行業(yè)首部《數(shù)字安全藍皮書》發(fā)布 邊界無限領航RASP賽道

摘要:應用安全防護最優(yōu)解

近日,國內(nèi)數(shù)字化產(chǎn)業(yè)第三方調(diào)研與咨詢機構數(shù)世咨詢和CIO時代聯(lián)合主辦的第四屆數(shù)字安全大會在北京隆重召開,大會中重磅發(fā)布了由數(shù)世咨詢牽頭聯(lián)合產(chǎn)業(yè)、學術、政府部門等智慧編制的國內(nèi)首本《數(shù)字安全藍皮書》。

《數(shù)字安全藍皮書》對數(shù)字安全技術與產(chǎn)業(yè)的現(xiàn)狀,以及數(shù)字安全的理念定義、本質(zhì)特征作出了梳理和闡述,旨在探討數(shù)字安全內(nèi)涵、明晰數(shù)字安全的重要性并凝聚產(chǎn)業(yè)共識的著作,構建溝通與探討的語言,統(tǒng)一產(chǎn)業(yè)思想、集中技術資源,使數(shù)字安全發(fā)展不偏航、不出軌,穩(wěn)定、持續(xù)地助力數(shù)字中國建設。北京邊界無限科技有限公司(邊界無限,BoundaryX)憑借深厚技術積淀以及在應用運行時自保護(RASP)領域的銳意創(chuàng)新,獲評RASP賽道領航者。

《數(shù)字安全藍皮書》明確了運行時應用自保護(RASP)的定義、核心能力、應用場景等內(nèi)容。

RASP定義

RASP(Runtime Application Self-Protection,運行時應用自保護)指一種安全技術,能被構建或連接到應用程序或應用程序的運行環(huán)境中,并能夠控制應用程序的執(zhí)行并實時檢測和防止攻擊。

核心能力

探針:根據(jù)不同計算機語言開發(fā)相對應的探針,如常見的 Java、Golang、Python、PHP(頁面超文本預處理器)等計算機語言。在不同語言中使用的探針是不同的,RASP依賴于向應用程序注入的探針,利用探針對不同語言虛擬機敏感方法進行插樁,在進行插樁之后就能獲取應用程序執(zhí)行上下文及參數(shù)信息。

高級威脅檢測:具備對0day漏洞、內(nèi)存馬等高級威脅的檢測技術和能力。針對0day漏洞,RASP對應用程序中的關鍵執(zhí)行函數(shù)進行監(jiān)聽,同時結合上下文信息進行判斷,因此能夠更加全面地覆蓋攻擊路徑,進而從行為模式層面,對0day漏洞進行有效感知,彌補傳統(tǒng)流量規(guī)則檢測方案無法實現(xiàn)的未知漏洞攻擊防御。針對內(nèi)存馬,RASP首先可通過建立內(nèi)存馬檢測模型,持續(xù)檢測內(nèi)存中可能存在的惡意代碼,覆蓋大部分特征已知的內(nèi)存馬。其次,RASP可以對內(nèi)存馬注入可能利用到的關鍵函數(shù)進行實時監(jiān)測,從行為模式層面以“主被動結合”的方式發(fā)現(xiàn)內(nèi)存馬,以此覆蓋剩余的特征未知的內(nèi)存馬。

響應阻斷與修復:在應用內(nèi)部,基于應用訪問關系,梳理應用的拓撲關系與數(shù)據(jù)流,逐步形成應用的安全運行基線,降低在不同應用區(qū)域間潛在的攻擊者橫向移動風險。

應用場景

攻防實戰(zhàn)演練

伴隨著演習經(jīng)驗的不斷豐富,攻擊隊更加專注于應用安全的研究,在演習中經(jīng)常使用供應鏈攻擊等迂回手法來挖掘出特定0day漏洞,由于攻防對抗技術不對等,導致防守方經(jīng)常處于被動劣勢。此時,用戶可通過部署和運營RASP,搶占對抗先機。

演練前,可梳理應用資產(chǎn),收斂潛在攻擊暴露面。RASP可進行應用資產(chǎn)梳理,形成應用資產(chǎn)清單,明確應用中間件的類型、運行環(huán)境、版本信息等關鍵信息。同時,通過漏洞發(fā)現(xiàn)、基線安全等檢測功能,結合修復加固手段對問題逐一整改,消除應用安全隱患,使應用安全風險維持在可控范圍。

演練中,可持續(xù)檢測與分析,實現(xiàn)有效防御與溯源。RASP通過探針對應用程序的訪問請求進行持續(xù)監(jiān)控和分析,結合應用上下文和攻擊檢測引擎,使得應用程序在遭受攻擊,特別是0day、內(nèi)存馬等高級別攻擊時能夠?qū)崿F(xiàn)有效的自我防御。另外,RASP可以從多維度捕獲攻擊者信息,聚合形成攻擊者畫像,同時溯源整個攻擊到防御的閉環(huán)過程。

演練后,結合上下文信息,全面提高應用安全等級。RASP不僅關注攻擊行為中的指令和代碼本身,還關注涉及到的上下文。因此安全人員可以通過RASP提供的調(diào)用堆棧信息等內(nèi)容,推動研發(fā)人員進行代碼級漏洞修復,調(diào)整安全策略,進行整體加固,全面提高應用安全等級。同時,RASP支持攻擊事件統(tǒng)計分析和日志功能,幫助安全人員快速整理安全匯報材料,顯著地提升安全運營工作效率。

業(yè)務在線修復

研發(fā)團隊會引入第三方組件庫來加速軟件開發(fā)過程,且在已知代碼存在安全風險的情況下,推入生產(chǎn)環(huán)境,造成更多漏洞積壓,且上線后安全訴求因排期等問題無法修復。企業(yè)可部署RASP,設定符合組件漏洞特征的專屬漏洞補丁,無需業(yè)務重啟即可實現(xiàn)在線修復。

邊界無限明星產(chǎn)品靖云甲ADR應用檢測與響應系統(tǒng)基于RASP技術,以云原生為場景,以數(shù)據(jù)鏈路為核心,以流量安全、API安全和數(shù)據(jù)安全作為安全能力切入點,引入多項前瞻性的技術理念,通過對應用風險的持續(xù)檢測和安全風險快速響應,幫助企業(yè)應對來自業(yè)務增長、技術革新和基礎設施環(huán)境變化所產(chǎn)生的等諸多應用安全新挑戰(zhàn),獲評RASP領航者的稱號可謂是實至名歸。

靖云甲ADR核心能力:

0day漏洞無規(guī)則防御,采用RASP技術,無需任何規(guī)則即可實現(xiàn)0day漏洞攔截,可天然免疫業(yè)界90%以上0day漏洞。

內(nèi)存馬免重啟查殺:應用內(nèi)存級別的內(nèi)存馬查殺,有效提高檢測效率和準確性,無需重啟業(yè)務一鍵清除內(nèi)存馬。

組件庫動態(tài)采集管理:采用動態(tài)捕獲技術,在應用運行過程中自動收集并展示第三方組件信息及調(diào)用情況,實現(xiàn)供應鏈資產(chǎn)的清點和管理。

API和敏感數(shù)據(jù)清點:采用“流量+框架”的雙層檢測機制,更細顆粒度地采集API資產(chǎn),并內(nèi)置敏感數(shù)據(jù)檢測模型。

靖云甲ADR典型應用場景:

攻防演練:在HW或?qū)崙?zhàn),靖云甲ADR可視為RASP2.0,以探針形式注入應用,對內(nèi)存馬、0Day漏洞這兩個最令人頭疼的問題,ADR的防護作用獨樹一幟。在演練場景或是實際攻防,如被內(nèi)存馬注入,靖云甲ADR還可以作為清除內(nèi)存馬的應急手段。

供應鏈風險治理:不僅可以幫助用戶防護OA、財務系統(tǒng)、報表、應用集權和研發(fā)系統(tǒng)、中間件等(如泛微、致遠、用友等)容易被攻擊的系統(tǒng),還可以加強開源組件庫風險治理,洞悉應用運行時的組件調(diào)用關系,將組件漏洞分類分級,為研發(fā)及第三方修補提供依據(jù)。

云上應用安全防護:適應復雜IT環(huán)境,實現(xiàn)統(tǒng)一管控策略,打破云邊界,提高安全水平,應用發(fā)布即可免疫0day漏洞,確保發(fā)布即安全。

老舊業(yè)務風險治理:不需要任何代碼改動的情況下將安全防護能力注入老舊業(yè)務中,消除由于老舊代碼無人維護,需要長期“負傷”運行的安全風險,特別是早期采購的業(yè)務系統(tǒng),往往出現(xiàn)沒有源碼難以自行維護的情況,ADR可以采用虛擬補丁技術,保障老舊業(yè)務平穩(wěn)運行。

API安全水位提升:ADR嵌入應用內(nèi)部,可全量盤點API資產(chǎn),發(fā)現(xiàn)影子API、僵尸API,提高安全防護水平。

整體應用安全能力增強:已經(jīng)部署WAF、SOC、HIDS等的客戶,可與ADR聯(lián)防聯(lián)控、內(nèi)外結合、縱深防御,補足短板。

在實戰(zhàn)演練長常態(tài)化的今天,RASP作為應用0day漏洞防御、內(nèi)存馬注入防御等高危風險的領防技術,已經(jīng)被客戶廣泛認可,邊界無限連續(xù)中標三大金融客戶及核心能源央企RASP建設項目便是最有力的證明。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。 )