安全行业首份应用检测与响应能力白皮书解读之 ADR 定义与背景
近日,中国数字产业领域第三方咨询机构数世咨询发布安全行业首份《ADR 能力白皮书》,通过系统研究 ADR 的关键能力以及使用场景等,为广大政企客户构建整体应用防护体系提供参考和借鉴。白皮书还推荐了 ADR 领域的代表性厂商,作为一家专注于技术创新突破的安全新锐公司,边界无限凭借其被喻为应用 " 免疫血清 " 的靖云甲 ADR 成为唯一被推荐的国内公司。该 ADR 能力白皮书在 CSA 大中华区组织的 CSA 研讨会上首次发布。
ADR 关键发现
应用检测与响应(Application Detection and Response – ADR)是指以 Web 应用为主要对象,采集应用运行环境与应用内部中用户输入、上下文信息、访问行为等流量数据并上传至分析管理平台,辅助威胁情报关联分析后,以自动化策略或人工响应处置安全事件的解决方案。
ADR 以 Web 应用为核心,以 RASP 为主要安全能力切入点。
作为安全关键基础设施,ADR 能够与 WAF、HDR、IAST 等多个安全能力形成有机配合。
ADR 的五大关键技术能力:探针(Agent)、应用资产发现、高级威胁检测、数据建模与分析、响应阻断与修复。
对 0day 漏洞、无文件攻击等高级攻击威胁的检测与响应已经成为 ADR 的关键能力之一。
ADR 厂商将与公有云厂商、各行业云厂商建立更加深入的合作关系,逐步加快 ADR 在各行业的集中部署。
ADR 新赛道
随着云原生时代的来临,业务变得越来越开放和复杂,安全边界越来越模糊,固定的防御边界已经不复存在,仅仅依靠 WAF 这样的边界防护手段是显然不够的。基于请求特征 + 规则策略的防御控制手段仅能将部分危险拦截在外,同时随着实网攻防演练的常态化、实战化,攻防对抗强度不断升级,攻击者可轻易绕过传统边界安全设备基于规则匹配的预防机制。
不仅如此,攻击者还会利用供应链攻击等迂回手法来挖掘出特定 0day 漏洞,实现对目标应用的精准打击。类似的高级攻击手段,让越来越多的安全管理者,开始关注安全左移,例如将 DevOps 与 Sec 结合,尝试实现 DevSecOps,亦或是以运行时应用自我防护为手段,对运行时的应用安全进行更多投入。
然而,与云主机安全遇到的局限性类似,应用安全原有的安全能力是有缺失的。一方面,用户在实战化安全能力需求中,迫切需要一个专门针对应用的行之有效的解决方案,加入安全运营体系中,从而实现应用运行时的安全检测与响应能力,另一方面,之前的应用安全技术能力,虽然从开发阶段到生产运行阶段都有涉及,但能力点是分散的,例如只关注应用的漏洞检测(如 IAST),或是只关注应用攻防场景下的自我防护(如 RASP),很少将应用的安全检测与事件响应结合起来,形成闭环。
一个典型例证是,越来越多的企业开始向 DevOps 模式靠拢,快速和持续的交付正在加快业务的拓展,但随之而来的安全诉求却得不到及时响应。研发团队经常在代码可能存在安全风险的情况下,将其推入生产环境,结果造成更多漏洞积压,且上线后安全诉求因排期等问题无法修复。同时伴随着实网攻防演练的常态化趋势,传统以牺牲业务为代价的业务应用关停手段也逐渐遇到挑战,在 " 零关停 " 或 " 少关停 " 的需求下,对应用生产环境风险的检测与响应迫在眉睫。
基于此,数世咨询提出应用检测与响应(Application Detection and Response – ADR)这一新赛道,从而将用户在这一领域的需求明晰化,同时将对应的安全能力解决方案化,供用户与企业参考。
如何定义 ADR
应用检测与响应(Application Detection and Response – ADR)是指以 Web 应用为主要对象,采集应用运行环境与应用内部中用户输入、上下文信息、访问行为等流量数据并上传至分析管理平台,辅助威胁情报关联分析后,以自动化策略或人工响应处置安全事件的解决方案。
若无特别说明,本报告中的应用主要指主机侧的 Web 应用,不包含 PC 终端、移动终端、物联网终端等端点侧的应用。
ADR 以 Web 应用为核心,以 RASP 为主要安全能力切入点,通过对应用流量数据中潜在威胁的持续检测和快速响应,帮助用户应对来自业务增长、技术革新和基础设施环境变化所产生的诸多应用安全新挑战。
在安全检测方面,ADR 基于网格化的流量采集,通过应用资产数据、应用访问数据、上下文信息等,结合外部威胁情报数据,高效准确检测 0day 漏洞利用、内存马注入等各类安全威胁;
在安全响应方面,ADR 基于场景化的学习模型,实现应用资产的自动发现与适配,自动生成应用访问策略,建立可视化的应用访问基线,发现安全威胁时,通过虚拟补丁、访问控制等安全运营处置手段,有效提高事件响应的处置效率。
图:ADR 应用检测与响应
图:应用检测与响应 ADR 部署示意图
在即将发布的《中国数字安全能力图谱 2022》中,应用检测与响应 ADR 位于 " 应用场景安全 " 方向的 " 开发与应用安全 " 分类中。如下图所示:
图:《中国数字安全能力图谱 2022》开发与应用安全,ADR
在 2022 年度数字安全成熟度阶梯(应用场景)中,应用检测与响应 ADR 位于 " 启动区 ",属于前沿创新和概念市场阶段。
边界无限靖云甲 ADR
诚如数世咨询 ADR 能力白皮书中所述,目前国内相关领域企业数量并不多,只有个别企业明确提出了 ADR 这一概念,而边界无限就是这么一家将 RASP 技术提升至 ADR 的安全新锐,并凭借超强的技术前瞻性和对 ADR 的专注而入选 ADR 能力白皮书,并且成为国内唯一被推荐的 ADR 代表厂商,其自主研创的靖云甲 ADR 更是被业界称为应用的 " 免疫血清 "。
边界无限副总裁、产品总负责人沈思源介绍说,靖云甲 ADR 基于 RASP 技术,以 Web 应用为核心,以 RASP 为主要安全能力切入点,打造 Web 应用全方位安全检测与响应的解决方案,是边界无限帮助用户构建云原生时代安全基础设施体系的起点和战略支点,更是 " 灵动智御 " 理念的实践。靖云甲 ADR 引入多项前瞻性的技术理念,通过对应用风险的持续检测和安全风险快速响应,帮助企业应对来自业务增长、技术革新和基础设施环境变化所产生的等诸多应用安全新挑战。
边界无限靖云甲 ADR 拥有资产管理、入侵检测、漏洞管理和内存马防御等核心功能,具备免重启、采样决策分离、IT 部署架构、性能全面领先等核心优势,其应用场景为业务在线修复、实战攻防演练、恶意应用攻击和集团应用安全建设能力等。
具体来说,在流量安全层面,边界无限靖云甲 ADR 基于网格化流量采集,通过联动应用端点数据、应用访问数据,高效准确防御 0day 漏洞利用、内存马注入等各类安全威胁;在数据安全方面通过数据审计、治理、脱敏等安全技术,有效实现数据安全风险态势的把控。在为企业提供全面的应用安全保障的同时,ADR 通过虚拟补丁、漏洞威胁情报、访问控制等运营处置手段,有效提高安全运营的事件处置效率。这顺应了时下流行的安全技术趋势,也满足了广大政企客户的现实安全需求。
边界无限靖云甲 ADR 拥有精准细化的资产清点、紧跟形式的安全研究、海量可靠的漏洞运营、轻量无感的性能损耗等优点,尤其是在应用资产管理、供应链安全、API 资产学习层面,表现优异。靖云甲 ADR 跨 IT 架构统计应用资产,实现安全能力同步管控,为应用提供安全风险评估;动态采集应用运行过程中的组件加载情况,快速感知资产动态,全面有效获知供应链资产信息;自主学习流量 + 应用框架,具体来说,靖云甲 ADR 会通过插桩对应用内部框架定义的 API 方法以及应用流量进行 API 全量采集,同时利用 AI 检测引擎请求流量进行持续分析,自动分析暴露陈旧、敏感数据等关键问题。
此外,边界无限靖云甲 ADR 采用 " 主被动结合 " 双重防御机制,对外基于 RASP 能力对内存马的注入行为进行有效防御,对内通过建立内存马检测模型,通过持续分析内存中存在的恶意代码,帮助用户解决掉埋藏内存中的 " 定时炸弹 "。针对内存中潜藏的内存马,靖云甲 ADR 提供了一键清除功能,可以直接将内存马清除,实现对内存马威胁的快速处理。靖云甲 ADR 还可以通过主动拦截 + 被动扫描,有效阻断内存马的注入;对已经被注入的内存马提供源码和特征检测信息,无需重启应用即可一键清除。另外,靖云甲 ADR 采用 "attach" 等方式注入 agent,无需重启直接更新,以减少对业务运行的干扰。
截至目前,边界无限已与关键基础设施重要行业和领域的数十家客户达成业务合作,相信随着 RASP 以及 ADR 技术的进一步成熟,边界无限将帮助各运营单位构建关键信息基础设施整体应用防控体系,不断提升关键信息基础设施安全应用防护能力。