随着5G、物联网、大数据、人工智能和云计算等新技术的加速落地应用,全球已经迈入数字化时代,传统的网络边界持续瓦解,物联网安全、云安全、移动安全、数据安全、安全智能运维等全新的挑战越发受到业界关注,产业技术的发展尤其是云技术的发展以及攻击手段的日新月异也促使应用安全成为广大企业重点关注的领域。
随着攻防对抗的不断升级,应用安全防护手段也持续演进。近日,数世咨询第三届数字安全大会在京成功召开,会议上正式推出了2023年数字安全领域的十四大创新赛道,其中之一的应用检测与响应(ADR)新赛道引发安全行业强烈关注。北京边界无限科技有限公司(边界无限,BoundaryX)凭借技术创新领先优势和市场认可,以及自研产品靖云甲ADR的优秀表现,获得了应用检测与响应Application Detection and Response(ADR)赛道领航者的称号。
攻防实战催生ADR
目前,全球重大网络安全事件仍然频发,网络攻击威胁持续上升,勒索软件、数据泄漏、黑客攻击等层出不穷且变得更具危害性。网络攻击者的攻击成本在不断降低,同时攻击方式更加先进,关键信息基础设施面临的网络安全形势日趋严峻,对国家安全造成了严重威胁。随着国际形势的恶化与网络攻防的发展,客户对安全的要求不止合规,逐渐向攻防实战化演进。
而在实际的攻防案例中我们也可以看到,大量的漏洞未修复甚至无法修复、内存马攻击无法检测防御、第三方软件供应链调用关系复杂仍然是最普遍的问题。这些安全问题都发生于应用内部,但广大政企用户仍然在采用传统边界防御的手段,应用内生安全的基因并未被激发。传统的被动安全防御体系已经根本无法抵御日益频繁网络攻击,企业需要重新审视传统网络安全的思想、方法、技术和体系,构筑全面防护的主动安全体系。
边界无限联合创始人、CTO王佳宁介绍说,ADR是一种创新的应用程序运行时风险检测和防御解决方案,它的能力实现主要是基于应用程序运行时防护(RASP)技术,同时结合攻防专家的经验算法和业务数据行为模型。通过比对运行时的程序行为(如文件读写、网络请求、程序执行等)与预定义的程序行为模型,可以更准确地识别软件运行异常和威胁行为,同时还可以根据分析结果进行风险的响应和处置。当ADR技术实际应用并在企业的生产环境部署上线之后, 可以像“免疫血清”一样伴随软件系统的整个应用生命周期,在攻击行为发生时进行防护,直到应用程序使命周期结束。总体而言,ADR是应用安全防护的更新形态,兼顾合规与攻防,兼具运行时防护与供应链安全管理,是RASP技术的全面升级,可与WAF形成纵深防御体系,将应用安全防护从注重边界防御的1.0时代提升至“内外兼顾”的2.0时代。可以说,ADR是更注重于攻防实战的应用安全防护新手段,对广大企业应对新的应用安全挑战具有典型的借鉴意义,边界无限靖云甲ADR应用检测与响应解决方案正是此领域的佼佼者。
ADR+WAF=纵深防御
ADR作为运行时防护,与传统应用防护、主机防护类产品的定位有明显的差异,在安全防御系统中,可以与传统边界防护系统组合形成更加体系化的纵深防护能力。ADR和WAF都是用于保护Web应用程序的安全防御措施,部署位置和防御方式不同,但可以结合使用来提高Web应用程序的安全性。ADR基于RASP技术可直接内置于应用程序中,可以实时检测漏洞和拦截攻击,WAF则部署在应用程序与客户端之间,通过规则匹配和过滤来防御攻击。在一些场景下,可以将ADR作为WAF的一部分,实现流量检测和应用程序保护的双重防御。对于已部署WAF产品的用户,采用ADR不但不与WAF重叠,还可以为Web应用访问增强最后一道安全防线;同样,与云原生或云计算主机集成,也可以对传统主机防护能力进行增强。
攻击必然会不断演进,防御是必需重点解决的问题。因此,未来ADR在应对攻防对抗这种场景应用的机会会更多。但是随着业务云化和安全左移能力的增强,未来用户对应用程序的安全防护和应用层数据保护的要求会越来越强。同时,也会要求ADR提供更多维度的Detection和Response能力。
边界无限靖云甲ADR以云原生为场景,以数据链路为核心,以流量安全、API安全和数据安全作为安全能力切入点,引入多项前瞻性的技术理念,通过对应用风险的持续检测和安全风险快速响应,帮助企业应对来自业务增长、技术革新和基础设施环境变化所产生的等诸多应用安全新挑战。在传统边界安全产品以及DevSecOps等乏力的运行时安全领域,靖云甲ADR具备独到优势,与WAF等形成有效互补进而组成更安全的纵深防御体系。
靖云甲——新型应用安全集大成者
在为企业提供全面的应用检测与响应能力的同时,边界无限靖云甲ADR通过虚拟补丁、漏洞威胁情报、访问控制等运营处置手段,有效提高安全运营的事件处置效率。这顺应了时下流行的安全技术趋势,也满足了广大政企客户的现实安全需求。其主要功能亮点是0day漏洞无规则防御、内存马免重启查杀、组件库动态采集管理以及API和敏感数据清点。边界无限靖云甲ADR可谓是新型应用安全防护产品的集大成者。
边界无限靖云甲ADR采用“主被动结合”双重防御机制,对外基于RASP能力对内存马的注入行为进行有效防御,对内通过建立内存马检测模型,通过持续分析内存中存在的恶意代码,帮助用户解决掉埋藏内存中的“定时炸弹”。针对内存中潜藏的内存马,靖云甲ADR提供了一键清除功能,可以直接将内存马清除,实现对内存马威胁的快速处理。靖云甲ADR还可以通过主动拦截+被动扫描,有效阻断内存马的注入;对已经被注入的内存马提供源码和特征检测信息,无需重启应用即可一键清除。另外,靖云甲ADR采用“attach”等方式注入agent,无需重启直接更新,以减少对业务运行的干扰。
王佳宁表示,靖云甲ADR通过对应用组件库进行全面扫描,结合漏洞统计中的海量漏洞信息,帮助安全团队发现应用中潜藏的安全风险,并通过虚拟补丁技术,在系统外围对应用进行抵御防护,保障用户核心业务应用程序只按照预期的方式运行,不会因漏洞触发而遭受攻击。边界无限还建立健全了威胁情报和信息共享机制,帮助用户提高主动发现攻击能力,防护应用安全。在为企业提供全面的应用安全保障的同时,ADR通过虚拟补丁、漏洞威胁情报、访问控制等运营处置手段,有效提高安全运营的事件处置效率。这顺应了时下流行的安全技术趋势,也满足了广大政企客户的现实安全需求。
此外,边界无限靖云甲ADR拥有精准细化的资产清点、紧跟形式的安全研究、海量可靠的漏洞运营、轻量无感的性能损耗等优点,尤其是在应用资产管理、供应链安全、API资产学习层面,其表现优异。靖云甲ADR跨IT架构统计应用资产,实现安全能力同步管控,为应用提供安全风险评估;动态采集应用运行过程中的组件加载情况,快速感知资产动态,全面有效获知供应链资产信息;自主学习流量加应用框架,具体来说,靖云甲ADR会通过插桩对应用内部框架定义的API方法以及应用流量进行API全量采集,同时利用AI检测引擎请求流量进行持续分析,自动分析暴露陈旧、敏感数据等关键问题。
边界无限靖云甲ADR主要应用场景是应用防护升级、攻防演练、API梳理、供应链安全管理以及业务上云安全。在国产化层面,边界无限靖云甲ADR也取得了不错的进展。靖云甲ADR已经相继完成在银河麒麟和兆芯、龙芯、鲲鹏等CPU环境下的交叉测试,均可稳定高效运行。在国产中间件领域,已经完成了针对宝蓝德BES以及东方通Tongweb的兼容性测试,各项功能及防护能力均可稳定高效运行。
在数世咨询发布的安全业界首份《ADR能力白皮书》中,通过系统研究ADR的关键能力以及使用场景等,为广大政企客户构建整体应用防护体系提供参考和借鉴。白皮书还推荐了ADR领域的代表性厂商,边界无限凭借其被喻为应用“免疫血清”的靖云甲ADR成为唯一被推荐的国内公司,这是技术优势与创新能力的双重体现。
王佳宁表示,面对数倍于我们防护速度的安全威胁,我们唯有向更高的安全防护阶段演进,打造更为先进的防护体系,才能有效应对日益严峻的安全形势。边界无限是攻防与技术双驱动的创新云安全厂商,也是国内提供全链路云安全防护产品和实战化攻防体系建设的新锐网络安全企业,作为应用安全、云原生安全“灵动智御”安全理念的创领者,致力于通过还原真实攻防来帮助政企客户构建更安全、更灵动的网络及更动态、更有价值的纵深防御体系。截至目前,边界无限已与政府、金融、能源、云服务厂商、电商、互联网等行业数十家客户达成业务合作,为其构建稳定、高效的安全防护。未来,边界无限将加大在应用检测与响应领域的投入力度,助力广大客户建设行之有效、联防联控、动态防御的整体应用防御体系。