ADR白皮書成應用安全建設指南 邊界無限為國內唯一被推薦廠商

  業界資訊     |      2023-03-31 18:19

隨著云原生時代的來臨,業務變得越來越開放和復雜,安全邊界越來越模糊,固定的防御邊界已經不復存在,僅僅依靠WAF這樣的邊界防護手段是顯然不夠的?;谡埱筇卣?規則策略的防御控制手段僅能將部分危險攔截在外,同時隨著實網攻防演練的常態化、實戰化,攻防對抗強度不斷升級,攻擊者可輕易繞過傳統邊界安全設備基于規則匹配的預防機制。

不僅如此,攻擊者還會利用供應鏈攻擊等迂回手法來挖掘出特定0day漏洞,實現對目標應用的精準打擊。類似的高級攻擊手段,讓越來越多的安全管理者,開始關注安全左移,例如將DevOps與Sec結合,嘗試實現DevSecOps,亦或是以運行時應用自我防護為手段,對運行時的應用安全進行更多投入。

然而,與云主機安全遇到的局限性類似,應用安全原有的安全能力是有缺失的。一方面,用戶在實戰化安全能力需求中,迫切需要一個專門針對應用的行之有效的解決方案,加入安全運營體系中,從而實現應用運行時的安全檢測與響應能力,另一方面,之前的應用安全技術能力,雖然從開發階段到生產運行階段都有涉及,但能力點是分散的,例如只關注應用的漏洞檢測(如IAST),或是只關注應用攻防場景下的自我防護(如RASP),很少將應用的安全檢測與事件響應結合起來,形成閉環。一個典型例證是,越來越多的企業開始向DevOps模式靠攏,快速和持續的交付正在加快業務的拓展,但隨之而來的安全訴求卻得不到及時響應。研發團隊經常在代碼可能存在安全風險的情況下,將其推入生產環境,結果造成更多漏洞積壓,且上線后安全訴求因排期等問題無法修復。同時伴隨著實網攻防演練的常態化趨勢,傳統以犧牲業務為代價的業務應用關停手段也逐漸遇到挑戰,在“零關?!被颉吧訇P?!钡男枨笙?對應用生產環境風險的檢測與響應迫在眉睫?;诖?數世咨詢提出應用檢測與響應(Application Detection and Response – ADR)這一新賽道,從而將用戶在這一領域的需求明晰化,同時將對應的安全能力解決方案化。

我們也看到,各大政企客戶紛紛將整體應用安全能力與體系建設提上日程,因此數世咨詢發布的業界首份《ADR應用檢測與響應能力白皮書》成為甲方客戶應用安全的指南,其中北京邊界無限科技有限公司(邊界無限)成為國內唯一被推薦的ADR廠商。隨附報告全文,供用戶與企業參考。

關鍵發現

應用檢測與響應(Application Detection and Response – ADR)是指以Web應用為主要對象,采集應用運行環境與應用內部中用戶輸入、上下文信息、訪問行為等流量數據并上傳至分析管理平臺,輔助威脅情報關聯分析后,以自動化策略或人工響應處置安全事件的解決方案。

ADR以Web應用為核心,以RASP為主要安全能力切入點。

作為安全關鍵基礎設施,ADR能夠與WAF、HDR、IAST等多個安全能力形成有機配合。

ADR的五大關鍵技術能力:探針(Agent)、應用資產發現、高級威脅檢測、數據建模與分析、響應阻斷與修復。

對0day漏洞、無文件攻擊等高級攻擊威脅的檢測與響應已經成為ADR的關鍵能力之一。

ADR廠商將與公有云廠商、各行業云廠商建立更加深入的合作關系,逐步加快ADR在各行業的集中部署。

ADR定義

應用檢測與響應(Application Detection and Response – ADR)是指以Web應用為主要對象,采集應用運行環境與應用內部中用戶輸入、上下文信息、訪問行為等流量數據并上傳至分析管理平臺,輔助威脅情報關聯分析后,以自動化策略或人工響應處置安全事件的解決方案。

若無特別說明,本報告中的應用主要指主機側的Web應用,不包含PC終端、移動終端、物聯網終端等端點側的應用。

ADR以Web應用為核心,以RASP為主要安全能力切入點,通過對應用流量數據中潛在威脅的持續檢測和快速響應,幫助用戶應對來自業務增長、技術革新和基礎設施環境變化所產生的諸多應用安全新挑戰。

在安全檢測方面,ADR基于網格化的流量采集,通過應用資產數據、應用訪問數據、上下文信息等,結合外部威脅情報數據,高效準確檢測0day漏洞利用、內存馬注入等各類安全威脅;、

在安全響應方面,ADR基于場景化的學習模型,實現應用資產的自動發現與適配,自動生成應用訪問策略,建立可視化的應用訪問基線,發現安全威脅時,通過虛擬補丁、訪問控制等安全運營處置手段,有效提高事件響應的處置效率。

圖:ADR應用檢測與響應

圖:應用檢測與響應ADR部署示意圖

在數世咨詢發布的《中國數字安全能力圖譜2022》中,應用檢測與響應ADR位于“應用場景安全”方向的“開發與應用安全”分類中。

《中國數字安全能力圖譜2022》開發與應用安全,ADR