隨著云原生時(shí)代的來(lái)臨,業(yè)務(wù)變得越來(lái)越開放和復(fù)雜,安全邊界越來(lái)越模糊,固定的防御邊界已經(jīng)不復(fù)存在,僅僅依靠WAF這樣的邊界防護(hù)手段是顯然不夠的。基于請(qǐng)求特征+規(guī)則策略的防御控制手段僅能將部分危險(xiǎn)攔截在外,同時(shí)隨著實(shí)網(wǎng)攻防演練的常態(tài)化、實(shí)戰(zhàn)化,攻防對(duì)抗強(qiáng)度不斷升級(jí),攻擊者可輕易繞過(guò)傳統(tǒng)邊界安全設(shè)備基于規(guī)則匹配的預(yù)防機(jī)制。
【資料圖】
不僅如此,攻擊者還會(huì)利用供應(yīng)鏈攻擊等迂回手法來(lái)挖掘出特定0day漏洞,實(shí)現(xiàn)對(duì)目標(biāo)應(yīng)用的精準(zhǔn)打擊。類似的高級(jí)攻擊手段,讓越來(lái)越多的安全管理者,開始關(guān)注安全左移,例如將DevOps與Sec結(jié)合,嘗試實(shí)現(xiàn)DevSecOps,亦或是以運(yùn)行時(shí)應(yīng)用自我防護(hù)為手段,對(duì)運(yùn)行時(shí)的應(yīng)用安全進(jìn)行更多投入。
然而,與云主機(jī)安全遇到的局限性類似,應(yīng)用安全原有的安全能力是有缺失的。一方面,用戶在實(shí)戰(zhàn)化安全能力需求中,迫切需要一個(gè)專門針對(duì)應(yīng)用的行之有效的解決方案,加入安全運(yùn)營(yíng)體系中,從而實(shí)現(xiàn)應(yīng)用運(yùn)行時(shí)的安全檢測(cè)與響應(yīng)能力,另一方面,之前的應(yīng)用安全技術(shù)能力,雖然從開發(fā)階段到生產(chǎn)運(yùn)行階段都有涉及,但能力點(diǎn)是分散的,例如只關(guān)注應(yīng)用的漏洞檢測(cè)(如IAST),或是只關(guān)注應(yīng)用攻防場(chǎng)景下的自我防護(hù)(如RASP),很少將應(yīng)用的安全檢測(cè)與事件響應(yīng)結(jié)合起來(lái),形成閉環(huán)。一個(gè)典型例證是,越來(lái)越多的企業(yè)開始向DevOps模式靠攏,快速和持續(xù)的交付正在加快業(yè)務(wù)的拓展,但隨之而來(lái)的安全訴求卻得不到及時(shí)響應(yīng)。研發(fā)團(tuán)隊(duì)經(jīng)常在代碼可能存在安全風(fēng)險(xiǎn)的情況下,將其推入生產(chǎn)環(huán)境,結(jié)果造成更多漏洞積壓,且上線后安全訴求因排期等問(wèn)題無(wú)法修復(fù)。同時(shí)伴隨著實(shí)網(wǎng)攻防演練的常態(tài)化趨勢(shì),傳統(tǒng)以犧牲業(yè)務(wù)為代價(jià)的業(yè)務(wù)應(yīng)用關(guān)停手段也逐漸遇到挑戰(zhàn),在“零關(guān)?!被颉吧訇P(guān)停”的需求下,對(duì)應(yīng)用生產(chǎn)環(huán)境風(fēng)險(xiǎn)的檢測(cè)與響應(yīng)迫在眉睫?;诖?,數(shù)世咨詢提出應(yīng)用檢測(cè)與響應(yīng)(Application Detection and Response – ADR)這一新賽道,從而將用戶在這一領(lǐng)域的需求明晰化,同時(shí)將對(duì)應(yīng)的安全能力解決方案化。
我們也看到,各大政企客戶紛紛將整體應(yīng)用安全能力與體系建設(shè)提上日程,因此數(shù)世咨詢發(fā)布的業(yè)界首份《ADR應(yīng)用檢測(cè)與響應(yīng)能力白皮書》成為甲方客戶應(yīng)用安全的指南,其中北京邊界無(wú)限科技有限公司(邊界無(wú)限)成為國(guó)內(nèi)唯一被推薦的ADR廠商。隨附報(bào)告全文,供用戶與企業(yè)參考。
關(guān)鍵發(fā)現(xiàn)
應(yīng)用檢測(cè)與響應(yīng)(Application Detection and Response – ADR)是指以Web應(yīng)用為主要對(duì)象,采集應(yīng)用運(yùn)行環(huán)境與應(yīng)用內(nèi)部中用戶輸入、上下文信息、訪問(wèn)行為等流量數(shù)據(jù)并上傳至分析管理平臺(tái),輔助威脅情報(bào)關(guān)聯(lián)分析后,以自動(dòng)化策略或人工響應(yīng)處置安全事件的解決方案。
ADR以Web應(yīng)用為核心,以RASP為主要安全能力切入點(diǎn)。
作為安全關(guān)鍵基礎(chǔ)設(shè)施,ADR能夠與WAF、HDR、IAST等多個(gè)安全能力形成有機(jī)配合。
ADR 的五大關(guān)鍵技術(shù)能力:探針(Agent)、應(yīng)用資產(chǎn)發(fā)現(xiàn)、高級(jí)威脅檢測(cè)、數(shù)據(jù)建模與分析、響應(yīng)阻斷與修復(fù)。
對(duì)0day漏洞、無(wú)文件攻擊等高級(jí)攻擊威脅的檢測(cè)與響應(yīng)已經(jīng)成為ADR的關(guān)鍵能力之一。
ADR廠商將與公有云廠商、各行業(yè)云廠商建立更加深入的合作關(guān)系,逐步加快ADR在各行業(yè)的集中部署。
ADR定義
應(yīng)用檢測(cè)與響應(yīng)(Application Detection and Response – ADR)是指以Web應(yīng)用為主要對(duì)象,采集應(yīng)用運(yùn)行環(huán)境與應(yīng)用內(nèi)部中用戶輸入、上下文信息、訪問(wèn)行為等流量數(shù)據(jù)并上傳至分析管理平臺(tái),輔助威脅情報(bào)關(guān)聯(lián)分析后,以自動(dòng)化策略或人工響應(yīng)處置安全事件的解決方案。
若無(wú)特別說(shuō)明,本報(bào)告中的應(yīng)用主要指主機(jī)側(cè)的Web應(yīng)用,不包含PC終端、移動(dòng)終端、物聯(lián)網(wǎng)終端等端點(diǎn)側(cè)的應(yīng)用。
ADR以Web應(yīng)用為核心,以RASP為主要安全能力切入點(diǎn),通過(guò)對(duì)應(yīng)用流量數(shù)據(jù)中潛在威脅的持續(xù)檢測(cè)和快速響應(yīng),幫助用戶應(yīng)對(duì)來(lái)自業(yè)務(wù)增長(zhǎng)、技術(shù)革新和基礎(chǔ)設(shè)施環(huán)境變化所產(chǎn)生的諸多應(yīng)用安全新挑戰(zhàn)。
在安全檢測(cè)方面,ADR基于網(wǎng)格化的流量采集,通過(guò)應(yīng)用資產(chǎn)數(shù)據(jù)、應(yīng)用訪問(wèn)數(shù)據(jù)、上下文信息等,結(jié)合外部威脅情報(bào)數(shù)據(jù),高效準(zhǔn)確檢測(cè)0day漏洞利用、內(nèi)存馬注入等各類安全威脅;、
在安全響應(yīng)方面,ADR基于場(chǎng)景化的學(xué)習(xí)模型,實(shí)現(xiàn)應(yīng)用資產(chǎn)的自動(dòng)發(fā)現(xiàn)與適配,自動(dòng)生成應(yīng)用訪問(wèn)策略,建立可視化的應(yīng)用訪問(wèn)基線,發(fā)現(xiàn)安全威脅時(shí),通過(guò)虛擬補(bǔ)丁、訪問(wèn)控制等安全運(yùn)營(yíng)處置手段,有效提高事件響應(yīng)的處置效率。
邊界無(wú)限作為國(guó)內(nèi)新成立的安全創(chuàng)新企業(yè),其團(tuán)隊(duì)核心成員來(lái)自騰訊玄武實(shí)驗(yàn)室和頭部安全公司,具備很高的攻防起點(diǎn),因此,0day、內(nèi)存馬等高級(jí)威脅檢測(cè)場(chǎng)景是其RASP產(chǎn)品的優(yōu)勢(shì)之一,據(jù)了解,Log4j、Spring4shell等高危漏洞爆發(fā)時(shí),他們的RASP產(chǎn)品靖云甲都成功檢測(cè)并進(jìn)行了攔截。
基于RASP技術(shù),憑借攻防基因與技術(shù)優(yōu)勢(shì),邊界無(wú)限完善了應(yīng)用運(yùn)行時(shí)全流程全周期的安全防護(hù)能力,加入了多場(chǎng)景業(yè)務(wù)適配、虛擬補(bǔ)丁、編排模式等檢測(cè)與響應(yīng)能力。依托這些能力,用戶可以快速聚焦攻擊者,定位缺陷應(yīng)用,進(jìn)而提升團(tuán)隊(duì)的MTTD/MTTR時(shí)效。
具體以應(yīng)用資產(chǎn)盤點(diǎn)能力舉例來(lái)說(shuō),該能力以實(shí)戰(zhàn)攻防演練為主要場(chǎng)景、以攻擊面收斂為主要目的,除了常見的第三方組件庫(kù)等應(yīng)用資產(chǎn),對(duì)應(yīng)用間的API資產(chǎn)也能夠持續(xù)發(fā)現(xiàn)與管理,對(duì)南北向之外的東西向流量,都可以做到覆蓋與識(shí)別,進(jìn)而梳理清楚應(yīng)用間的訪問(wèn)關(guān)系。
今年,邊界無(wú)限也提出了應(yīng)用檢測(cè)與響應(yīng)ADR的理念,與數(shù)世咨詢不謀而合。作為國(guó)內(nèi)少有的ADR代表企業(yè)之一,數(shù)世咨詢會(huì)對(duì)其持續(xù)關(guān)注。
行業(yè)展望
ADR在國(guó)內(nèi)各行業(yè)將加快集中部署
隨著“業(yè)務(wù)上云”的普及,越來(lái)越多云原生場(chǎng)景下的應(yīng)用檢測(cè)與響應(yīng)需求需要得到滿足。同時(shí),很多ADR廠商為了提升應(yīng)用行為的聚類分析、威脅情報(bào)的更新推送、虛擬補(bǔ)丁的分發(fā)等操作的效果與ROI,自身也會(huì)利用云原生技術(shù)進(jìn)行產(chǎn)品的部署與實(shí)施,如此一來(lái),有實(shí)力的ADR廠商將與公有云廠商、各行業(yè)云廠商建立更加深入的合作關(guān)系,逐步加快ADR在各行業(yè)的集中部署。
ADR與持續(xù)應(yīng)用安全(CAS)結(jié)合
持續(xù)應(yīng)用安全(CAS)是基于我國(guó)軟件供應(yīng)鏈安全現(xiàn)狀所誕生的一種理念,主要解決軟件供應(yīng)鏈中數(shù)字化應(yīng)用的開發(fā)以及運(yùn)行方面的安全問(wèn)題,覆蓋應(yīng)用的源代碼開發(fā)、構(gòu)建部署、上線運(yùn)行等多個(gè)階段,保障數(shù)字化應(yīng)用的全流程安全狀態(tài),是安全能力原子化(離散式制造、集中式交付、統(tǒng)一式管理、智能式應(yīng)用)在軟件供應(yīng)鏈安全上的應(yīng)用。因此在應(yīng)用的運(yùn)行階段,ADR能夠與CAS形成數(shù)據(jù)關(guān)聯(lián)和能力融合,并經(jīng)由統(tǒng)一調(diào)度管理形成體系化的解決方案,以達(dá)到幫助用戶減少資源投入、整合安全能力和提升安全效率的目的。
繼NDR、EDR、HDR等檢測(cè)與響應(yīng)能力之后,ADR將成為又一個(gè)必備能力
在實(shí)網(wǎng)攻防演練等場(chǎng)景中,大部分用戶已經(jīng)在流量、終端、主機(jī)等維度逐漸形成了NDR、EDR乃至HDR(主機(jī)檢測(cè)與響應(yīng))等檢測(cè)與響應(yīng)能力,有效提升了安全檢測(cè)的覆蓋度與應(yīng)急響應(yīng)時(shí)效。作為更加貼近業(yè)務(wù)側(cè)的檢測(cè)與響應(yīng)能力,ADR的出現(xiàn),能夠有效補(bǔ)全其他“DR”在業(yè)務(wù)側(cè)的不足。因此,數(shù)世咨詢認(rèn)為,在未來(lái)2-3年內(nèi),將會(huì)有越來(lái)越多機(jī)構(gòu)用戶將ADR作為必備能力之一,納入安全運(yùn)營(yíng)建設(shè)計(jì)劃,并與NDR、EDR、HDR等一起形成完備的安全檢測(cè)與響應(yīng)體系。
以《關(guān)基保護(hù)要求》為綱,ADR將具備更加落地的指導(dǎo)要求
在筆者完稿之際,國(guó)家市場(chǎng)監(jiān)管總局批準(zhǔn)發(fā)布了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》( GB/T 39204-2022)(簡(jiǎn)稱《關(guān)基保護(hù)要求》)國(guó)家標(biāo)準(zhǔn)文件。該標(biāo)準(zhǔn)作為《關(guān)基保護(hù)條例》發(fā)布一年后首個(gè)正式發(fā)布的關(guān)基標(biāo)準(zhǔn),是為了落實(shí)《網(wǎng)絡(luò)安全法》《關(guān)基保護(hù)條例》中關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全的保護(hù)要求,借鑒重要行業(yè)和領(lǐng)域開展網(wǎng)絡(luò)安全保護(hù)工作的成熟經(jīng)驗(yàn)而制定的,將于2023年5月1日正式實(shí)施。它規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在識(shí)別分析、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置等方面的安全要求。因此以《關(guān)基保護(hù)要求》為綱,ADR對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施中的“Web應(yīng)用”構(gòu)筑安全保障體系時(shí),將具備更加可落地的指導(dǎo)要求。