做安全的人应该都对WAF耳熟能详,也就是我们常说的Web应用防火墙,成为了应用安全防护的明星产品之一。从传统的防火墙、IDS、IPS,再到WAF横空出世,引领技术趋势若干年,这一阶段可以称为应用安全防护1.0时代。作为一款成熟的Web应用防护产品, WAF一度成为企业为Web应用提供安全防护的必备利器,但技术的演进并未由此停止。
Log4j2等“核弹级漏洞”的爆发,使RASP技术迅速升温,填补了市场在应用层防护的空白,很多人喜欢把RASP称为下一代WAF,但实际并不是,RASP更像是WAF的“拍档”。
时间来到2022年12月,国内知名安全咨询公司数世咨询发布行业首份《ADR能力白皮书》中首次提出ADR这一新赛道。ADR类产品基于RASP,并在其基础上增加了开源风险治理、API资产梳理(可以从应用内部洞悉全量API资产)、中间件基线、应用基线等持续检测和环境安全功能,ADR被视作RASP2.0。
那么,问题来了,RASP并非下一个WAF,在RASP基础上全面升级的ADR,跟WAF是何种关系?它会取代WAF,成为广大政企客户应用安全防护的“新宠”吗?这是一个严肃的话题。
WAF的全称是Web Application Firewall,即Web应用防火墙。国际上公认的一种说法是:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。WAF是集Web防护、网页保护、负载均衡、应用交付于一体的Web整体安全防护设备。
RASP的全称是Runtime Application Self-Protection,即运行时应用自我保护。它是一种应用程序安全保护技术,可以在应用程序运行时检测和防御各种攻击,包括代码注入、SQL注入、跨站点脚本攻击(XSS)和跨站点请求伪造(CSRF)等。通过注入安全疫苗的方式将防护引擎嵌入到应用内部,与应用程序融为一体,使应用程序具备自我防护能力,对0day漏洞、内存马等攻击实现免疫防护。
ADR的全称是Application Detection and Response,即应用检测与响应。它是以Web应用为主要对象,采集应用运行环境与应用内部中用户输入、上下文信息、访问行为等流量数据并上传至分析管理平台,辅助威胁情报关联分析后,以自动化策略或人工响应处置安全事件的解决方案。ADR以Web应用为核心,以RASP为主要安全能力切入点,通过对应用流量数据中潜在威胁的持续检测和快速响应,帮助用户应对来自业务增长、技术革新和基础设施环境变化所产生的诸多应用安全新挑战。在安全检测方面,ADR基于网格化的流量采集,通过应用资产数据、应用访问数据、上下文信息等,结合外部威胁情报数据,高效准确检测0day漏洞利用、内存马注入等各类安全威胁;在安全响应方面,ADR基于场景化的学习模型,实现应用资产的自动发现与适配,自动生成应用访问策略,建立可视化的应用访问基线,发现安全威胁时,通过虚拟补丁、访问控制等安全运营处置手段,有效提高事件响应的处置效率。
ADR和WAF都是用于Web应用安全的防御措施,总体而言,它们有以下几点区别。
部署位置不同:WAF在应用程序与客户端之间部署,可以检查和过滤所有进出应用程序的网络流量,而ADR是在应用程序内置的模块中运行,直接监控应用程序运行状态,可以实时检测漏洞和攻击。
防御方式不同:WAF主要是通过规则匹配和过滤来防御攻击,属于一种被动的防御方式。而ADR是采用主动防御方式,可以及时检测恶意行为并拦截攻击,能够更好地预防漏洞攻击。
实现方式不同:WAF可以作为独立设备,也可以部署在网关、交换机或负载均衡设备上,适用于多种类型的Web应用程序。而ADR需要内置在Web应用程序中,为每个应用程序单独部署。
虽然存在诸多不同,但ADR和WAF也存在一些结合点。例如,可以将ADR作为WAF的一部分,在流量检测和防御的同时,对应用程序进行实时监控和保护。另外,ADR和WAF均可以通过监视应用程序的行为和流量,发现并拦截恶意代码、SQL注入、跨站点脚本等攻击。
综上所述,ADR和WAF都是用于保护Web应用程序的安全防御措施,部署位置和防御方式不同,但可以结合使用来提高Web应用程序的安全性。ADR直接内置于应用程序中,可以实时检测漏洞和拦截攻击,WAF则部署在应用程序与客户端之间,通过规则匹配和过滤来防御攻击。在整体应用防护场景下,ADR可与WAF结合,实现流量检测和应用程序保护的双重防御,从而达到联防联控、纵深防御的效果。
不得不提的是,ADR和WAF存在根本的差异:WAF的目的是发现可疑的流量,ADR则是发现具有威胁的行为。近期几次大的0day漏洞爆发事件,ADR因其天然优势,在防护未知攻击方面发挥了重要的作用,但ADR并不是要取代WAF,两者是完全不同的技术,各有各的优势。传统的WAF像是给应用穿上一层盔甲,而ADR作为应用内部运行时防护,更像是给应用注射了“免疫血清”,使安全成为应用的内生基因,给应用实施全方位保护。
在产品部署方面,首先企业不应期望于某个安全产品能够实现所有的安全需求;其次,在选择一项新的安全产品时,要找准新产品的能力价值,尽量与原有的安全能力互补形成合力,同时避免能力冗余。这就使ADR与WAF的结合成为水到渠成的事情。ADR作为运行时防护,与传统应用防护、主机防护类产品的定位有明显的差异,在安全防御系统中,可以与WAF等传统边界防护系统组合形成更加体系化的纵深防护能力。
对于已有WAF产品的用户,采用ADR不但不与WAF重叠,还可以为Web应用访问增强最后一道安全防线;同样,与云原生或云计算主机集成,也可以对传统主机防护能力进行增强。同时,ADR与传统防护产品的处置方式和部署方式不同,无法与传统产品统一部署,但在态势分析和管理方面可以与其它风险采集系统统筹考虑,实现综合分析和联动处置。此外,为了更顺利地应用ADR,建议应用前一般要在测试环境下验证,确保没有影响后再切换到生产环境;对于没有验证环境的,在安装过程中要做好回退机制,在安装失败时能保证恢复到插桩前的状态。特别值得指出的是,很多主机侧安全厂商会给客户灌输结合HIDS产品“无感”部署RASP或ADR产品的思想,这一思路虽然解决了快速部署的问题,但不经过测试环境的功能性、兼容性以及资源占用等验证,将给客户带来极大的潜在风险。这是因为ADR不同于WAF,部署在应用内部,在生产、业务环境与应用无缝结合,盲目强推会给业务带来巨大的威胁,务必慎重。因此我们建议在测试环境结合业务应用对ADR进行充分的功能、性能验证,并在业务网、生产网规模部署之前在边缘业务业务系统进行实网试用,真正保障业务不受影响的前提下,使ADR能充分匹配、适应不同客户的不同网络环境及业务逻辑,从而真正契合内生安全的理念,在应用内部提升自免疫能力。
不能忽视的是,有别于WAF,未来ADR在应对攻防对抗这种场景应用的机会会更多。但是随着业务云化和安全左移能力的增强,未来用户对应用程序的安全防护和应用层数据保护的要求会越来越强。同时,也会要求ADR提供更多维度的Detection和Response能力。其次,ADR可以与诸多安全能力在不同场景下形成合力。
与 SCA 融合。可以形成运行时SCA检测能力。在应用程序上线后进行应用软件成分分析,检测那些开发环节不受控,成分不清晰的构建包、软件制品。这在一定程度上融合了SCA的能力,但从应用场景看,与开发阶段应用的SCA并不会冲突。尤其是ADR与运行时态的SCA结合,可以更全面地洞悉应用调用了哪些组件库,并且可把被真正使用的组件库清晰地陈列出来,帮助客户更好地实现漏洞分级分类治理。
与WAAP结合。可以进一步检测遗留或长期潜伏的API。目前的WAAP多是通过网络侧流量进行API检测,对应用程序中潜伏的影子API无能为力,ADR可以在端侧为WAAP增强 API检测能力和全量API资产梳理能力。同时,WAAP核心功能包括Web应用防火墙、API保护、Bot防护和七层DDoS攻击防护,进一步扩展了云上应用安全防护范围和安全深度。但WAAP目前仍存在一个很大的问题,那就是Web应用防护仍主要依靠边界防护手段,并未形成应用的自我防护机制,ADR则可更有效地加强此方面的能力,即在运行时态实现应用自免疫。
与容器安全、云原生安全能力(如微隔离)深度融合。随着业务上云趋势愈演愈烈,未来安全技术必须考虑容器化部署以及云原生安全能力,可以预见,未来ADR技术将向云原生应用程序保护平台( CNAPP )的方向发展演进。
随着企业深度用云以及云原生应用的快速普及,云上复杂性提升,导致网络攻击面倍增,也伴生出新的安全风险。安全行业需要革新安全理念、技术和模式,将人工智能、云原生等新技术应用到网络安全防护中,实现对网络威胁的预先研判、智能防护和自动抵御,有效提升安全威胁检测、应急处置和追踪溯源能力,实现从事后补救到安全前置,从局部分割到全面防护,从被动安全到主动安全的转变,以便构筑起主动、智能、全面的应用安全防护体系。结合敏锐的市场洞察力以及多年的攻防经验积淀,北京边界无限科技有限公司(边界无限,BoundaryX)基于RASP和云原生技术推出了靖云甲ADR应用检测与响应系统,这是一款值得用户重点关注的产品。靖云甲ADR是针对应用运行时安全防护的颠覆性解决方案,更是边界无限打造云原生应用整体防护平台的起点和战略支点,为云时代应用安全提供实时保障。
边界无限靖云甲ADR应用检测与响应系统基于RASP技术,以云原生为场景,以数据链路为核心,以流量安全、API安全和数据安全作为安全能力切入点,引入多项前瞻性的技术理念,通过对应用风险的持续检测和安全风险快速响应,帮助企业应对来自业务增长、技术革新和基础设施环境变化所产生的等诸多应用安全新挑战。
在流量安全方面,靖云甲ADR基于网格化流量采集,通过联动应用端点数据、应用访问数据,高效准确防御0day漏洞利用、内存马注入等各类安全威胁;在数据安全方面,靖云甲ADR通过数据审计、治理、脱敏等安全技术,有效实现数据安全风险态势的把控。在为企业提供全面的应用安全保障的同时,靖云甲ADR通过虚拟补丁、漏洞威胁情报、访问控制等运营处置手段,有效提高安全运营的事件处置效率。这顺应了时下流行的安全技术趋势,也满足了广大政企客户的应用安全防护的真实需求。
内存马免重启查杀。边界无限靖云甲ADR采用“主被动结合”双重防御机制,对外基于RASP能力对内存马的注入行为进行有效防御,对内通过建立内存马检测模型,通过持续分析内存中存在的恶意代码,帮助用户解决掉埋藏内存中的“定时炸弹”。针对内存中潜藏的内存马,靖云甲ADR提供了一键清除功能,可以直接将内存马清除,实现对内存马威胁的快速处理。靖云甲ADR还可以通过主动拦截+被动扫描,有效阻断内存马的注入;对已经被注入的内存马提供源码和特征检测信息,无需重启应用即可一键清除。另外,靖云甲ADR采用“attach”等方式注入agent ,无需重启直接更新,以减少对业务运行的干扰。
0Day 漏洞无规则防御。边界无限靖云甲ADR采用RASP应用运行时监控技术,实现资产的精准采集,自动化高效地响应,构建了0day漏洞原生免疫,结合语义分析技术,同时实现漏洞的精准防御,大大降低了无效告警。靖云甲ADR可有效解决90%的0day漏洞,内存马注入防御、Webshell检测、反序列化漏洞等功能100%完善,应用运行时风险降低95%以上,且具有高精准度,近乎零误报。
组件库动态采集管理。边界无限靖云甲ADR采用动态捕获技术,在应用运行过程中自动收集并展示第三方组件信息及调用情况,快速感知资产动态,全面有效获知供应链资产信息,实现供应链资产的清点和管理;消除资产盲区,实现资产有效管理,让安全防护覆盖到资产的每一个角落。
API 和敏感数据清点。边界无限靖云甲ADR拥有精准细化的资产清点、紧跟形式的安全研究、海量可靠的漏洞运营、轻量无感的性能损耗等优点,尤其是在应用资产管理、供应链安全、API资产学习层面,其表现优异。靖云甲ADR跨IT架构统计应用资产,实现安全能力同步管控,为应用提供安全风险评估;自主学习流量加应用框架,具体来说,靖云甲ADR会通过插桩对应用内部框架定义的API方法以及应用流量进行API全量采集,同时利用AI检测引擎请求流量进行持续分析,自动分析暴露陈旧、敏感数据等关键问题。
边界无限在RASP基础上推出靖云甲ADR应用检测与响应方案并进而向云原生应用整体防护平台演进,深受业界各方认可,这面对的是一个全新的市场和赛道,边界无限已经凭借多年攻防经验积淀以及技术创新优势取得杆位,连续在各大标杆客户测试中夺魁并获得连续数轮数千万元融资,这都是最好的见证。希望在应用安全及云原生领域,边界无限能够塑造新的安全行业传奇。
