ADR關鍵發現
應用檢測與響應(Application Detection and Response – ADR)是指以Web應用為主要對象,采集應用運行環境與應用內部中用戶輸入、上下文信息、訪問行為等流量數據并上傳至分析管理平臺,輔助威脅情報關聯分析后,以自動化策略或人工響應處置安全事件的解決方案。
ADR以Web應用為核心,以RASP為主要安全能力切入點。
作為安全關鍵基礎設施,ADR能夠與WAF、HDR、IAST等多個安全能力形成有機配合。
ADR 的五大關鍵技術能力:探針(Agent)、應用資產發現、高級威脅檢測、數據建模與分析、響應阻斷與修復。
對0day漏洞、無文件攻擊等高級攻擊威脅的檢測與響應已經成為ADR的關鍵能力之一。
ADR廠商將與公有云廠商、各行業云廠商建立更加深入的合作關系,逐步加快ADR在各行業的集中部署。
ADR應用場景
關鍵安全基礎設施
與WAF等邊界產品配合,實現縱深防護體系
WAF部署在網絡邊界,ADR部署在應用層。WAF容易被繞過,而ADR是應用的最后一道防線。ADR不會取代WAF,兩者協同配合,相得益彰,共同組成縱深防御體系。
與主機側HDR配合,實現立體檢測與響應能力
雖然一定程度上HDR也能夠覆蓋應用層,但是基于主機側的HDR,重點還是關注服務器、虛擬機、容器等工作負載上主機層、系統層的安全檢測與響應,因此,不屬于應用運行環境內部的ADR,能夠與HDR相配合,形成由下至上、由外至內的立體檢測與響應能力。
與IAST配合,覆蓋應用的全生命周期
交互式應用程序安全測試(IAST)關注的是應用運行時的安全漏洞,目的是發現漏洞,用于開發測試階段。與IAST一樣,ADR也關注應用在運行時的安全問題,但目的是發現攻擊者利用漏洞的攻擊行為,用于應用的生產運行階段。兩者配合,能夠覆蓋應用的全生命周期,為DevOps提供持續有效的Sec能力。
實戰攻防演練
攻擊隊一般會利用已知或未知漏洞,繞過或突破網絡邊界,尋找核心資產,控制管理權限。伴隨著演習經驗的不斷豐富,攻擊隊更加專注于應用安全的研究,在演習中經常使用供應鏈攻擊等迂回手法來挖掘出特定0day漏洞,由于攻防對抗技術不對等,導致防守方經常處于被動劣勢。此時,用戶可通過部署和運營ADR,搶占對抗先機。
演練前梳理應用資產,收斂潛在攻擊暴露面
防守隊利用ADR可進行應用資產梳理,形成應用資產清單,明確應用中間件的類型、運行環境、版本信息等關鍵信息,為后續安全加固、防護做到有的放矢。同時,利用ADR的漏洞發現、基線安全等檢測功能,結合修復加固手段對發現的問題逐一整改,消除應用安全隱患,使應用安全風險維持在可控范圍。
演練中持續檢測與分析,實現有效防御與溯源
ADR通過Agent對應用程序的訪問請求進行持續監控和分析,結合應用上下文和攻擊檢測引擎,使得應用程序在遭受攻擊——特別是0day、無文件等高級別攻擊手段時——能夠實現有效的自我防御。另外,ADR的溯源能力可以從多維度捕獲攻擊者信息,聚合形成攻擊者畫像,同時記錄整個攻擊到防御的閉環過程,為編寫報告提供依據。
演練后結合上下文,全面提高應用安全等級
ADR不僅關注攻擊行為中的指令和代碼本身,還關注涉及到的上下文。因此安全人員可以通過ADR提供的調用堆棧信息等內容,推動研發人員進行代碼級漏洞修復,調整安全策略,進行整體加固,全面提高應用安全等級。同時,ADR支持攻擊事件統計分析和日志功能,幫助安全人員快速整理安全匯報材料,顯著地提升安全運營工作效率。
數據治理安全
在數據生命周期中的采集、傳輸、存儲、處理、交換等各個環節中,“應用”是最高頻、最重要、最關鍵的數據安全場景。結合數世咨詢發布的《數據治理安全DGS》能力白皮書,ADR能夠有效支持數據治理安全的落地與實踐。
數據的輕量資產化
數據的輕量資產化只需將原始數據進行簡單處理,剔除劣質和無效數據后,將其制作成有效支持分析運算與業務應用的數據資產。 “應用”處于業務與數據關聯的核心,是數據輕量資產化的最佳位置。ADR基于安全視角的資產發現與管理能力,能夠為其持續提供“既懂數據、又懂業務”的輕量資產化數據。
數據的分類分級
ADR的應用安全運行基線能力,能夠基于對國家法律法規、行業監管的理解和對業務數據的理解,極大地減少行業客戶數據分類分級初期咨詢的工作量,在日后需要匹配新的業務流轉或符合新的安全合規要求時,還能夠為AI/ML的深度應用持續提供最新的海量數據樣本。
配合安全能力的對接與編排調度
ADR基于RASP技術,具備檢測高準確率、告警低誤報率以及實時阻斷自動化響應等優勢能力,因此可通過API的方式與數據安全能力接口進行對接,或結合實網攻防演練或安全運營等不同的業務場景與編排調度平臺進行配合,確保數據始終處于有效保護和合法利用的狀態。
除了上述主要場景,用戶在類似的安全重保、應用加固、供應鏈安全以及集團應用安全體系建設等場景下,都可以采用ADR這塊重要拼圖。
邊界無限靖云甲ADR
誠如數世咨詢ADR能力白皮書中所述,目前國內相關領域企業數量并不多,只有個別企業明確提出了ADR這一概念,而邊界無限就是這么一家將RASP技術提升至ADR的安全新銳,并憑借超強的技術前瞻性和對ADR的專注而入選ADR能力白皮書,并且成為國內唯一被推薦的ADR代表廠商,其自主研創的靖云甲ADR更是被業界稱為應用的“免疫血清”。
邊界無限副總裁、產品總負責人沈思源介紹說,靖云甲ADR基于RASP技術,以Web應用為核心,以RASP為主要安全能力切入點,打造Web應用全方位安全檢測與響應的解決方案,是邊界無限幫助用戶構建云原生時代安全基礎設施體系的起點和戰略支點,更是“靈動智御”理念的實踐。靖云甲ADR引入多項前瞻性的技術理念,通過對應用風險的持續檢測和安全風險快速響應,幫助企業應對來自業務增長、技術革新和基礎設施環境變化所產生的等諸多應用安全新挑戰。
邊界無限靖云甲ADR擁有資產管理、入侵檢測、漏洞管理和內存馬防御等核心功能,具備免重啟、采樣決策分離、IT部署架構、性能全面領先等核心優勢,其應用場景為業務在線修復、實戰攻防演練、惡意應用攻擊和集團應用安全建設能力等。
具體來說,在流量安全層面,邊界無限靖云甲ADR基于網格化流量采集,通過聯動應用端點數據、應用訪問數據,高效準確防御0day漏洞利用、內存馬注入等各類安全威脅;在數據安全方面通過數據審計、治理、脫敏等安全技術,有效實現數據安全風險態勢的把控。在為企業提供全面的應用安全保障的同時,ADR通過虛擬補丁、漏洞威脅情報、訪問控制等運營處置手段,有效提高安全運營的事件處置效率。這順應了時下流行的安全技術趨勢,也滿足了廣大政企客戶的現實安全需求。
邊界無限靖云甲ADR擁有精準細化的資產清點、緊跟形式的安全研究、海量可靠的漏洞運營、輕量無感的性能損耗等優點,尤其是在應用資產管理、供應鏈安全、API資產學習層面,表現優異。靖云甲ADR跨IT架構統計應用資產,實現安全能力同步管控,為應用提供安全風險評估;動態采集應用運行過程中的組件加載情況,快速感知資產動態,全面有效獲知供應鏈資產信息;自主學習流量+應用框架,具體來說,靖云甲ADR會通過插樁對應用內部框架定義的API方法以及應用流量進行API全量采集,同時利用AI 檢測引擎請求流量進行持續分析,自動分析暴露陳舊、敏感數據等關鍵問題。
此外,邊界無限靖云甲ADR采用“主被動結合”雙重防御機制,對外基于RASP能力對內存馬的注入行為進行有效防御,對內通過建立內存馬檢測模型,通過持續分析內存中存在的惡意代碼,幫助用戶解決掉埋藏內存中的“定時炸彈”。針對內存中潛藏的內存馬,靖云甲ADR提供了一鍵清除功能,可以直接將內存馬清除,實現對內存馬威脅的快速處理。靖云甲ADR還可以通過主動攔截+被動掃描,有效阻斷內存馬的注入;對已經被注入的內存馬提供源碼和特征檢測信息,無需重啟應用即可一鍵清除。另外,靖云甲ADR采用“attach”等方式注入agent,無需重啟直接更新,以減少對業務運行的干擾。
截至目前,邊界無限已與關鍵基礎設施重要行業和領域的數十家客戶達成業務合作,相信隨著RASP以及ADR技術的進一步成熟,邊界無限將幫助各運營單位構建關鍵信息基礎設施整體應用防控體系,不斷提升關鍵信息基礎設施安全應用防護能力。
京公網安備 11010502049343號