ADR關鍵發(fā)現(xiàn)
應用檢測與響應(Application Detection and Response – ADR)是指以Web應用為主要對象,采集應用運行環(huán)境與應用內部中用戶輸入����、上下文信息、訪問行為等流量數(shù)據(jù)并上傳至分析管理平臺����,輔助威脅情報關聯(lián)分析后,以自動化策略或人工響應處置安全事件的解決方案��。
ADR以Web應用為核心�,以RASP為主要安全能力切入點。
作為安全關鍵基礎設施�,ADR能夠與WAF、HDR�����、IAST等多個安全能力形成有機配合。
ADR 的五大關鍵技術能力:探針(Agent)�����、應用資產(chǎn)發(fā)現(xiàn)�、高級威脅檢測、數(shù)據(jù)建模與分析���、響應阻斷與修復����。
對0day漏洞�、無文件攻擊等高級攻擊威脅的檢測與響應已經(jīng)成為ADR的關鍵能力之一。
ADR廠商將與公有云廠商����、各行業(yè)云廠商建立更加深入的合作關系,逐步加快ADR在各行業(yè)的集中部署����。
ADR應用場景
關鍵安全基礎設施
與WAF等邊界產(chǎn)品配合,實現(xiàn)縱深防護體系
WAF部署在網(wǎng)絡邊界����,ADR部署在應用層��。WAF容易被繞過�,而ADR是應用的最后一道防線�。ADR不會取代WAF�����,兩者協(xié)同配合�,相得益彰,共同組成縱深防御體系�。
與主機側HDR配合,實現(xiàn)立體檢測與響應能力
雖然一定程度上HDR也能夠覆蓋應用層���,但是基于主機側的HDR�,重點還是關注服務器���、虛擬機�、容器等工作負載上主機層�����、系統(tǒng)層的安全檢測與響應���,因此�,不屬于應用運行環(huán)境內部的ADR,能夠與HDR相配合�,形成由下至上、由外至內的立體檢測與響應能力�����。
與IAST配合�����,覆蓋應用的全生命周期
交互式應用程序安全測試(IAST)關注的是應用運行時的安全漏洞����,目的是發(fā)現(xiàn)漏洞,用于開發(fā)測試階段��。與IAST一樣���,ADR也關注應用在運行時的安全問題����,但目的是發(fā)現(xiàn)攻擊者利用漏洞的攻擊行為,用于應用的生產(chǎn)運行階段�。兩者配合,能夠覆蓋應用的全生命周期�,為DevOps提供持續(xù)有效的Sec能力。
實戰(zhàn)攻防演練
攻擊隊一般會利用已知或未知漏洞�,繞過或突破網(wǎng)絡邊界,尋找核心資產(chǎn)�����,控制管理權限��。伴隨著演習經(jīng)驗的不斷豐富����,攻擊隊更加專注于應用安全的研究����,在演習中經(jīng)常使用供應鏈攻擊等迂回手法來挖掘出特定0day漏洞,由于攻防對抗技術不對等�,導致防守方經(jīng)常處于被動劣勢。此時��,用戶可通過部署和運營ADR�����,搶占對抗先機。
演練前梳理應用資產(chǎn)��,收斂潛在攻擊暴露面
防守隊利用ADR可進行應用資產(chǎn)梳理�,形成應用資產(chǎn)清單,明確應用中間件的類型�����、運行環(huán)境����、版本信息等關鍵信息,為后續(xù)安全加固�、防護做到有的放矢。同時��,利用ADR的漏洞發(fā)現(xiàn)���、基線安全等檢測功能���,結合修復加固手段對發(fā)現(xiàn)的問題逐一整改,消除應用安全隱患�,使應用安全風險維持在可控范圍���。
演練中持續(xù)檢測與分析,實現(xiàn)有效防御與溯源
ADR通過Agent對應用程序的訪問請求進行持續(xù)監(jiān)控和分析�����,結合應用上下文和攻擊檢測引擎��,使得應用程序在遭受攻擊——特別是0day���、無文件等高級別攻擊手段時——能夠實現(xiàn)有效的自我防御�。另外���,ADR的溯源能力可以從多維度捕獲攻擊者信息,聚合形成攻擊者畫像�����,同時記錄整個攻擊到防御的閉環(huán)過程����,為編寫報告提供依據(jù)。
演練后結合上下文�,全面提高應用安全等級
ADR不僅關注攻擊行為中的指令和代碼本身���,還關注涉及到的上下文。因此安全人員可以通過ADR提供的調用堆棧信息等內容���,推動研發(fā)人員進行代碼級漏洞修復�����,調整安全策略�����,進行整體加固�����,全面提高應用安全等級�����。同時�,ADR支持攻擊事件統(tǒng)計分析和日志功能��,幫助安全人員快速整理安全匯報材料��,顯著地提升安全運營工作效率。
數(shù)據(jù)治理安全
在數(shù)據(jù)生命周期中的采集���、傳輸�、存儲�����、處理��、交換等各個環(huán)節(jié)中�����,“應用”是最高頻����、最重要��、最關鍵的數(shù)據(jù)安全場景����。結合數(shù)世咨詢發(fā)布的《數(shù)據(jù)治理安全DGS》能力白皮書,ADR能夠有效支持數(shù)據(jù)治理安全的落地與實踐��。
數(shù)據(jù)的輕量資產(chǎn)化
數(shù)據(jù)的輕量資產(chǎn)化只需將原始數(shù)據(jù)進行簡單處理,剔除劣質和無效數(shù)據(jù)后�����,將其制作成有效支持分析運算與業(yè)務應用的數(shù)據(jù)資產(chǎn)�����。 “應用”處于業(yè)務與數(shù)據(jù)關聯(lián)的核心��,是數(shù)據(jù)輕量資產(chǎn)化的最佳位置�。ADR基于安全視角的資產(chǎn)發(fā)現(xiàn)與管理能力,能夠為其持續(xù)提供“既懂數(shù)據(jù)��、又懂業(yè)務”的輕量資產(chǎn)化數(shù)據(jù)�����。
數(shù)據(jù)的分類分級
ADR的應用安全運行基線能力����,能夠基于對國家法律法規(guī)、行業(yè)監(jiān)管的理解和對業(yè)務數(shù)據(jù)的理解����,極大地減少行業(yè)客戶數(shù)據(jù)分類分級初期咨詢的工作量�����,在日后需要匹配新的業(yè)務流轉或符合新的安全合規(guī)要求時�����,還能夠為AI/ML的深度應用持續(xù)提供最新的海量數(shù)據(jù)樣本�。
配合安全能力的對接與編排調度
ADR基于RASP技術����,具備檢測高準確率、告警低誤報率以及實時阻斷自動化響應等優(yōu)勢能力�,因此可通過API的方式與數(shù)據(jù)安全能力接口進行對接,或結合實網(wǎng)攻防演練或安全運營等不同的業(yè)務場景與編排調度平臺進行配合�,確保數(shù)據(jù)始終處于有效保護和合法利用的狀態(tài)。
除了上述主要場景�,用戶在類似的安全重保、應用加固�����、供應鏈安全以及集團應用安全體系建設等場景下���,都可以采用ADR這塊重要拼圖����。
邊界無限靖云甲ADR
誠如數(shù)世咨詢ADR能力白皮書中所述���,目前國內相關領域企業(yè)數(shù)量并不多����,只有個別企業(yè)明確提出了ADR這一概念���,而邊界無限就是這么一家將RASP技術提升至ADR的安全新銳�,并憑借超強的技術前瞻性和對ADR的專注而入選ADR能力白皮書�����,并且成為國內唯一被推薦的ADR代表廠商��,其自主研創(chuàng)的靖云甲ADR更是被業(yè)界稱為應用的“免疫血清”�。
邊界無限副總裁、產(chǎn)品總負責人沈思源介紹說���,靖云甲ADR基于RASP技術�,以Web應用為核心,以RASP為主要安全能力切入點��,打造Web應用全方位安全檢測與響應的解決方案����,是邊界無限幫助用戶構建云原生時代安全基礎設施體系的起點和戰(zhàn)略支點,更是“靈動智御”理念的實踐���。靖云甲ADR引入多項前瞻性的技術理念�,通過對應用風險的持續(xù)檢測和安全風險快速響應����,幫助企業(yè)應對來自業(yè)務增長、技術革新和基礎設施環(huán)境變化所產(chǎn)生的等諸多應用安全新挑戰(zhàn)�。
邊界無限靖云甲ADR擁有資產(chǎn)管理、入侵檢測��、漏洞管理和內存馬防御等核心功能��,具備免重啟���、采樣決策分離�、IT部署架構�����、性能全面領先等核心優(yōu)勢����,其應用場景為業(yè)務在線修復、實戰(zhàn)攻防演練�����、惡意應用攻擊和集團應用安全建設能力等��。
具體來說�����,在流量安全層面��,邊界無限靖云甲ADR基于網(wǎng)格化流量采集�����,通過聯(lián)動應用端點數(shù)據(jù)�����、應用訪問數(shù)據(jù),高效準確防御0day漏洞利用�����、內存馬注入等各類安全威脅��;在數(shù)據(jù)安全方面通過數(shù)據(jù)審計�����、治理��、脫敏等安全技術�����,有效實現(xiàn)數(shù)據(jù)安全風險態(tài)勢的把控����。在為企業(yè)提供全面的應用安全保障的同時,ADR通過虛擬補丁��、漏洞威脅情報�����、訪問控制等運營處置手段,有效提高安全運營的事件處置效率��。這順應了時下流行的安全技術趨勢��,也滿足了廣大政企客戶的現(xiàn)實安全需求���。
邊界無限靖云甲ADR擁有精準細化的資產(chǎn)清點、緊跟形式的安全研究���、海量可靠的漏洞運營�、輕量無感的性能損耗等優(yōu)點����,尤其是在應用資產(chǎn)管理、供應鏈安全��、API資產(chǎn)學習層面�,表現(xiàn)優(yōu)異。靖云甲ADR跨IT架構統(tǒng)計應用資產(chǎn)�����,實現(xiàn)安全能力同步管控��,為應用提供安全風險評估;動態(tài)采集應用運行過程中的組件加載情況����,快速感知資產(chǎn)動態(tài),全面有效獲知供應鏈資產(chǎn)信息��;自主學習流量+應用框架���,具體來說����,靖云甲ADR會通過插樁對應用內部框架定義的API方法以及應用流量進行API全量采集�,同時利用AI 檢測引擎請求流量進行持續(xù)分析,自動分析暴露陳舊�、敏感數(shù)據(jù)等關鍵問題。
此外����,邊界無限靖云甲ADR采用“主被動結合”雙重防御機制,對外基于RASP能力對內存馬的注入行為進行有效防御���,對內通過建立內存馬檢測模型����,通過持續(xù)分析內存中存在的惡意代碼,幫助用戶解決掉埋藏內存中的“定時炸彈”����。針對內存中潛藏的內存馬,靖云甲ADR提供了一鍵清除功能�����,可以直接將內存馬清除�,實現(xiàn)對內存馬威脅的快速處理�。靖云甲ADR還可以通過主動攔截+被動掃描,有效阻斷內存馬的注入����;對已經(jīng)被注入的內存馬提供源碼和特征檢測信息,無需重啟應用即可一鍵清除�。另外,靖云甲ADR采用“attach”等方式注入agent���,無需重啟直接更新��,以減少對業(yè)務運行的干擾�����。
截至目前��,邊界無限已與關鍵基礎設施重要行業(yè)和領域的數(shù)十家客戶達成業(yè)務合作�����,相信隨著RASP以及ADR技術的進一步成熟�,邊界無限將幫助各運營單位構建關鍵信息基礎設施整體應用防控體系,不斷提升關鍵信息基礎設施安全應用防護能力��。
