一个严肃的话题,ADR会取代WAF和RASP吗?

news2024/11/15 23:54:42

做安全的人应该都对WAF耳熟能详,也就是我们常说的Web应用防火墙,成为了应用安全防护的明星产品之一。从传统的防火墙、IDS、IPS,再到WAF横空出世,引领技术趋势若干年,这一阶段可以称为应用安全防护1.0时代。作为一款成熟的Web应用防护产品, WAF一度成为企业为Web应用提供安全防护的必备利器,但技术的演进并未由此停止。

Log4j2等“核弹级漏洞”的爆发,使RASP技术迅速升温,填补了市场在应用层防护的空白,很多人喜欢把RASP称为下一代WAF,但实际并不是,RASP更像是WAF的“拍档”。

时间来到2022年12月,国内知名安全咨询公司数世咨询发布行业首份《ADR能力白皮书》中首次提出ADR这一新赛道。ADR类产品基于RASP,并在其基础上增加了开源风险治理、API资产梳理(可以从应用内部洞悉全量API资产)、中间件基线、应用基线等持续检测和环境安全功能,ADR被视作RASP2.0。

那么,问题来了,RASP并非下一个WAF,在RASP基础上全面升级的ADR,跟WAF是何种关系?它会取代WAF和RASP,成为广大政企客户应用安全防护的“新宠”吗?这是一个严肃的话题。

WAF

WAF的全称是Web Application Firewall,即Web应用防火墙。国际上公认的一种说法是:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。WAF是集Web防护、网页保护、负载均衡、应用交付于一体的Web整体安全防护设备。

RASP

RASP的全称是Runtime Application Self-Protection,即运行时应用自我保护。它是一种应用程序安全保护技术,可以在应用程序运行时检测和防御各种攻击,包括代码注入、SQL注入、跨站点脚本攻击(XSS)和跨站点请求伪造(CSRF)等。通过注入安全疫苗的方式将防护引擎嵌入到应用内部,与应用程序融为一体,使应用程序具备自我防护能力,对0day漏洞、内存马等攻击实现免疫防护。

ADR

ADR的全称是Application Detection and Response,即应用检测与响应。它是以Web应用为主要对象,采集应用运行环境与应用内部中用户输入、上下文信息、访问行为等流量数据并上传至分析管理平台,辅助威胁情报关联分析后,以自动化策略或人工响应处置安全事件的解决方案。ADR以Web应用为核心,以RASP为主要安全能力切入点,通过对应用流量数据中潜在威胁的持续检测和快速响应,帮助用户应对来自业务增长、技术革新和基础设施环境变化所产生的诸多应用安全新挑战。在安全检测方面,ADR基于网格化的流量采集,通过应用资产数据、应用访问数据、上下文信息等,结合外部威胁情报数据,高效准确检测0day漏洞利用、内存马注入等各类安全威胁;在安全响应方面,ADR基于场景化的学习模型,实现应用资产的自动发现与适配,自动生成应用访问策略,建立可视化的应用访问基线,发现安全威胁时,通过虚拟补丁、访问控制等安全运营处置手段,有效提高事件响应的处置效率。

ADR与WAF有何异同?

ADR和WAF都是用于Web应用安全的防御措施,总体而言,它们有以下几点区别。

部署位置不同:WAF在应用程序与客户端之间部署,可以检查和过滤所有进出应用程序的网络流量,而ADR是在应用程序内置的模块中运行,直接监控应用程序运行状态,可以实时检测漏洞和攻击。

防御方式不同:WAF主要是通过规则匹配和过滤来防御攻击,属于一种被动的防御方式。而ADR是采用主动防御方式,可以及时检测恶意行为并拦截攻击,能够更好地预防漏洞攻击。

实现方式不同:WAF可以作为独立设备,也可以部署在网关、交换机或负载均衡设备上,适用于多种类型的Web应用程序。而ADR需要内置在Web应用程序中,为每个应用程序单独部署。

虽然存在诸多不同,但ADR和WAF也存在一些结合点。例如,可以将ADR作为WAF的一部分,在流量检测和防御的同时,对应用程序进行实时监控和保护。另外,ADR和WAF均可以通过监视应用程序的行为和流量,发现并拦截恶意代码、SQL注入、跨站点脚本等攻击。

综上所述,ADR和WAF都是用于保护Web应用程序的安全防御措施,部署位置和防御方式不同,但可以结合使用来提高Web应用程序的安全性。ADR直接内置于应用程序中,可以实时检测漏洞和拦截攻击,WAF则部署在应用程序与客户端之间,通过规则匹配和过滤来防御攻击。在整体应用防护场景下,ADR可与WAF结合,实现流量检测和应用程序保护的双重防御,从而达到联防联控、纵深防御的效果。

ADR会取代WAF吗?

不得不提的是,ADR和WAF存在根本的差异:WAF的目的是发现可疑的流量,ADR则是发现具有威胁的行为。近期几次大的0day漏洞爆发事件,ADR因其天然优势,在防护未知攻击方面发挥了重要的作用,但ADR并不是要取代WAF,两者是完全不同的技术,各有各的优势。传统的WAF像是给应用穿上一层盔甲,而ADR作为应用内部运行时防护,更像是给应用注射了“免疫血清”,使安全成为应用的内生基因,给应用实施全方位保护。

在产品部署方面,首先企业不应期望于某个安全产品能够实现所有的安全需求;其次,在选择一项新的安全产品时,要找准新产品的能力价值,尽量与原有的安全能力互补形成合力,同时避免能力冗余。这就使ADR与WAF的结合成为水到渠成的事情。ADR作为运行时防护,与传统应用防护、主机防护类产品的定位有明显的差异,在安全防御系统中,可以与WAF等传统边界防护系统组合形成更加体系化的纵深防护能力。

对于已有WAF产品的用户,采用ADR不但不与WAF重叠,还可以为Web应用访问增强最后一道安全防线;同样,与云原生或云计算主机集成,也可以对传统主机防护能力进行增强。同时,ADR与传统防护产品的处置方式和部署方式不同,无法与传统产品统一部署,但在态势分析和管理方面可以与其它风险采集系统统筹考虑,实现综合分析和联动处置。此外,为了更顺利地应用ADR,建议应用前一般要在测试环境下验证,确保没有影响后再切换到生产环境;对于没有验证环境的,在安装过程中要做好回退机制,在安装失败时能保证恢复到插桩前的状态。特别值得指出的是,很多主机侧安全厂商会给客户灌输结合HIDS产品“无感”部署RASP或ADR产品的思想,这一思路虽然解决了快速部署的问题,但不经过测试环境的功能性、兼容性以及资源占用等验证,将给客户带来极大的潜在风险。这是因为ADR不同于WAF,部署在应用内部,在生产、业务环境与应用无缝结合,盲目强推会给业务带来巨大的威胁,务必慎重。因此我们建议在测试环境结合业务应用对ADR进行充分的功能、性能验证,并在业务网、生产网规模部署之前在边缘业务业务系统进行实网试用,真正保障业务不受影响的前提下,使ADR能充分匹配、适应不同客户的不同网络环境及业务逻辑,从而真正契合内生安全的理念,在应用内部提升自免疫能力。

ADR强于攻防 融合多种安全能力

不能忽视的是,有别于WAF,未来ADR在应对攻防对抗这种场景应用的机会会更多。但是随着业务云化和安全左移能力的增强,未来用户对应用程序的安全防护和应用层数据保护的要求会越来越强。同时,也会要求ADR提供更多维度的Detection和Response能力。其次,ADR可以与诸多安全能力在不同场景下形成合力。

与 SCA 融合。可以形成运行时SCA检测能力。在应用程序上线后进行应用软件成分分析,检测那些开发环节不受控,成分不清晰的构建包、软件制品。这在一定程度上融合了SCA的能力,但从应用场景看,与开发阶段应用的SCA并不会冲突。尤其是ADR与运行时态的SCA结合,可以更全面地洞悉应用调用了哪些组件库,并且可把被真正使用的组件库清晰地陈列出来,帮助客户更好地实现漏洞分级分类治理。

与WAAP结合。可以进一步检测遗留或长期潜伏的API。目前的WAAP多是通过网络侧流量进行API检测,对应用程序中潜伏的影子API无能为力,ADR可以在端侧为WAAP增强 API检测能力和全量API资产梳理能力。同时,WAAP核心功能包括Web应用防火墙、API保护、Bot防护和七层DDoS攻击防护,进一步扩展了云上应用安全防护范围和安全深度。但WAAP目前仍存在一个很大的问题,那就是Web应用防护仍主要依靠边界防护手段,并未形成应用的自我防护机制,ADR则可更有效地加强此方面的能力,即在运行时态实现应用自免疫。

与容器安全、云原生安全能力(如微隔离)深度融合。随着业务上云趋势愈演愈烈,未来安全技术必须考虑容器化部署以及云原生安全能力,可以预见,未来ADR技术将向云原生应用程序保护平台( CNAPP )的方向发展演进。

靖云甲ADR值得青睐

随着企业深度用云以及云原生应用的快速普及,云上复杂性提升,导致网络攻击面倍增,也伴生出新的安全风险。安全行业需要革新安全理念、技术和模式,将人工智能、云原生等新技术应用到网络安全防护中,实现对网络威胁的预先研判、智能防护和自动抵御,有效提升安全威胁检测、应急处置和追踪溯源能力,实现从事后补救到安全前置,从局部分割到全面防护,从被动安全到主动安全的转变,以便构筑起主动、智能、全面的应用安全防护体系。结合敏锐的市场洞察力以及多年的攻防经验积淀,北京边界无限科技有限公司(边界无限,BoundaryX)基于RASP和云原生技术推出了靖云甲ADR应用检测与响应系统,这是一款值得用户重点关注的产品。靖云甲ADR是针对应用运行时安全防护的颠覆性解决方案,更是边界无限打造云原生应用整体防护平台的起点和战略支点,为云时代应用安全提供实时保障。

边界无限联合创始人、CTO王佳宁介绍说,边界无限靖云甲ADR应用检测与响应系统基于RASP技术,以云原生为场景,以数据链路为核心,以流量安全、API安全和数据安全作为安全能力切入点,引入多项前瞻性的技术理念,通过对应用风险的持续检测和安全风险快速响应,帮助企业应对来自业务增长、技术革新和基础设施环境变化所产生的等诸多应用安全新挑战。

在流量安全方面,靖云甲ADR基于网格化流量采集,通过联动应用端点数据、应用访问数据,高效准确防御0day漏洞利用、内存马注入等各类安全威胁;在数据安全方面,靖云甲ADR通过数据审计、治理、脱敏等安全技术,有效实现数据安全风险态势的把控。在为企业提供全面的应用安全保障的同时,靖云甲ADR通过虚拟补丁、漏洞威胁情报、访问控制等运营处置手段,有效提高安全运营的事件处置效率。这顺应了时下流行的安全技术趋势,也满足了广大政企客户的应用安全防护的真实需求。

内存马免重启查杀。边界无限靖云甲ADR采用“主被动结合”双重防御机制,对外基于RASP能力对内存马的注入行为进行有效防御,对内通过建立内存马检测模型,通过持续分析内存中存在的恶意代码,帮助用户解决掉埋藏内存中的“定时炸弹”。针对内存中潜藏的内存马,靖云甲ADR提供了一键清除功能,可以直接将内存马清除,实现对内存马威胁的快速处理。靖云甲ADR还可以通过主动拦截+被动扫描,有效阻断内存马的注入;对已经被注入的内存马提供源码和特征检测信息,无需重启应用即可一键清除。另外,靖云甲ADR采用“attach”等方式注入agent ,无需重启直接更新,以减少对业务运行的干扰。

0Day 漏洞无规则防御。边界无限靖云甲ADR采用RASP应用运行时监控技术,实现资产的精准采集,自动化高效地响应,构建了0day漏洞原生免疫,结合语义分析技术,同时实现漏洞的精准防御,大大降低了无效告警。靖云甲ADR可有效解决90%的0day漏洞,内存马注入防御、Webshell检测、反序列化漏洞等功能100%完善,应用运行时风险降低95%以上,且具有高精准度,近乎零误报。

组件库动态采集管理。边界无限靖云甲ADR采用动态捕获技术,在应用运行过程中自动收集并展示第三方组件信息及调用情况,快速感知资产动态,全面有效获知供应链资产信息,实现供应链资产的清点和管理;消除资产盲区,实现资产有效管理,让安全防护覆盖到资产的每一个角落。

API 和敏感数据清点。边界无限靖云甲ADR拥有精准细化的资产清点、紧跟形式的安全研究、海量可靠的漏洞运营、轻量无感的性能损耗等优点,尤其是在应用资产管理、供应链安全、API资产学习层面,其表现优异。靖云甲ADR跨IT架构统计应用资产,实现安全能力同步管控,为应用提供安全风险评估;自主学习流量加应用框架,具体来说,靖云甲ADR会通过插桩对应用内部框架定义的API方法以及应用流量进行API全量采集,同时利用AI检测引擎请求流量进行持续分析,自动分析暴露陈旧、敏感数据等关键问题。

王佳宁表示,边界无限在RASP基础上推出靖云甲ADR应用检测与响应方案并进而向云原生应用整体防护平台演进,深受业界各方认可,这面对的是一个全新的市场和赛道,边界无限已经凭借多年攻防经验积淀以及技术创新优势取得杆位,连续在各大标杆客户测试中夺魁并获得连续数轮数千万元融资,这都是最好的见证。希望在应用安全及云原生领域,边界无限能够塑造新的安全行业传奇。

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/834624.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

通过华为杯竞赛、高教社杯和数学建模国赛实现逆袭;助力名利双收

文章目录 ⭐ 赛事介绍⭐ 参赛好处⭐ 辅导比赛⭐ 写在最后 ⭐ 赛事介绍 华为杯全国研究生数学建模竞赛是由华为公司主办的一项面向全国研究生的数学建模竞赛。该竞赛旨在通过实际问题的建模和解决,培养研究生的创新能力和团队合作精神,推动科技创新和应用…

深度解析线程池的文章

java 系统的运行归根到底是程序的运行,程序的运行归根到底是代码的执行,代码的执行归根到底是虚拟机的执行,虚拟机的执行其实就是操作系统的线程在执行,并且会占用一定的系统资源,如CPU、内存、磁盘、网络等等。所以&a…

IPsec简介

IPsec简介 IPsec(IP Security)是IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP层通过加密与数据源认证等方式,提供了以下的安全服务&#xff1a…

xml的注释删要干净Parameter index out of range (2 > number of parameters, which is 1).

报了这个bugjava.sql.SQLException: Parameter index out of range (2 > number of parameters, which is 1). 对应sql语句是这样的 把注释删掉,就不报错了,这是什么奇葩bug

2023年电赛---运动目标控制与自动追踪系统(E题)发挥题思路

前言 &#xff08;1&#xff09;因为博客编辑字数超过1W字会导致MD编辑器非常卡顿。所以我将发挥题和基础题的思路拆开了。 &#xff08;2&#xff09;更新日记&#xff1a; <1>2023年8月4日&#xff0c;9点20分。分离发挥题思路和基础题思路&#xff0c;增加了博主Huiye…

结构体,枚举,联合大小的计算规则

目录 1.结构体大小的计算 补充&#xff08;位段&#xff09; 2.枚举的大小&#xff08;4个字节&#xff09; 3.联合大小的计算 1.结构体大小的计算 &#xff08;1&#xff09;结构体内存对齐的规则 1. 第一个成员在与结构体变量偏移量为 0 的地址处。 2. 其他成员变量要对…

走出焦虑,拥抱未来!

方向一&#xff1a;简述自己的感受 大三科班在读&#xff0c;我能够理解在看到他人完成自己做不出来的题目或写不出的代码时会感到焦虑的心情&#xff0c;因为我也常常会有这种焦虑。这种焦虑可能是因为觉得自己与他人存在差距或者担心自己的能力不足。同时&#xff0c;周围人…

深度学习Redis(3):主从复制

前言 在前面的两篇文章中&#xff0c;分别介绍Redis内存模型和Redis持久化 在Redis的持久化中曾提到&#xff0c;Redis高可用的方案包括持久化、主从复制&#xff08;及读写分离&#xff09;、哨兵和集群。其中持久化侧重解决的是Redis数据的单机备份问题&#xff08;从内存到…

Dockerfile构建Tomcat镜像(源码)

Dockerfile构建Tomcat镜像 目录 Dockerfile构建Tomcat镜像 1、建立工作目录 2、编写Dockerfile文件 3、构建镜像 4、测试容器 5、浏览器访问测试&#xff1a; 1、建立工作目录 [roothuyang1 ~]# mkdir tomcat[roothuyang1 ~]# cd tomcat/[roothuyang1 tomcat]# lsapach…

GLM模型介绍

paper: 《GLM: General Language Model Pretraining with Autoregressive Blank Infilling》 摘要&#xff1a; 我们提出了一个基于自回归空白填充的通用语言模型&#xff08;GLM&#xff09;来解决这一挑战。GLM通过添加2D位置编码和允许任意顺序预测跨度来改进空白填充预训…

静态网页加速器:优化性能和交付速度的 Node.js 最佳实践

如何使用 Node.js 发布静态网页 在本文中&#xff0c;我们将介绍如何使用 Node.js 来发布静态网页。我们将创建一个简单的 Node.js 服务器&#xff0c;将 HTML 文件作为响应发送给客户端。这是一个简单而灵活的方法&#xff0c;适用于本地开发和轻量级应用。 1、创建静态网页…

答辩PPT怎么做?在线PPT软件哪个好?

又是一年毕业季&#xff0c;相信很多毕业生都开始准备论文答辩&#xff0c;有些同学正在为论文奋夜苦战&#xff0c;有些则是为论文答辩PPT而烦恼。做PPT要用什么软件好呢&#xff1f;这篇文章就来告诉你。 当下有很多PPT制作工具&#xff0c;其中自然也包括Office三件套。这些…

手机卡线上销户难,高额违规金,一招教运营商做人!

今天有感而发&#xff0c;运营商大哥们&#xff0c;请温柔点对待你的客户好吗&#xff1f;少一点的套路&#xff0c;多一点的人性化&#xff0c;这不比什么都强吗&#xff1f;客户想要销户了&#xff0c;千方百计的阻拦&#xff0c;这样不要吧&#xff0c;没多大意义啊&#xf…

达芬奇架构 DaVinci Core - 小记

文章目录 官方文档 &#xff1a; HUAWEI Da Vinci Architecture https://support.huaweicloud.com/intl/en-us/odevg-A800_9000_9010/atlaste_10_0007.htmlPPT : DaVinci: A Scalable Architecture for Neural Network Computing https://www.cmc.ca/wp-content/uploads/2020/0…

《Ansible自动化工具篇:Centos操作系统基于ansible工具一键远程离线部署之K8S1.24.12二进制版集群》

一、部署背景 由于业务系统的特殊性&#xff0c;我们需要针对不同的客户环境部署二进制版K8S集群&#xff0c;由于大都数用户都是专网环境&#xff0c;无法使用外网&#xff0c;为了更便捷&#xff0c;高效的部署&#xff0c;针对业务系统的特性&#xff0c;我这边编写了 基于a…

【OJ比赛日历】快周末了,不来一场比赛吗? #08.05-08.11 #15场

CompHub[1] 实时聚合多平台的数据类(Kaggle、天池…)和OJ类(Leetcode、牛客…&#xff09;比赛。本账号会推送最新的比赛消息&#xff0c;欢迎关注&#xff01; 以下信息仅供参考&#xff0c;以比赛官网为准 目录 2023-08-05&#xff08;周六&#xff09; #7场比赛2023-08-06…

深度学习论文分享(六)Simple Baselines for Image Restoration

深度学习论文分享&#xff08;六&#xff09;Simple Baselines for Image Restoration 前言Abstract1 Introduction2 Related Works2.1 Image Restoration2.2 Gated Linear Units 3 Build A Simple Baseline3.1 Architecture3.2 A Plain Block3.3 Normalization3.4 Activation3…

新手指南:流程图中各种图形的含义及用法解析

我们经常在技术设计、沟通、业务演示等一些领域看到流程图&#xff0c;它也可以称为输入输出图。顾名思义&#xff0c;它是指一种简单的工作流程的具体步骤&#xff0c;比如包括一次会议的流程&#xff0c;以及一次生产制造的顺序和过程等。本文将为大家介绍流程图的含义和具体…

通向架构师的道路之tomcat集群

一、为何要集群 单台App Server再强劲&#xff0c;也有其瓶劲&#xff0c;先来看一下下面这个真实的场景。 当时这个工程是这样的&#xff0c;tomcat这一段被称为web zone&#xff0c;里面用springws&#xff0c;还装了一个jboss的规则引擎Guvnor5.x&#xff0c;全部是ws没有se…

python怎么保存代码文件,python中怎么保存代码

大家好&#xff0c;给大家分享一下怎么保存python代码写好怎么运行&#xff0c;很多人还不知道这一点。下面详细解释一下。现在让我们来看看&#xff01; 广告关闭 腾讯云11.11云上盛惠 &#xff0c;精选热门产品助力上云&#xff0c;云服务器首年88元起&#xff0c;买的越多返…