曾几何时,黑客攻击大多通过网络层进行,但随着基于网络层的基础安全防护措施趋于严密,防火墙、入侵防御、防病毒等安全软硬件构建起了相对完善的防护体系,想再从网络层钻空子的难度增大。如今,黑客攻击从网络层转入Web为主,传统安全体系越来越捉襟见肘。当前很多政企客户的安全关注点就在于应用安全,迫切需要针对Web应用层提供更新的解决办法,这是安全业界新的课题。
随着新兴技术的快速发展,网络应用类别越来越多,应用复杂度也越来越高,单纯解决网络层的安全已经无法防御黑客的新型攻击,必须高度重视维护关键应用的安全。这是因为Web应用程序无处不在,在大多数情况下是公司的核心组件。由于各种原因,它们经常获取、处理、存储和传输敏感数据(如机密业务信息、员工信息、客户个人数据、财务信息等)。Web应用程序成为网络犯罪分子获取敏感信息,入侵您的组织的最简单的途径之一。因此,对于Web应用安全的关注度更加热切。
随着越来越多的企业将核心业务系统转移到网络上,Web浏览器成为业务系统的主要入口。在这种背景下,如何保障企业的应用安全,尤其是Web应用安全,成为信息安全保障的关键所在。一份来自某国际知名咨询公司的分析报告指出,在调查的企业数据中心中,92%的Web应用存在安全缺陷,80%存在跨站攻击的风险,而高达62%存在SQL注入漏洞。同时,专门针对应用层进行攻击的手段也日益增多,防范起来越来越困难。值得注意的是,网络应用之所以不安全,其中一个关键因素是应用程序本身的安全性问题,给黑客攻击留下了可乘之机。
未来,更多的业务将以Web应用方式呈现,信息安全也必将从以边界防护为主向应用自身安全防护为主过渡,同时众多政企客户将加强各个应用安全防护产品的联防联控,形成整体应用防护的纵深防御体系。
对Web应用的攻击不曾停止,应用安全防护技术的进化也一直在持续。从传统的IPS防火墙,再到WAF(Web应用防火墙)的横空出世,引领技术趋势若干年,这一阶段可以称为应用安全防护1.0时代。尤其是WAF作为一款成熟的网站防护产品,一度成为企业为Web应用提供安全防护的必备利器。它能够抵御定向的Web技术攻击、部分业务逻辑攻击以及海量肉鸡的恶意访问。通过对Web应用的深入解析和检测, 能够阻拦SQL注入、跨站脚本攻击,阻止恶意扫描等常见Web攻击并提供修补漏洞的能力。
近年来,随着云计算市场的火热,WAF有了一种新的接入方式:云部署。通过简单的DNS记录变更,将流量引入到云端防护集群,经过安全防护检测后,将安全流量回源到服务器。相比于硬件WAF,云WAF拥有零部署、零安装、快速稳定等优势,并可将防护能力自动扩展、与云上网站共享、集群弹性扩容、轻松应对海量业务下的防护。越来越多的企业开始考虑购买云WAF产品。除了专业WAF厂商外,目前主要的云供应商都通过收购或者研发丰富了自己的WAF产品,它们与服务商自己的负载均衡器很好地集成在一起。但根据最新的调查报告,WAF产品的有效性和客户满意度的表现越来越令人失望。虽然WAF目前是企业应用安全策略的主力产品,但事实是,大多数企业都难以充分利用此类产品。
拥有WAF并不意味着应用安全防护可以一劳永逸。WAF的优点是可以进行流量告警,通常的安装方式是将WAF串行部署在Web服务器前端,用于检测、阻断异常流量,对全流量进行分析。但是WAF的缺点更让企业头痛,易被绕过、误报率高、维护成本高、需要不断更新规则库、出现0day不能及时防御等都让安全部门极为苦恼。
由于传统WAF基于规则构建安全策略,只要针对Web服务器、Web应用对协议解析、字符解析、文件名解析、编码解析以及SQL语法解析的差异进行变形,就可能达到绕过WAF的效果。同时,传统WAF无法对新型的攻击进行有效的识别和阻断。目前市面上大多数的WAF都是基于规则匹配的,但规则的更新往往是滞后于攻击发生,例如:0day漏洞攻击,没有预配置的规则,只能在漏洞披露后,依据漏洞特征建立防护规则。此外,传统WAF对攻击的识别来自于已经设定好的规则库,对于看似“正常”的业务逻辑漏洞却无能为力。例如越权操作,入侵者可以用低权限账号登陆系统后,通过拦截并修改用户参数,以达到查看或者修改其它权限账号的目的,而传统WAF并不能识别这一看似正常的操作。
可以这么说,WAF代表了应用安全防护1.0时代的最高水平,但随着攻击手段的不断更新,应用安全防护应该具备检测与响应能力,并契合内生安全理念,实现应用程序的自我防护,尤其是业务上云之后。
随着企业深度用云以及云原生应用的快速普及,云上复杂性提升,导致网络攻击面倍增,也伴生出新的安全风险。既然WAF在防护范围和防护能力上存在局限,难以应对复杂的网络攻击形势,于是很多厂商极力倡导WAAP成为革新必然。WAAP核心功能包括Web应用防火墙、API保护、Bot防护和七层DDoS攻击防护,进一步扩展了云上应用安全防护范围和安全深度。但WAAP目前仍存在一个很大的问题,那就是Web应用防护仍主要依靠边界防护手段,并未形成应用的自我防护机制。
大家对WAF、Bot防护、DDoS攻击防护已经比较熟悉,在此不多赘述。以API防护为例,随着API广泛应用于各个在线业务,涉及交易、账号敏感相关的环节都备受灰黑产关注,在线业务欺诈风险骤升。黑灰产已高度成熟,通过大量自动化、流程化的方式进行业务欺诈,并贯穿于整个在线业务场景。在注册、登录、营销场景下,自动化攻击占比均在50%以上。绝大多数企业对自身API资产现状不清,大量僵尸API、影子API存在,使敏感数据暴露在API之上,给攻击者留下了突破口。同时API没有上下文,攻击成本较低,攻击者通过简单的网络请求即可获取数据或者进行攻击。但目前,广大客户的API防护还是依靠API网关等设备,并未真正解决API防护的“最后一公里”问题。
那如何从应用自身加强防护,从而跟边界防护产品形成互动与联防,真正做到内外兼顾,纵深防御呢?Gartner引领的关键技术趋势可以给我们一定的借鉴意义。早在2014年,Gartner引入了“RASP-Runtime application self-protection”这一概念,它是一种新型应用安全保护技术,它将保护程序像“免疫血清”一样注入到应用程序中,与应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力。Log4j2等“核弹级漏洞”的爆发,使RASP技术迅速升温,填补了市场在应用层防护的空白,但技术的演进并未停止。
2022年12月,在国内知名安全咨询公司数世咨询发布的行业首份《ADR能力白皮书》中首次提出ADR这一新赛道,通过系统研究ADR的关键能力以及使用场景等,为广大政企客户构建整体应用防护体系提供参考和借鉴。ADR类产品基于RASP,并在其基础上增加了开源风险治理、API资产梳理(可以从应用内部洞悉全量API资产)、中间件基线、应用基线等持续检测和环境安全功能,可以视作RASP2.0,并可与WAF等传统安全产品形成纵深防御体系,达到应用安全“内外兼顾”的效果。这代表了应用安全防护的最新趋势,将应用安全由之前以边界防护为主的1.0时代提升至内外结合、持续检测与响应的2.0时代,打造了应用安全防护的新范式。
当前,安全行业需要革新安全理念、技术和模式,将人工智能、云原生等新技术应用到网络安全防护中,实现对网络威胁的预先研判、智能防护和自动抵御,有效提升安全威胁检测、应急处置和追踪溯源能力,实现从事后补救到安全前置,从局部分割到全面防护,从被动安全到主动安全的转变,以便构筑起主动、智能、全面的应用安全防护体系。结合敏锐的市场洞察力以及多年的攻防经验积淀,北京边界无限科技有限公司(边界无限,BoundaryX)基于RASP和云原生技术推出了靖云甲ADR应用安全检测与响应系统。
边界无限靖云甲ADR基于RASP技术,以云原生为场景,以数据链路为核心,以流量安全、API安全和数据安全作为安全能力切入点,引入多项前瞻性的技术理念,通过对应用风险的持续检测和安全风险快速响应,帮助企业应对来自业务增长、技术革新和基础设施环境变化所产生的等诸多应用安全新挑战
在流量安全方面,靖云甲ADR基于网格化流量采集,通过联动应用端点数据、应用访问数据,高效准确防御0day漏洞利用、内存马注入等各类安全威胁;在数据安全方面通过数据审计、治理、脱敏等安全技术,有效实现数据安全风险态势的把控。在为企业提供全面的应用安全保障的同时,靖云甲ADR通过虚拟补丁、漏洞威胁情报、访问控制等运营处置手段,有效提高安全运营的事件处置效率。这顺应了时下流行的安全技术趋势,也满足了广大政企客户的现实安全需求。
靖云甲ADR拥有精准细化的资产清点、紧跟形式的安全研究、海量可靠的漏洞运营、轻量无感的性能损耗等优点,尤其是在应用资产管理、供应链安全、API资产学习层面,其表现优异。靖云甲ADR跨IT架构统计应用资产,实现安全能力同步管控,为应用提供安全风险评估;动态采集应用运行过程中的组件加载情况,快速感知资产动态,全面有效获知供应链资产信息;自主学习流量加应用框架,具体来说,靖云甲ADR会通过插桩对应用内部框架定义的API方法以及应用流量进行API全量采集,同时利用AI检测引擎请求流量进行持续分析,自动分析暴露陈旧、敏感数据等关键问题。
靖云甲ADR的技术领先优势已经被业界广泛认可。在客户层面,广大政企客户均加大了对RASP技术的研究和引进力度,其中金融行业匹马当先,运营商、能源电力、大型央企及互联网企业等也在迅速跟进。在国产化层面,边界无限靖云甲ADR也取得了不错的进展,已经相继完成在银河麒麟和兆芯、龙芯、鲲鹏等CPU环境下的交叉测试,均可稳定高效运行。在国产中间件领域,靖云甲ADR已经相继完成了针对宝蓝德BES以及东方通Tongweb的兼容性测试,各项功能及防护能力均可稳定高效运行。
边界无限凭借靖云甲ADR在国际领先的IT市场研究和咨询公司IDC发布的《IDC Innovators:中国云原生安全技术,2023》报告中获得云原生安全技术的创新者称号;在国内知名研究机构数世咨询发布的安全行业首份《ADR能力白皮书》中,成为唯一被推荐的国内代表厂商;也是顺利通过信通院首批“运行时应用程序自我保护(RASP)工具能力评估”认证的厂商。近日,在数字咨询举办的第三届数字安全大会上,边界无限获得ADR赛道领航者的称号。靖云甲ADR的整体实力已经受到国内外咨询机构的权威认可,可以说是在行业内独领风骚。
综合而言,现在国内的Web应用安全仍在探索和实践阶段。传统网络安全防御体系刚刚完成闭环的安全周期,明确了以资产为保护核心的理念,而之后向Web应用安全转化和发展是需要一个过程和周期。但黑客对Web应用的新型攻击已经兵临城下,这不仅需要广大客户在Web应用安全方面进行大力投入,还要充分了解未来Web应用防护的技术趋势,在以ADR、WAAP等新技术加大Web应用安全方面防护措施投入的同时,结合原来的网络层安全防御体系,达到更加理想的安全防护效果,将黑客对Web应用的攻击损失减少到最小。
边界无限联合创始人、CTO王佳宁表示,传统边界防护方案很容易被绕过,应用将成为用户防护的“最后一道防线”,边界无限引领应用安全新趋势的靖云甲ADR主攻应用检测与响应,可与WAF形成纵深防御体系,联防联控,动态防御,助力广大客户建设纵深防护体系和整体防护体系,从而实现真正的动态全方位防护,实现关基业务“零关停”、“少关停”。未来,边界无限将持续加大在应用安全和云原生安全上的投入力度,为广大客户在云时代的应用安全防护升级和云原生安全体系建设添砖加瓦。
