近日,中国数字产业领域第三方咨询机构数世咨询发布安全行业首份《ADR能力白皮书》,通过系统研究ADR的关键能力以及使用场景等,为广大政企客户构建整体应用防护体系提供参考和借鉴。白皮书还推荐了ADR领域的代表性厂商,作为一家专注于技术创新突破的安全新锐公司,边界无限凭借其被喻为应用“免疫血清”的靖云甲ADR成为唯一被推荐的国内公司。该ADR能力白皮书在CSA大中华区组织的CSA研讨会上首次发布。
Araali Network 是今年RSAC2022的创新沙盒10强,关注云原生场景下的应用运行时安全。其安全理念、技术框架、产品功能与本文提出的ADR十分相符。
举例来说,Araali首先会对应用的运行时环境进行持续扫描监测,以评估固有风险并确定其优先级。它会自动检测最易受攻击的应用程序、最有价值的应用程序,它还会查找具有过多特权、未使用的开放端口、磁盘上的密钥、特权过高的IAM配置,以分析潜在的攻击暴露面,逐步形成应用的安全运行基线。
在“检测”环节,Araali使用基于eBPF的控件来创建基于身份的行为模型,对出站的请求进行检测分析,并与外部威胁情报结合,在网络流程层面对恶意连接进行分析阻断。一旦发现可疑行为,Araali会将时间、客户端、服务、状态等完整上下文信息一同推送给安全运营团队,功能上甚至允许运营团队“重放”触发告警的行为动作,方便团队参考上下文顺序进行进一步关联分析。
在后续的“响应”部分,运营团队除了对事件中的单点威胁进行阻断外,还通过自动化、自适应的“弹性补丁”对风险点进行加固修复。这一部分能力,也是通过eBPF来实现。
基于上述能力,Araali实现了对0day漏洞的预防护。弹性补丁可以直接巩固强化应用的行为,从而防止潜在的利用0day入侵的威胁。官方宣称“一次响应,永久预防”。
针对0day等高级威胁的检测能力,以及不中断业务、弹性补丁等贴合用户实际需求的优势,是数世咨询将 Araali 列入代表企业的原因。
同数世咨询一样,Reveal Security也明确提出了ADR应用检测与响应的理念。
它认为,网络、终端、操作系统以及用户行为等维度,均已经有成型的安全检测与响应技术,但在应用层仍缺少有效的检测与响应手段,ADR应需而生。
Reveal 的核心技术理念,以分析用户访问应用的行为上下文为出发点,代替基于规则的应用安全检测,目的是提升应用检测的准确率,为之后的响应环节提供高效支撑。
在实现上,它放弃了之前只分析某个行为本身的做法,改为分析用户在应用中的一系列行为。通过行为上下文,找出不同于正常访问行为的异常特征session,进而发现潜在威胁。
Reveal强调并非要找到一个适用于所有用户的通用性行为,而是要通过机器学习形成针对每个用户的行为基线,因此,它会尽量多的获取各类日志信息,以聚类数据引擎对各类分组数据进行调度与分析,逐步形成用户的行为基线,进而发现异常威胁行为。
据Reveal宣称,其检测模型具有非常广泛的适应性,不依赖于应用中某个具体的运行环境。同时它的聚类分析引擎并不需要准确集群数量的先验知识,仍能保持准确性。
对应用行为数据的聚类分析,是RevealSecurity的亮点优势,也是ADR所需的关键能力之一,这也是数世咨询将其列入代表企业的原因。
边界无限作为国内新成立的安全创新企业,其团队核心成员来自腾讯玄武实验室和头部安全公司,具备很高的攻防起点,因此,0day、内存马等高级威胁检测场景是其RASP产品的优势之一,据了解,Log4j、Spring4shell等高危漏洞爆发时,他们的RASP产品靖云甲都成功检测并进行了拦截。
基于RASP技术,凭借攻防基因与技术优势,边界无限完善了应用运行时全流程全周期的安全防护能力,加入了多场景业务适配、虚拟补丁、编排模式等检测与响应能力。依托这些能力,用户可以快速聚焦攻击者,定位缺陷应用,进而提升团队的MTTD/MTTR时效。
具体以应用资产盘点能力举例来说,该能力以实战攻防演练为主要场景、以攻击面收敛为主要目的,除了常见的第三方组件库等应用资产,对应用间的API资产也能够持续发现与管理,对南北向之外的东西向流量,都可以做到覆盖与识别,进而梳理清楚应用间的访问关系。
今年,边界无限也提出了应用检测与响应ADR的理念,与数世咨询不谋而合。作为国内少有的ADR代表企业之一,数世咨询会对其持续关注。
诚如数世咨询ADR能力白皮书中所述,目前国内相关领域企业数量并不多,只有个别企业明确提出了ADR这一概念,而边界无限就是这么一家将RASP技术提升至ADR的安全新锐,并凭借超强的技术前瞻性和对ADR的专注而入选ADR能力白皮书,并且成为国内唯一被推荐的ADR代表厂商,其自主研创的靖云甲ADR更是被业界称为应用的“免疫血清”。
边界无限副总裁、产品总负责人沈思源介绍说,靖云甲ADR基于RASP技术,以Web应用为核心,以RASP为主要安全能力切入点,打造Web应用全方位安全检测与响应的解决方案,是边界无限帮助用户构建云原生时代安全基础设施体系的起点和战略支点,更是“灵动智御”理念的实践。靖云甲ADR引入多项前瞻性的技术理念,通过对应用风险的持续检测和安全风险快速响应,帮助企业应对来自业务增长、技术革新和基础设施环境变化所产生的等诸多应用安全新挑战。
边界无限靖云甲ADR拥有资产管理、入侵检测、漏洞管理和内存马防御等核心功能,具备免重启、采样决策分离、IT部署架构、性能全面领先等核心优势,其应用场景为业务在线修复、实战攻防演练、恶意应用攻击和集团应用安全建设能力等。
具体来说,在流量安全层面,边界无限靖云甲ADR基于网格化流量采集,通过联动应用端点数据、应用访问数据,高效准确防御0day漏洞利用、内存马注入等各类安全威胁;在数据安全方面通过数据审计、治理、脱敏等安全技术,有效实现数据安全风险态势的把控。在为企业提供全面的应用安全保障的同时,ADR通过虚拟补丁、漏洞威胁情报、访问控制等运营处置手段,有效提高安全运营的事件处置效率。这顺应了时下流行的安全技术趋势,也满足了广大政企客户的现实安全需求。
边界无限靖云甲ADR拥有精准细化的资产清点、紧跟形式的安全研究、海量可靠的漏洞运营、轻量无感的性能损耗等优点,尤其是在应用资产管理、供应链安全、API资产学习层面,表现优异。靖云甲ADR跨IT架构统计应用资产,实现安全能力同步管控,为应用提供安全风险评估;动态采集应用运行过程中的组件加载情况,快速感知资产动态,全面有效获知供应链资产信息;自主学习流量+应用框架,具体来说,靖云甲ADR会通过插桩对应用内部框架定义的API方法以及应用流量进行API全量采集,同时利用AI 检测引擎请求流量进行持续分析,自动分析暴露陈旧、敏感数据等关键问题。
此外,边界无限靖云甲ADR采用“主被动结合”双重防御机制,对外基于RASP能力对内存马的注入行为进行有效防御,对内通过建立内存马检测模型,通过持续分析内存中存在的恶意代码,帮助用户解决掉埋藏内存中的“定时炸弹”。针对内存中潜藏的内存马,靖云甲ADR提供了一键清除功能,可以直接将内存马清除,实现对内存马威胁的快速处理。靖云甲ADR还可以通过主动拦截+被动扫描,有效阻断内存马的注入;对已经被注入的内存马提供源码和特征检测信息,无需重启应用即可一键清除。另外,靖云甲ADR采用“attach”等方式注入agent,无需重启直接更新,以减少对业务运行的干扰。
截至目前,边界无限已与关键基础设施重要行业和领域的数十家客户达成业务合作,相信随着RASP以及ADR技术的进一步成熟,边界无限将帮助各运营单位构建关键信息基础设施整体应用防控体系,不断提升关键信息基础设施安全应用防护能力。
