎn)有效管理,讓安全防護覆蓋到資產(chǎn)的每一個角落。
2.安全防護:根據(jù)已識別的關鍵業(yè)務、資產(chǎn)、安全風險,在安全管理制度、安全管理機構、安全管理人員、安全通信網(wǎng)絡、安全計算環(huán)境、安全建設管理、安全運維管理等方面實施安全管理和技術保護措施,確保關鍵信息基礎設施的運行安全。
為了能有效檢測關鍵信息基礎設施的運營單位應對網(wǎng)絡安全事件的狀態(tài),網(wǎng)絡安全攻防演練已然成為常態(tài)化和實戰(zhàn)化。邊界無限安服團隊核心成員均來自于各大廠商的安全實驗室,專注于漏洞挖掘、滲透技術等攻防技術研究與突破,從底層原理深入到一線實戰(zhàn)對抗實行動態(tài)監(jiān)測與防護,梳理關基設施所存在的安全隱患,識別出安全風險并協(xié)助企業(yè)進行修復,防患于未然,保障運行時安全。同時,邊界無限安服團隊還為關基客戶提供安全管理人員培訓、安全建設管理、安全運維管理、安全意識培訓等咨詢服務業(yè)務。
3.檢測評估:為檢驗安全防護措施的有效性,發(fā)現(xiàn)網(wǎng)絡安全風險隱患,應制定相應的檢測評估制度,確定檢測評估的流程及內(nèi)容等,開展安全檢測與風險隱患評估,分析潛在安全風險可能引發(fā)的安全事件。
邊界無限靖云甲ADR可以通過Agent模塊在運行時環(huán)境下進行持續(xù)監(jiān)控,有效感知敏感操作行為,結合基于海量攻擊流量數(shù)據(jù)持續(xù)訓練的RASP攻擊檢測模型,通過程序執(zhí)行上下文語義分析、堆棧信息調用解讀,敏感參數(shù)風險預警能力等關鍵技術,精準捕獲請求中的惡意負載,加強應用檢測與風險評估,從而實現(xiàn)應用的全方位防御。
4.監(jiān)測預警:制定并實施網(wǎng)絡安全監(jiān)測預警和信息通報制度,針對發(fā)生的網(wǎng)絡安全事件或發(fā)現(xiàn)的網(wǎng)絡安全威脅,提前或及時發(fā)出安全警示。建立威脅情報和信息共享機制,落實相關措施,提高主動發(fā)現(xiàn)攻擊能力。
邊界無限靖云甲ADR通過對應用組件庫進行全面掃描,結合漏洞統(tǒng)計中的海量漏洞信息,幫助安全團隊發(fā)現(xiàn)應用中潛藏的安全風險,并通過靖云甲ADR的虛擬補丁技術,在系統(tǒng)外圍對應用進行抵御防護,保障用戶核心業(yè)務應用程序只按照預期的方式運行,不會因漏洞觸發(fā)而遭受攻擊。邊界無限還建立健全了威脅情報和信息共享機制,幫助用戶提高主動發(fā)現(xiàn)攻擊能力,防護應用安全。
5.主動防御:以對攻擊行為的監(jiān)測發(fā)現(xiàn)為基礎,主動采取收斂暴露面、誘捕、溯源、干擾和阻斷等措施,開展攻防演習和威脅情報工作,提升對網(wǎng)絡威脅與攻擊行為的識別、分析和主動防御能力。
邊界無限一直致力于推動主動防御、動態(tài)防御理念,并協(xié)同客戶開展攻防演習和威脅情報工作,提升對應用攻擊的識別、分析和主動防御能力。以政企用戶常見的的內(nèi)存攻擊為例,邊界無限靖云甲ADR采用“主被動結合”雙重防御機制,對外基于RASP能力對內(nèi)存馬的注入行為進行有效防御,對內(nèi)通過建立內(nèi)存馬檢測模型,通過持續(xù)分析內(nèi)存中存在的惡意代碼,幫助用戶解決掉埋藏內(nèi)存中的“定時炸彈”。針對內(nèi)存中潛藏的內(nèi)存馬,靖云甲ADR提供了一鍵清除功能,可以直接將內(nèi)存馬清除,實現(xiàn)對內(nèi)存馬威脅的快速處理。靖云甲ADR還可以通過主動攔截+被動掃描,有效阻斷內(nèi)存馬的注入;對已經(jīng)被注入的內(nèi)存馬提供源碼和特征檢測信息,無需重啟應用即可一鍵清除。
6.事件處置:運營者對網(wǎng)絡安全事件進行報告和處置,并采取適當?shù)膽獙Υ胧?,恢復由于網(wǎng)絡安全事件而受損的功能或服務。
基于多年網(wǎng)絡攻防實戰(zhàn)與演習經(jīng)驗,邊界無限針對安全事件從事前準備、檢測,到事中處理,再到事后追蹤與加固,幫助客戶有效減少安全事件所帶來的經(jīng)濟損失以及惡劣的社會負面影響。邊界無限安全重保經(jīng)驗豐富,安服團隊快速響應,7*24小時隨時待命,提升與其他安全防護、監(jiān)測、預警等機制的協(xié)同配合能力,減少信息鴻溝。
“隨著應用安全與云原生安全市場需求的釋放,以及人才梯隊的建立,邊界無限將以RASP為起點,以ADR為里程碑,堅定地向CNAPP邁進。”陳佩文表示。