WAF独木难支 RASP与ADR将成应用安全防护2.0时代新宠

news2024/11/19 0:37:24

曾几何时,黑客攻击大多通过网络层进行,但随着基于网络层的基础安全防护措施趋于严密,防火墙、入侵防御、防病毒等安全软硬件构建起了相对完善的防护体系,想再从网络层钻空子的难度增大。如今,黑客攻击从网络层转入Web为主,传统安全体系越来越捉襟见肘。当前很多政企客户的安全关注点就在于应用安全,迫切需要针对Web应用层提供更新的解决办法,这是安全业界新的课题。

应用安全不可忽视

随着新兴技术的快速发展,网络应用类别越来越多,应用复杂度也越来越高,单纯解决网络层的安全已经无法防御黑客的新型攻击,必须高度重视维护关键应用的安全。这是因为Web应用程序无处不在,在大多数情况下是公司的核心组件。由于各种原因,它们经常获取、处理、存储和传输敏感数据(如机密业务信息、员工信息、客户个人数据、财务信息等)。Web应用程序成为网络犯罪分子获取敏感信息,入侵您的组织的最简单的途径之一。因此,对于Web应用安全的关注度更加热切。

随着越来越多的企业将核心业务系统转移到网络上,Web浏览器成为业务系统的主要入口。在这种背景下,如何保障企业的应用安全,尤其是Web应用安全,成为信息安全保障的关键所在。一份来自某国际知名咨询公司的分析报告指出,在调查的企业数据中心中,92%的Web应用存在安全缺陷,80%存在跨站攻击的风险,而高达62%存在SQL注入漏洞。同时,专门针对应用层进行攻击的手段也日益增多,防范起来越来越困难。值得注意的是,网络应用之所以不安全,其中一个关键因素是应用程序本身的安全性问题,给黑客攻击留下了可乘之机。

北京边界无限科技有限公司(边界无限,BoundaryX)联合创始人、CTO王佳宁表示,未来,更多的业务将以Web应用方式呈现,信息安全也必将从以边界防护为主向应用自身安全防护为主过渡,同时众多政企客户将加强各个应用安全防护产品的联防联控,形成整体应用防护的纵深防御体系。

WAF独木难支

对Web应用的攻击不曾停止,应用安全防护技术的进化也一直在持续。从传统的IPS防火墙,再到WAF(Web应用防火墙)的横空出世,引领技术趋势若干年,这一阶段可以称为应用安全防护1.0时代。尤其是WAF作为一款成熟的网站防护产品,一度成为企业为Web应用提供安全防护的必备利器。它能够抵御定向的Web技术攻击、部分业务逻辑攻击以及海量肉鸡的恶意访问。通过对Web应用的深入解析和检测, 能够阻拦SQL注入、跨站脚本攻击,阻止恶意扫描等常见Web攻击并提供修补漏洞的能力。

近年来,随着云计算市场的火热,WAF有了一种新的接入方式:云部署。通过简单的DNS记录变更,将流量引入到云端防护集群,经过安全防护检测后,将安全流量回源到服务器。相比于硬件WAF,云WAF拥有零部署、零安装、快速稳定等优势,并可将防护能力自动扩展、与云上网站共享、集群弹性扩容、轻松应对海量业务下的防护。越来越多的企业开始考虑购买云WAF产品。除了专业WAF厂商外,目前主要的云供应商都通过收购或者研发丰富了自己的WAF产品,它们与服务商自己的负载均衡器很好地集成在一起。但根据最新的调查报告,WAF产品的有效性和客户满意度的表现越来越令人失望。虽然WAF目前是企业应用安全策略的主力产品,但事实是,大多数企业都难以充分利用此类产品。

拥有WAF并不意味着应用安全防护可以一劳永逸。WAF的优点是可以进行流量告警,通常的安装方式是将WAF串行部署在Web服务器前端,用于检测、阻断异常流量,对全流量进行分析。但是WAF的缺点更让企业头痛,易被绕过、误报率高、维护成本高、需要不断更新规则库、出现0day不能及时防御等都让安全部门极为苦恼。

由于传统WAF基于规则构建安全策略,只要针对Web服务器、Web应用对协议解析、字符解析、文件名解析、编码解析以及SQL语法解析的差异进行变形,就可能达到绕过WAF的效果。同时,传统WAF无法对新型的攻击进行有效的识别和阻断。目前市面上大多数的WAF都是基于规则匹配的,但规则的更新往往是滞后于攻击发生,例如:0day漏洞攻击,没有预配置的规则,只能在漏洞披露后,依据漏洞特征建立防护规则。此外,传统WAF对攻击的识别来自于已经设定好的规则库,对于看似“正常”的业务逻辑漏洞却无能为力。例如越权操作,入侵者可以用低权限账号登陆系统后,通过拦截并修改用户参数,以达到查看或者修改其它权限账号的目的,而传统WAF并不能识别这一看似正常的操作。

可以这么说,WAF代表了应用安全防护1.0时代的最高水平,但随着攻击手段的不断更新,应用安全防护应该具备检测与响应能力,并契合内生安全理念,实现应用程序的自我防护,尤其是业务上云之后。

ADR应运而生

随着企业深度用云以及云原生应用的快速普及,云上复杂性提升,导致网络攻击面倍增,也伴生出新的安全风险。既然WAF在防护范围和防护能力上存在局限,难以应对复杂的网络攻击形势,于是很多厂商极力倡导WAAP成为革新必然。WAAP核心功能包括Web应用防火墙、API保护、Bot防护和七层DDoS攻击防护,进一步扩展了云上应用安全防护范围和安全深度。但WAAP目前仍存在一个很大的问题,那就是Web应用防护仍主要依靠边界防护手段,并未形成应用的自我防护机制。

大家对WAF、Bot防护、DDoS攻击防护已经比较熟悉,在此不多赘述。以API防护为例,随着API广泛应用于各个在线业务,涉及交易、账号敏感相关的环节都备受灰黑产关注,在线业务欺诈风险骤升。黑灰产已高度成熟,通过大量自动化、流程化的方式进行业务欺诈,并贯穿于整个在线业务场景。在注册、登录、营销场景下,自动化攻击占比均在50%以上。绝大多数企业对自身API资产现状不清,大量僵尸API、影子API存在,使敏感数据暴露在API之上,给攻击者留下了突破口。同时API没有上下文,攻击成本较低,攻击者通过简单的网络请求即可获取数据或者进行攻击。但目前,广大客户的API防护还是依靠API网关等设备,并未真正解决API防护的“最后一公里”问题。

那如何从应用自身加强防护,从而跟边界防护产品形成互动与联防,真正做到内外兼顾,纵深防御呢?Gartner引领的关键技术趋势可以给我们一定的借鉴意义。早在2014年,Gartner引入了“RASP-Runtime application self-protection”这一概念,它是一种新型应用安全保护技术,它将保护程序像“免疫血清”一样注入到应用程序中,与应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力。Log4j2等“核弹级漏洞”的爆发,使RASP技术迅速升温,填补了市场在应用层防护的空白,但技术的演进并未停止。

2022年12月,在国内知名安全咨询公司数世咨询发布的行业首份《ADR能力白皮书》中首次提出ADR这一新赛道,通过系统研究ADR的关键能力以及使用场景等,为广大政企客户构建整体应用防护体系提供参考和借鉴。ADR类产品基于RASP,并在其基础上增加了开源风险治理、API资产梳理(可以从应用内部洞悉全量API资产)、中间件基线、应用基线等持续检测和环境安全功能,可以视作RASP2.0,并可与WAF等传统安全产品形成纵深防御体系,达到应用安全“内外兼顾”的效果。这代表了应用安全防护的最新趋势,将应用安全由之前以边界防护为主的1.0时代提升至内外结合、持续检测与响应的2.0时代,打造了应用安全防护的新范式。

靖云甲ADR独领风骚

当前,安全行业需要革新安全理念、技术和模式,将人工智能、云原生等新技术应用到网络安全防护中,实现对网络威胁的预先研判、智能防护和自动抵御,有效提升安全威胁检测、应急处置和追踪溯源能力,实现从事后补救到安全前置,从局部分割到全面防护,从被动安全到主动安全的转变,以便构筑起主动、智能、全面的应用安全防护体系。结合敏锐的市场洞察力以及多年的攻防经验积淀,边界无限基于RASP和云原生技术推出了靖云甲ADR应用安全检测与响应系统。

边界无限靖云甲ADR基于RASP技术,以云原生为场景,以数据链路为核心,以流量安全、API安全和数据安全作为安全能力切入点,引入多项前瞻性的技术理念,通过对应用风险的持续检测和安全风险快速响应,帮助企业应对来自业务增长、技术革新和基础设施环境变化所产生的等诸多应用安全新挑战。

在流量安全方面,靖云甲ADR基于网格化流量采集,通过联动应用端点数据、应用访问数据,高效准确防御0day漏洞利用、内存马注入等各类安全威胁;在数据安全方面通过数据审计、治理、脱敏等安全技术,有效实现数据安全风险态势的把控。在为企业提供全面的应用安全保障的同时,靖云甲ADR通过虚拟补丁、漏洞威胁情报、访问控制等运营处置手段,有效提高安全运营的事件处置效率。这顺应了时下流行的安全技术趋势,也满足了广大政企客户的现实安全需求。

靖云甲ADR拥有精准细化的资产清点、紧跟形式的安全研究、海量可靠的漏洞运营、轻量无感的性能损耗等优点,尤其是在应用资产管理、供应链安全、API资产学习层面,其表现优异。靖云甲ADR跨IT架构统计应用资产,实现安全能力同步管控,为应用提供安全风险评估;动态采集应用运行过程中的组件加载情况,快速感知资产动态,全面有效获知供应链资产信息;自主学习流量加应用框架,具体来说,靖云甲ADR会通过插桩对应用内部框架定义的API方法以及应用流量进行API全量采集,同时利用AI检测引擎请求流量进行持续分析,自动分析暴露陈旧、敏感数据等关键问题。

靖云甲ADR的技术领先优势已经被业界广泛认可。在客户层面,广大政企客户均加大了对RASP技术的研究和引进力度,其中金融行业匹马当先,运营商、能源电力、大型央企及互联网企业等也在迅速跟进。在国产化层面,边界无限靖云甲ADR也取得了不错的进展,已经相继完成在银河麒麟和兆芯、龙芯、鲲鹏等CPU环境下的交叉测试,均可稳定高效运行。在国产中间件领域,靖云甲ADR已经相继完成了针对宝蓝德BES以及东方通Tongweb的兼容性测试,各项功能及防护能力均可稳定高效运行。

边界无限凭借靖云甲ADR在国际领先的IT市场研究和咨询公司IDC发布的《IDC Innovators:中国云原生安全技术,2023》报告中获得云原生安全技术的创新者称号;在国内知名研究机构数世咨询发布的安全行业首份《ADR能力白皮书》中,成为唯一被推荐的国内代表厂商;也是顺利通过信通院首批“运行时应用程序自我保护(RASP)工具能力评估”认证的厂商。近日,在数字咨询举办的第三届数字安全大会上,边界无限获得ADR赛道领航者的称号。靖云甲ADR的整体实力已经受到国内外咨询机构的权威认可,可以说是在行业内独领风骚。

综合而言,现在国内的Web应用安全仍在探索和实践阶段。传统网络安全防御体系刚刚完成闭环的安全周期,明确了以资产为保护核心的理念,而之后向Web应用安全转化和发展是需要一个过程和周期。但黑客对Web应用的新型攻击已经兵临城下,这不仅需要广大客户在Web应用安全方面进行大力投入,还要充分了解未来Web应用防护的技术趋势,在以ADR、WAAP等新技术加大Web应用安全方面防护措施投入的同时,结合原来的网络层安全防御体系,达到更加理想的安全防护效果,将黑客对Web应用的攻击损失减少到最小。

王佳宁表示,传统边界防护方案很容易被绕过,应用将成为用户防护的“最后一道防线”,边界无限引领应用安全新趋势的靖云甲ADR主攻应用检测与响应,可与WAF形成纵深防御体系,联防联控,动态防御,助力广大客户建设纵深防护体系和整体防护体系,从而实现真正的动态全方位防护,实现关基业务“零关停”、“少关停”。未来,边界无限将持续加大在应用安全和云原生安全上的投入力度,为广大客户在云时代的应用安全防护升级和云原生安全体系建设添砖加瓦。

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/831082.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

学无止境·运维高阶③(Mysqldump脚本)

Mysqldump脚本 1、详细脚本2、执行 1、详细脚本 #!/bin/bash mysql_cmd‘-uroot -pRedHat123’ exclude_db‘information_schema|performance_schema|sys’ bak_path/backup/db mysql m y s q l c m d − e ′ s h o w d a t a b a s e s ′ − N ∣ e g r e p − v " {m…

网络电视盒子哪个品牌好?2023最新性价比电视盒子排行榜

电视盒子是电视机成本最低的更新方案,但面对众多品牌和机型时往往不知道网络电视盒子哪个品牌好,踩雷的消费者非常多,想要小编分享电视盒子推荐,今天带新手们了解一下业内最新的性价比电视盒子排行榜,看看哪些电视盒子…

Docker 安装 Tomcat

目录 一、查看 tomcat 版本 二、拉取 Tomcat Docker 镜像 三、创建 Tomcat 容器 四、访问 Tomcat 五、停止和启动容器 一、查看 tomcat 版本 访问 tomcat 镜像库地址:https://hub.docker.com/_/tomcat,可以通过 Tags 查看其他版本的 tomcat; 二、拉…

聊聊我的故事-悲惨的童年

目录 前言一、介绍二、17年回顾1.出生2.上幼儿园3.上小学4.上初中 高中总结 前言 本人是06年生的,快18了, 提示:以下是本篇文章正文内容,下面案例可供参考 一、介绍 本人已经17了,在这17年过的很悲惨,也…

【Linux多线程】设计一个线程池(代码+讲解)

线程池 Lock.hpp说明 Task.hpp代码代码说明 Threadpool.hpp代码说明 Threadpool.cc代码说明 Log.hpp代码说明 Makefile运行结果 Lock.hpp #pragma once#include <iostream> #include <pthread.h>class Mutex { public:Mutex(){pthread_mutex_init(&lock_, nul…

百度离线地图(包含轨迹回放)

先来个效果图&#xff08;demo没那么仔细&#xff09; 现在下载资源包文件放至static文件内 如果需要新的瓦片则添加至static/tiles(我用的是png也可以是jpg) 在此处修改即可 但是&#xff0c;最好还是放在服务器内&#xff0c;因为瓦片很多&#xff0c;项目是无法运行的&…

FTP Cadence中心库的创建与配置 (中)

在上节介绍的ftp服务器根目录下 一、创建一个文件夹 Cadence_lib&#xff0c;并把其设置为 共享。 共享给用户hw 和用户layout&#xff0c;并设置对应权限。 点击“共享”按钮。 二、在Cadence_lib文件夹下&#xff0c;添加如下文件夹&#xff0c;及文件。 其中 “00DataShee…

Vue-函数式组件

最近在开发项目的时候&#xff0c;定制了一个公司内部样式的Modal模态框组件。 Modal组件伪代码 <!-- Modal/index.vue--> <template><div class"modal-container" id"modalContainer"><!-- Modal Content --><div class&quo…

MySQL的索引使用的数据结构,事务知识

一、索引的数据结构&#x1f338; 索引的数据结构&#xff08;非常重要&#xff09; mysql的索引的数据结构&#xff0c;并非定式&#xff01;&#xff01;&#xff01;取决于MySQL使用哪个存储引擎 数据库这块组织数据使用的数据结构是在硬盘上的。我们平时写的代码是存在内存…

编译原理陈火旺第三版第九章课后题答案

下面的答案仅供参考&#xff01; 1. 有哪些存储分配策略&#xff1f;并叙述何时用何种存储分配策略&#xff1f; 答&#xff1a;存储分配策略分为静态分配策略和动态分配策略两大类,而动态分配策略又可分为栈式动态分配策略和堆式动态分配策略两类。 在一个的具体的编译…

软件测试需求分析的常用方法

软件测试需求分析时&#xff0c;应要求产品人员对需求进行讲解&#xff0c;并使用相对应的方法进行科学分析&#xff0c;否则无法保障软件测试的完整性和科学性&#xff0c;从而造成在项目中后期Bug频出、风险增大等问题。 而常用的测试需求分析的方法&#xff1a; 1、功能分解…

腾讯云MSS多项能力获IDC五星评价,综合实力位列第一

近日&#xff0c;IDC发布了《IDC Technology Assessement: 中国公有云托管安全服务能力&#xff0c;2023》报告&#xff08;以下简称“报告”&#xff09;。腾讯云安全托管服务MSS凭借多年的技术积累和出色的服务能力&#xff0c;在报告的专家能力、漏洞及威胁检测、事件分析、…

二叉搜索树(BST)的模拟实现

序言&#xff1a; 构造一棵二叉排序树的目的并不是为了排序&#xff0c;而是为了提高查找效率、插入和删除关键字的速度&#xff0c;同时二叉搜索树的这种非线性结构也有利于插入和删除的实现。 目录 &#xff08;一&#xff09;BST的定义 &#xff08;二&#xff09;二叉搜…

刘汝佳の树状数组详解

引入 二叉索引树&#xff0c;也叫树状数组是一种便于数组单点修改和区间求和的数据结构 主要根据下标的lowbit值来建树 至于lowbit(x)&#xff0c;则是(x)&(-(x))&#xff0c;也就是一个二进制数从右边数第一个1代表的数 #define lowbit(x) ((x)&(-(x)))基础树状数组…

GF(2)上矩阵秩的快速计算

https://github.com/mhostetter/galois/issues

uniapp发布插件显示components/xxx文件没找到,插件格式不正确

uniapp发布插件显示components/xxx文件没找到&#xff0c;插件格式不正确 将插件文件这样一起选中&#xff0c;然后右键压缩成zip文件&#xff0c;而不是外层文件压缩

亚马逊、美客多卖家如何运营,养号技巧和硬件要求有哪些?

流量等于销量、等于利润&#xff0c;没有流量&#xff0c;一切都是白搭&#xff0c; 流量是一切销量的前提&#xff0c;我们平时做的优化、推广也是为了引入流量。所有亚马逊卖家都在围着一个目标而努力&#xff0c;那就是流量。那么亚马逊新卖家该如何引流呢? 我们需要从以下…

无涯教程-Perl - 条件判断

以下是在大多数编程语言中找到的典型判断结构的概述- Perl编程语言提供以下类型的条件语句。 Sr.No.Statement & 描述1 if statement if语句由布尔表达式和一个或多个语句组成。 2 if...else statement在 if语句之后可以是可选的 else语句。 3 if...elsif...else statemen…

如何将镜像体积海量缩减

点击上方蓝色字体&#xff0c;选择“设为星标” 回复”云原生“获取基础架构实践 镜像的传统构建 我们随便找个Golang代码项目作为案例&#xff0c;来开始构建一个镜像。下面我们以我的一个实战项目开始讲解&#xff1a;https://gitee.com/damon_one/uranus。 第一步&#xff1…

uC-OS2 V2.93 STM32L476 移植:系统移植篇

前言 上一篇已经 通过 STM32CubeMX 搭建了 NUCLEO-L476RG STM32L476RG 的 裸机工程&#xff0c;并且下载了 uC-OS2 V2.93 的源码&#xff0c;接下来&#xff0c;开始系统移植 开发环境 win10 64位 Keil uVision5&#xff0c;MDK V5.36 uC-OS2 V2.93 开发板&#xff1a;NUC…