近日，中國數(shù)字產(chǎn)業(yè)領域第三方咨詢機構數(shù)世咨詢發(fā)布安全行業(yè)首份《ADR能力白皮書》，通過系統(tǒng)研究ADR的關鍵能力以及使用場景等，為廣大政企客戶構建整體應用防護體系提供參考和借鑒。白皮書還推薦了ADR領域的代表性廠商，作為一家專注于技術創(chuàng)新突破的安全新銳公司，邊界無限憑借其被喻為應用“免疫血清”的靖云甲ADR成為唯一被推薦的國內(nèi)公司。該ADR能力白皮書在CSA大中華區(qū)組織的CSA研討會上首次發(fā)布。該白皮書指出，繼NDR、EDR、HDR等檢測與響應能力之后，ADR將成為又一個必備安全能力，關基領域客戶有望率先集中部署。
 

ADR關鍵發(fā)現(xiàn)

• 應用檢測與響應（Application Detection and Response – ADR）是指以Web應用為主要對象，采集應用運行環(huán)境與應用內(nèi)部中用戶輸入、上下文信息、訪問行為等流量數(shù)據(jù)并上傳至分析管理平臺，輔助威脅情報關聯(lián)分析后，以自動化策略或人工響應處置安全事件的解決方案。

•  ADR以Web應用為核心，以RASP為主要安全能力切入點。

• 作為安全關鍵基礎設施，ADR能夠與WAF、HDR、IAST等多個安全能力形成有機配合。

• ADR 的五大關鍵技術能力：探針（Agent）、應用資產(chǎn)發(fā)現(xiàn)、高級威脅檢測、數(shù)據(jù)建模與分析、響應阻斷與修復。

• 對0day漏洞、無文件攻擊等高級攻擊威脅的檢測與響應已經(jīng)成為ADR的關鍵能力之一。

• ADR廠商將與公有云廠商、各行業(yè)云廠商建立更加深入的合作關系，逐步加快ADR在各行業(yè)的集中部署。

ADR賽道行業(yè)展望

ADR在國內(nèi)各行業(yè)將加快集中部署

隨著“業(yè)務上云”的普及，越來越多云原生場景下的應用檢測與響應需求需要得到滿足。同時，很多ADR廠商為了提升應用行為的聚類分析、威脅情報的更新推送、虛擬補丁的分發(fā)等操作的效果與ROI，自身也會利用云原生技術進行產(chǎn)品的部署與實施，如此一來，有實力的ADR廠商將與公有云廠商、各行業(yè)云廠商建立更加深入的合作關系，逐步加快ADR在各行業(yè)的集中部署。

ADR與持續(xù)應用安全（CAS）結合

持續(xù)應用安全（CAS）是基于我國軟件供應鏈安全現(xiàn)狀所誕生的一種理念，主要解決軟件供應鏈中數(shù)字化應用的開發(fā)以及運行方面的安全問題，覆蓋應用的源代碼開發(fā)、構建部署、上線運行等多個階段，保障數(shù)字化應用的全流程安全狀態(tài)，是安全能力原子化（離散式制造、集中式交付、統(tǒng)一式管理、智能式應用）在軟件供應鏈安全上的應用。因此在應用的運行階段，ADR能夠與CAS形成數(shù)據(jù)關聯(lián)和能力融合，并經(jīng)由統(tǒng)一調(diào)度管理形成體系化的解決方案，以達到幫助用戶減少資源投入、整合安全能力和提升安全效率的目的。

繼NDR、EDR、HDR等檢測與響應能力之后，ADR將成為又一個必備能力

在實網(wǎng)攻防演練等場景中，大部分用戶已經(jīng)在流量、終端、主機等維度逐漸形成了NDR、EDR乃至HDR（主機檢測與響應）等檢測與響應能力，有效提升了安全檢測的覆蓋度與應急響應時效。作為更加貼近業(yè)務側(cè)的檢測與響應能力，ADR的出現(xiàn)，能夠有效補全其他“DR”在業(yè)務側(cè)的不足。因此，數(shù)世咨詢認為，在未來2-3年內(nèi)，將會有越來越多機構用戶將ADR作為必備能力之一，納入安全運營建設計劃，并與NDR、EDR、HDR等一起形成完備的安全檢測與響應體系。

以《關基保護要求》為綱，ADR將具備更加落地的指導要求

在筆者完稿之際，國家市場監(jiān)管總局批準發(fā)布了《關鍵信息基礎設施安全保護要求》（ GB/T 39204-2022）（簡稱《關基保護要求》）國家標準文件。該標準作為《關基保護條例》發(fā)布一年后首個正式發(fā)布的關基標準，是為了落實《網(wǎng)絡安全法》《關基保護條例》中關于關鍵信息基礎設施運行安全的保護要求，借鑒重要行業(yè)和領域開展網(wǎng)絡安全保護工作的成熟經(jīng)驗而制定的，將于2023年5月1日正式實施。它規(guī)定了關鍵信息基礎設施運營者在識別分析、安全防護、檢測評估、監(jiān)測預警、主動防御、事件處置等方面的安全要求。因此以《關基保護要求》為綱，ADR對關鍵信息基礎設施中的“Web應用”構筑安全保障體系時，將具備更加可落地的指導要求。

邊界無限靖云甲ADR

誠如數(shù)世咨詢ADR能力白皮書中所述，目前國內(nèi)相關領域企業(yè)數(shù)量并不多，只有個別企業(yè)明確提出了ADR這一概念，而邊界無限就是這么一家將RASP技術提升至ADR的安全新銳，并憑借超強的技術前瞻性和對ADR的專注而入選ADR能力白皮書，并且成為國內(nèi)唯一被推薦的ADR代表廠商，其自主研創(chuàng)的靖云甲ADR更是被業(yè)界稱為應用的“免疫血清”。

邊界無限副總裁、產(chǎn)品總負責人沈思源介紹說，靖云甲ADR基于RASP技術，以Web應用為核心，以RASP為主要安全能力切入點，打造Web應用全方位安全檢測與響應的解決方案，是邊界無限幫助用戶構建云原生時代安全基礎設施體系的起點和戰(zhàn)略支點，更是“靈動智御”理念的實踐。靖云甲ADR引入多項前瞻性的技術理念，通過對應用風險的持續(xù)檢測和安全風險快速響應，幫助企業(yè)應對來自業(yè)務增長、技術革新和基礎設施環(huán)境變化所產(chǎn)生的等諸多應用安全新挑戰(zhàn)。

邊界無限靖云甲ADR擁有資產(chǎn)管理、入侵檢測、漏洞管理和內(nèi)存馬防御等核心功能，具備免重啟、采樣決策分離、IT部署架構、性能全面領先等核心優(yōu)勢，其應用場景為業(yè)務在線修復、實戰(zhàn)攻防演練、惡意應用攻擊和集團應用安全建設能力等。
具體來說，在流量安全層面，邊界無限靖云甲ADR基于網(wǎng)格化流量采集，通過聯(lián)動應用端點數(shù)據(jù)、應用訪問數(shù)據(jù)，高效準確防御0day漏洞利用、內(nèi)存馬注入等各類安全威脅；在數(shù)據(jù)安全方面通過數(shù)據(jù)審計、治理、脫敏等安全技術，有效實現(xiàn)數(shù)據(jù)安全風險態(tài)勢的把控。在為企業(yè)提供全面的應用安全保障的同時，ADR通過虛擬補丁、漏洞威脅情報、訪問控制等運營處置手段，有效提高安全運營的事件處置效率。這順應了時下流行的安全技術趨勢，也滿足了廣大政企客戶的現(xiàn)實安全需求

邊界無限靖云甲ADR擁有精準細化的資產(chǎn)清點、緊跟形式的安全研究、海量可靠的漏洞運營、輕量無感的性能損耗等優(yōu)點，尤其是在應用資產(chǎn)管理、供應鏈安全、API資產(chǎn)學習層面，表現(xiàn)優(yōu)異。靖云甲ADR跨IT架構統(tǒng)計應用資產(chǎn)，實現(xiàn)安全能力同步管控，為應用提供安全風險評估；動態(tài)采集應用運行過程中的組件加載情況，快速感知資產(chǎn)動態(tài)，全面有效獲知供應鏈資產(chǎn)信息；自主學習流量+應用框架，具體來說，靖云甲ADR會通過插樁對應用內(nèi)部框架定義的API方法以及應用流量進行API全量采集，同時利用AI 檢測引擎請求流量進行持續(xù)分析，自動分析暴露陳舊、敏感數(shù)據(jù)等關鍵問題。

此外，邊界無限靖云甲ADR采用“主被動結合”雙重防御機制，對外基于RASP能力對內(nèi)存馬的注入行為進行有效防御，對內(nèi)通過建立內(nèi)存馬檢測模型，通過持續(xù)分析內(nèi)存中存在的惡意代碼，幫助用戶解決掉埋藏內(nèi)存中的“定時炸彈”。針對內(nèi)存中潛藏的內(nèi)存馬，靖云甲ADR提供了一鍵清除功能，可以直接將內(nèi)存馬清除，實現(xiàn)對內(nèi)存馬威脅的快速處理。靖云甲ADR還可以通過主動攔截+被動掃描，有效阻斷內(nèi)存馬的注入；對已經(jīng)被注入的內(nèi)存馬提供源碼和特征檢測信息，無需重啟應用即可一鍵清除。另外，靖云甲ADR采用“attach”等方式注入agent，無需重啟直接更新，以減少對業(yè)務運行的干擾。

截至目前，邊界無限已與關鍵基礎設施重要行業(yè)和領域的數(shù)十家客戶達成業(yè)務合作，相信隨著RASP以及ADR技術的進一步成熟，邊界無限將幫助各運營單位構建關鍵信息基礎設施整體應用防控體系，不斷提升關鍵信息基礎設施安全應用防護能力。