行業(yè)首份ADR能力白皮書重點關(guān)注0Day、內(nèi)存馬、應(yīng)用資產(chǎn)管理等需求

近日，中國數(shù)字產(chǎn)業(yè)領(lǐng)域第三方咨詢機構(gòu)數(shù)世咨詢發(fā)布安全行業(yè)首份《ADR能力白皮書》，通過系統(tǒng)研究ADR的關(guān)鍵能力以及使用場景等，為廣大政企客戶構(gòu)建整體應(yīng)用防護體系提供參考和借鑒。白皮書還推薦了ADR領(lǐng)域的代表性廠商，作為一家專注于技術(shù)創(chuàng)新突破的安全新銳公司，邊界無限憑借其被喻為應(yīng)用“免疫血清”的靖云甲ADR成為唯一被推薦的國內(nèi)公司。該ADR能力白皮書在CSA大中華區(qū)組織的CSA研討會上首次發(fā)布。

ADR關(guān)鍵發(fā)現(xiàn) 應(yīng)用檢測與響應(yīng)(Application Detection and Response – ADR)是指以Web應(yīng)用為主要對象，采集應(yīng)用運行環(huán)境與應(yīng)用內(nèi)部中用戶輸入、上下文信息、訪問行為等流量數(shù)據(jù)并上傳至分析管理平臺，輔助威脅情報關(guān)聯(lián)分析后，以自動化策略或人工響應(yīng)處置安全事件的解決方案。 ADR以Web應(yīng)用為核心，以RASP為主要安全能力切入點。 作為安全關(guān)鍵基礎(chǔ)設(shè)施，ADR能夠與WAF、HDR、IAST等多個安全能力形成有機配合。 ADR 的五大關(guān)鍵技術(shù)能力：探針(Agent)、應(yīng)用資產(chǎn)發(fā)現(xiàn)、高級威脅檢測、數(shù)據(jù)建模與分析、響應(yīng)阻斷與修復。 對0day漏洞、無文件攻擊等高級攻擊威脅的檢測與響應(yīng)已經(jīng)成為ADR的關(guān)鍵能力之一。 ADR廠商將與公有云廠商、各行業(yè)云廠商建立更加深入的合作關(guān)系，逐步加快ADR在各行業(yè)的集中部署。

ADR關(guān)鍵技術(shù)能力

RASP恰好處在應(yīng)用訪問流量中東西向與南北向的交叉點，因此以RASP作為能力切入點，ADR 應(yīng)當具備以下幾個關(guān)鍵技術(shù)能力： 探針(Agent) 應(yīng)用資產(chǎn)發(fā)現(xiàn) 高級威脅檢測 數(shù)據(jù)調(diào)度與分析 響應(yīng)阻斷與修復

探針(Agent)

在主機安全層面，探針技術(shù)已經(jīng)開始被多數(shù)用戶接受。因此在應(yīng)用安全領(lǐng)域，用戶對Agent的考量主要在于性能、兼容性、是否重啟等要點。

業(yè)務(wù)連續(xù)性

早期的RASP部署之后，需要重啟應(yīng)用環(huán)境，對用戶的業(yè)務(wù)連續(xù)性會有較大影響。近年來，隨著技術(shù)發(fā)展，ADR已經(jīng)有采用“attach”等方式注入Agent，無需重啟直接更新，以減少對業(yè)務(wù)運行的干擾。

對應(yīng)用性能的影響

RASP技術(shù)實現(xiàn)的實質(zhì)是在不接觸應(yīng)用源碼的情況下，對函數(shù)進行Hook操作。因此不可避免的Agent對原有的應(yīng)用性能會有影響。在PoC試用時查看Agent對性能的影響，用戶一般關(guān)注內(nèi)存占用、RT(Response Time)等關(guān)鍵指標。

兼容性

首先是對多開發(fā)語言的支持，Java、Golang、PHP、Python、Nodejs等主流開發(fā)語言，Agent探針都應(yīng)當支持。再就是除了對應(yīng)用環(huán)境中典型中間件、第三方組件、通用類和框架類的函數(shù)等兼容外，還要能夠?qū)ψ匝写a部分進行Hook。

應(yīng)用資產(chǎn)發(fā)現(xiàn)與管理

ADR應(yīng)當具備較強的應(yīng)用資產(chǎn)發(fā)現(xiàn)與管理能力，這是后續(xù)檢測與響應(yīng)的基礎(chǔ)。

持續(xù)資產(chǎn)發(fā)現(xiàn)

ADR所覆蓋的資產(chǎn)主要為應(yīng)用資產(chǎn)、組件庫資產(chǎn)、API資產(chǎn)三大類。資產(chǎn)發(fā)現(xiàn)手段可采用第三方導入+持續(xù)發(fā)現(xiàn)相結(jié)合的方式。一方面導入已有的應(yīng)用資產(chǎn)信息、第三方組件信息、所屬業(yè)務(wù)信息等資產(chǎn)數(shù)據(jù)，另一方面，通過具備資產(chǎn)信息更新的接口，便于隨時從自有的資產(chǎn)發(fā)現(xiàn)模塊，或EDR、HDR等外部端側(cè)資產(chǎn)信息，定期接入更新的應(yīng)用資產(chǎn)數(shù)據(jù)。特別針對應(yīng)用框架中大量的API資產(chǎn)，可通過插樁方式對應(yīng)用流量進行全量采集并持續(xù)分析，持續(xù)發(fā)現(xiàn)API資產(chǎn)。

應(yīng)用資產(chǎn)管理

ADR應(yīng)針對應(yīng)用的框架、組件、業(yè)務(wù)屬性、時間線等具備細粒度的資產(chǎn)管理能力、可視化的資產(chǎn)信息展示能力。除此之外，對于應(yīng)用框架中的第三方組件庫，ADR應(yīng)當具備動態(tài)采集加載組件庫信息的能力。也就是說，針對組件庫資產(chǎn)，要能區(qū)分在全量組件中哪些是應(yīng)用已經(jīng)加載的組件，以便后續(xù)環(huán)節(jié)中，對其能夠優(yōu)先進行檢測與響應(yīng)。特別是當供應(yīng)鏈出現(xiàn)嚴重漏洞的時候，可以快速定位到組件使用情況，加強對供應(yīng)鏈管理能力。

形成運行基線

通過持續(xù)的資產(chǎn)發(fā)現(xiàn)與管理，結(jié)合應(yīng)用、中間件的配置檢查能力，由此，ADR即可形成應(yīng)用安全運行基線。無論是實網(wǎng)攻防演練，還是日常安全運營，結(jié)合不同的業(yè)務(wù)場景，安全團隊可對應(yīng)用和中間件的資產(chǎn)完整性、策略配置、異常行為等進行針對性的監(jiān)測、檢測、響應(yīng)。

ADR的能力建設(shè)到這一步，可以滿足大部分針對應(yīng)用的攻擊檢測與響應(yīng)需求。接下來，還需要對更高級別的攻擊行為構(gòu)筑威脅檢測能力。

高級威脅檢測

基于RASP的技術(shù)實現(xiàn)特性，ADR應(yīng)當具備對0day漏洞、內(nèi)存馬等高級威脅的檢測能力。

0day漏洞

對nday漏洞的PoC檢測基于漏洞的已知特征實現(xiàn)。區(qū)別于此，ADR是對應(yīng)用中關(guān)鍵執(zhí)行函數(shù)進行Hook監(jiān)聽，同時采集上下文信息結(jié)合判斷。因此能夠覆蓋更加全面的攻擊路徑，進而從行為模式的層面，對0day漏洞實現(xiàn)有效感知，彌補傳統(tǒng)流量規(guī)則檢測方案所無法實現(xiàn)的未知漏洞攻擊防御。

前段時間造成大范圍影響的Log4j漏洞事件中，就已經(jīng)有ADR代表企業(yè)以上述思路成功阻斷了當時以0day身份出現(xiàn)的Log4j漏洞在客戶側(cè)的蔓延。因此，對0day漏洞的檢測與響應(yīng)已經(jīng)成為ADR的關(guān)鍵能力之一。

內(nèi)存馬

應(yīng)用內(nèi)存馬的攻擊實現(xiàn)方式是，攻擊者通過應(yīng)用漏洞結(jié)合語言特性在應(yīng)用中注冊包含后門功能的API。此類API在植入之后并不會在磁盤上寫入文件，代碼數(shù)據(jù)只寄存在內(nèi)存中，此類無文件攻擊特性可以很好的隱藏后門，攻擊者可長期控制業(yè)務(wù)系統(tǒng)或?qū)⑵渥鳛檫M入企業(yè)內(nèi)部的網(wǎng)絡(luò)跳板。

針對應(yīng)用內(nèi)存馬，ADR首先可通過建立內(nèi)存馬檢測模型，持續(xù)檢測內(nèi)存中可能存在的惡意代碼，覆蓋大部分已知特征的內(nèi)存馬;其次，基于RASP的技術(shù)特點，ADR可以對內(nèi)存馬注入可能利用到的關(guān)鍵函數(shù)，進行實時監(jiān)測，從行為模式層面以“主被動結(jié)合”的方式發(fā)現(xiàn)內(nèi)存馬，以此覆蓋剩余的未知特征的內(nèi)存馬。

因為是在內(nèi)存中進行檢測與判斷，因此，對內(nèi)存馬的攻擊行為一經(jīng)發(fā)現(xiàn)并結(jié)合上下文確認，就可以實時進行阻斷并清除，實現(xiàn)自動化的檢測與響應(yīng)。相比之下，其他響應(yīng)阻斷都會有一定的滯后性。因此可以說這是ADR的核心關(guān)鍵能力之一。

數(shù)據(jù)建模與分析

ADR需要具備較強的數(shù)據(jù)建模與分析能力。

鑒于Agent不能過高占用應(yīng)用環(huán)境資源，ADR數(shù)據(jù)建模與分析應(yīng)由專門的服務(wù)端引擎來承擔，將Agent采集數(shù)據(jù)、安全日志數(shù)據(jù)、外部威脅情報數(shù)據(jù)等有序調(diào)度匯總后，進行威脅建模與分析研判。

數(shù)據(jù)的建模與分析應(yīng)當兼顧成本與效率，數(shù)據(jù)模型要考慮資產(chǎn)優(yōu)先級、業(yè)務(wù)場景等，原則是提高對常見威脅的分析效率與準確率，降低自動化響應(yīng)的失誤率。

對于高級別威脅的數(shù)據(jù)分析，引擎中的場景劇本，要能夠隨時增加或更新，分析結(jié)果在管理平臺可視化呈現(xiàn)或以可編輯報告的形式導出，為高級別威脅所需的人工研判提供支持依據(jù)。

響應(yīng)阻斷與修復

不同于邊界設(shè)備基于特征匹配檢測攻擊，對于掃描器的踩點、掃描行為，?般會產(chǎn)??量誤報，RASP 運?在應(yīng)?內(nèi)部，失敗的攻擊不會觸發(fā)檢測邏輯，所以每條告警都是真實正在發(fā)生的攻擊，這就為ADR自動化的阻斷響應(yīng)提供了天然的技術(shù)基礎(chǔ)。

首先，基于應(yīng)用訪問關(guān)系，梳理應(yīng)用的拓撲關(guān)系與數(shù)據(jù)流，逐步形成應(yīng)用的安全運行基線，然后利用微隔離，降低攻擊者在不同應(yīng)用區(qū)域間潛在的橫向移動風險;然后在此基礎(chǔ)上，如前所述，針對0day漏洞、內(nèi)存馬等高級威脅，結(jié)合上下文進行自動化的阻斷響應(yīng)。最后，為避免再發(fā)生類似攻擊，ADR還應(yīng)具備臨時修復加固功能。例如通過彈性補丁或虛擬補丁，對漏洞進行臨時修復，待將來某個時刻，應(yīng)用升級或重啟時，再交由研發(fā)、運維等兄弟部門處置。

需要注意的是，雖然 RASP 幾乎沒有誤報，但自動化阻斷始終不能影響應(yīng)用的業(yè)務(wù)連續(xù)性，應(yīng)當具備一定的自查自保護機制。例如針對上述各響應(yīng)各環(huán)節(jié)，在管理平臺側(cè)提供完備的隔離策略、阻斷控制、補丁分發(fā)等功能的完整日志記錄，從而為運營人員進一步的重放、分析、溯源、報告等操作提供支撐。

邊界無限靖云甲ADR

誠如數(shù)世咨詢ADR能力白皮書中所述，目前國內(nèi)相關(guān)領(lǐng)域企業(yè)數(shù)量并不多，只有個別企業(yè)明確提出了ADR這一概念，而邊界無限就是這么一家將RASP技術(shù)提升至ADR的安全新銳，并憑借超強的技術(shù)前瞻性和對ADR的專注而入選ADR能力白皮書，并且成為國內(nèi)唯一被推薦的ADR代表廠商，其自主研創(chuàng)的靖云甲ADR更是被業(yè)界稱為應(yīng)用的“免疫血清”。

邊界無限副總裁、產(chǎn)品總負責人沈思源介紹說，靖云甲ADR基于RASP技術(shù)，以Web應(yīng)用為核心，以RASP為主要安全能力切入點，打造Web應(yīng)用全方位安全檢測與響應(yīng)的解決方案，是邊界無限幫助用戶構(gòu)建云原生時代安全基礎(chǔ)設(shè)施體系的起點和戰(zhàn)略支點，更是“靈動智御”理念的實踐。靖云甲ADR引入多項前瞻性的技術(shù)理念，通過對應(yīng)用風險的持續(xù)檢測和安全風險快速響應(yīng)，幫助企業(yè)應(yīng)對來自業(yè)務(wù)增長、技術(shù)革新和基礎(chǔ)設(shè)施環(huán)境變化所產(chǎn)生的等諸多應(yīng)用安全新挑戰(zhàn)。

邊界無限靖云甲ADR擁有資產(chǎn)管理、入侵檢測、漏洞管理和內(nèi)存馬防御等核心功能，具備免重啟、采樣決策分離、IT部署架構(gòu)、性能全面領(lǐng)先等核心優(yōu)勢，其應(yīng)用場景為業(yè)務(wù)在線修復、實戰(zhàn)攻防演練、惡意應(yīng)用攻擊和集團應(yīng)用安全建設(shè)能力等。

具體來說，在流量安全層面，邊界無限靖云甲ADR基于網(wǎng)格化流量采集，通過聯(lián)動應(yīng)用端點數(shù)據(jù)、應(yīng)用訪問數(shù)據(jù)，高效準確防御0day漏洞利用、內(nèi)存馬注入等各類安全威脅;在數(shù)據(jù)安全方面通過數(shù)據(jù)審計、治理、脫敏等安全技術(shù)，有效實現(xiàn)數(shù)據(jù)安全風險態(tài)勢的把控。在為企業(yè)提供全面的應(yīng)用安全保障的同時，ADR通過虛擬補丁、漏洞威脅情報、訪問控制等運營處置手段，有效提高安全運營的事件處置效率。這順應(yīng)了時下流行的安全技術(shù)趨勢，也滿足了廣大政企客戶的現(xiàn)實安全需求。

邊界無限靖云甲ADR擁有精準細化的資產(chǎn)清點、緊跟形式的安全研究、海量可靠的漏洞運營、輕量無感的性能損耗等優(yōu)點，尤其是在應(yīng)用資產(chǎn)管理、供應(yīng)鏈安全、API資產(chǎn)學習層面，表現(xiàn)優(yōu)異。靖云甲ADR跨IT架構(gòu)統(tǒng)計應(yīng)用資產(chǎn)，實現(xiàn)安全能力同步管控，為應(yīng)用提供安全風險評估;動態(tài)采集應(yīng)用運行過程中的組件加載情況，快速感知資產(chǎn)動態(tài)，全面有效獲知供應(yīng)鏈資產(chǎn)信息;自主學習流量+應(yīng)用框架，具體來說，靖云甲ADR會通過插樁對應(yīng)用內(nèi)部框架定義的API方法以及應(yīng)用流量進行API全量采集，同時利用AI 檢測引擎請求流量進行持續(xù)分析，自動分析暴露陳舊、敏感數(shù)據(jù)等關(guān)鍵問題。

此外，邊界無限靖云甲ADR采用“主被動結(jié)合”雙重防御機制，對外基于RASP能力對內(nèi)存馬的注入行為進行有效防御，對內(nèi)通過建立內(nèi)存馬檢測模型，通過持續(xù)分析內(nèi)存中存在的惡意代碼，幫助用戶解決掉埋藏內(nèi)存中的“定時炸彈”。針對內(nèi)存中潛藏的內(nèi)存馬，靖云甲ADR提供了一鍵清除功能，可以直接將內(nèi)存馬清除，實現(xiàn)對內(nèi)存馬威脅的快速處理。靖云甲ADR還可以通過主動攔截+被動掃描，有效阻斷內(nèi)存馬的注入;對已經(jīng)被注入的內(nèi)存馬提供源碼和特征檢測信息，無需重啟應(yīng)用即可一鍵清除。另外，靖云甲ADR采用“attach”等方式注入agent，無需重啟直接更新，以減少對業(yè)務(wù)運行的干擾。

截至目前，邊界無限已與關(guān)鍵基礎(chǔ)設(shè)施重要行業(yè)和領(lǐng)域的數(shù)十家客戶達成業(yè)務(wù)合作，相信隨著RASP以及ADR技術(shù)的進一步成熟，邊界無限將幫助各運營單位構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施整體應(yīng)用防控體系，不斷提升關(guān)鍵信息基礎(chǔ)設(shè)施安全應(yīng)用防護能力。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）