隨著企業越發重視和加強應用程序，以及開發人員采用新的技術/流程來構建應用程序，以提高上線速度和豐富客戶體驗，廣大企業對應用的防護需求日益增加，應用安全將成為最重要的安全陣地之一。據Forrester預測，至2025年全球應用安全市場將達到129億美元規模。市場的擴大和攻擊手段的多樣化給傳統應用安全防護手段提出了新的挑戰，也激發了諸如RASP等新興應用防護技術的產生以及邊界無限等安全新銳的崛起。邊界無限以RASP技術為基礎，推出了業界領先的全棧式云安全防護系統——靖云甲，迅速奪得了應用運行時安全防護的“桿位”。

應用安全面臨現實痛點

絕大部分Web應用攻擊都是沒有特定目標的大范圍漏洞掃描，但少數攻擊卻是為入侵特定目標而進行的針對性嘗試。無論哪種情況，攻擊都非常頻繁，難以準確檢測。同時企業在做好應用安全防護的過程中面臨諸多現實痛點。邊界無限創始人、CEO陳佩文表示，除了人為因素及防護策略導致的信息泄露，應用安全的幾個特點值得關注。

一是安全漏洞攻擊迅猛增長。應用作為網絡入口承載著大量業務和流量，因此成為了安全的重災區，黑客大多會利用Web應用漏洞實施攻擊。由于應用保護的嚴重不足，且企業缺乏東西向的防御能力，黑客往往借助自動化的工具以及 Nday 漏洞，在短時間內以更高效、隱蔽的方式對Web進行漏洞掃描和探測，這將大大加劇企業應用防護的難度，使企業面臨更為嚴重的安全風險和損失。以近期出現的 log4j 和 spring 相關漏洞為例，其嚴重程度令人擔憂，企業的重視程度也相當高，但即便如此，此類漏洞還是會長期與應用共存，因此針對應用的貼身防護刻不容緩。

二是針對API的攻擊越來越普遍。隨著數字化轉型，現代企業越來越多的服務都已經 IT化，其中 API 成為了企業數字化的窗口。企業通過API來完成數據的傳遞，幫助企業完成相關業務功能，因此 API 變成攻擊的重點目標，黑客通過掃描攻擊和濫用 API 相關功能來獲取企業敏感數據。除此之外，很多企業并不清楚自己擁有多少API，也并不能保證每個API都具有良好的訪問控制，被遺忘的影子API和僵尸API會帶來重大的未知風險。據Gartner預測，到2022年API濫用將是最常見的攻擊方式，為API構建安全防護體系勢在必行。而RASP作為程序的“免疫血清”，憑借其身位優勢，在程序內部最直觀、最準確地獲取 API 接口等信息，從根本上守護 API 安全。

三是不安全的反序列化。反序列化過程就是應用接受序列化對象并將其還原的過程。如果反序列化過程不安全，可能會出現重大問題。即便開發人員知道不能信任用戶輸入，但序列化對象卻總是被莫名地重視，往往放松對序列化對象的安全管理。這種情況下，不安全的反序列化過程成為黑客發送攻擊的重要方式，且此種攻擊手段在黑客攻擊技術中排名前列，其不安全性極易導致Web應用暴露在遠程代碼執行威脅之下。

四是盲目依賴開源組件導致供應鏈安全危機。最近發生的很多數據泄露事件，攻擊者利用的漏洞往往嵌入軟件的開源組件里，這暴露了Web應用安全中的一個重大問題——盲目信賴開源組件。據Forrester研究表明，應用軟件80％-90％的代碼來自開源組件。全球對開源代碼的旺盛需求，將導致Web應用供應鏈攻擊在2022年進一步增長，范圍擴大，并且更加復雜，未來使用惡意軟件進行Web應用供應鏈攻擊的數量將不斷攀升。利用開源組件，實施對Web應用供應鏈的攻擊更隱蔽，危險性也更高。

RASP——應用安全“免疫血清”

當前，多數應用都依賴于像入侵防護系統（IPS）和 Web 應用防火墻（WAF）等外部防護。WAF部署在Web應用前線，通過對HTTP/HTTPS的有目的性的策略來達到對Web應用的保護，在HTTP流量到達應用服務器之前對其進行分析，但是基于流量的檢測分析手段容易被繞過。相比于傳統的邊界產品， RASP不需要依賴規則。在去年波及范圍較廣的Log4j2漏洞和最近Spring漏洞事件中，RASP展示出它過人的優勢。

“WAF等傳統安全防護產品部署在邊界，更像讓人多穿衣服、多喝熱水，RASP是基于新一代防護理念的應用程序自我防護技術，兩者并不會相互取代，而是能相互配合、相得益彰。然而，很多人會把RASP比如成應用‘疫苗’，簡單說，‘疫苗’更多地是針對特定病癥的專項應對。從目前的網絡安全趨勢上來看，未知漏洞攻擊越來越普遍，我們要做的就是幫助客戶加強自身網絡的安全防護能力，從這個意義上來說，RASP更像是在實際網絡攻防中提取的‘免疫血清’，幫助客戶加強自身肌體的免疫力，讓客戶網絡擁有內生安全能力。”陳佩文如是說。

針對性防護應用行為上的攻擊，RASP可以做到以下幾點。一是資產梳理。幫助用戶從安全角度構建細粒度的應用資產信息，讓被保護的應用資產清晰可見。提供數十種應用中間件的自動識別，并主動發現、上報應用的第三方庫信息，實現對應用安全性的內透。二是內存馬防御。通過建立內存馬檢測模型，以Java語言為例，利用 Agent 周期性地對 JVM 內存中的 API 進行風險篩查，并及時上報存在風險的信息，幫助用戶解決掉埋藏內存中的“定時炸彈”。三是漏洞管理。幫助用戶精準發現應用漏洞風險，幫助安全團隊快速、有效地定位和解決安全風險。主動采集第三方依賴庫庫信息，并與云端漏洞庫進行比對、分析，識別出應用存在的安全隱患，從而縮減應用攻擊面，提升應用安全等級。四是入侵防御。幫助用戶防御無處不在的應用漏洞與網絡威脅。結合應用漏洞攻擊免疫算法、安全切面算法及縱深流量學習算法等關鍵技術，將安全防御能力嵌入到應用自身當中，為應用程序提供全生命周期的動態安全保護，顯著地提升企業的安全運營工作效率。

陳佩文表示，RASP 以探針的形式，將保護引擎注入到應用服務中，就像“免疫血清”一樣，隨應用程序在本地、云、虛擬環境或容器中進行部署，為應用程序提供安全特性。這種特性使RASP掌握了內部所有動作的“上下文聯系”，而不只是“入口流量”。這樣可以構建應用安全程序的深度防御體系，尤其是在面臨未知漏洞的前提下，也將是較優的選擇，彌補了當前市場在產品應用層的空白。

靈動智御  RASP靖云甲率先落地

“邊界無限是一家技術至上的公司。我們希望能面對新的安全趨勢，站在巨人的肩膀上，更前瞻性地考慮安全技術升級與產品布局。RASP是我們的起點，也是我們的戰略支點，我們希望做一家有技術領先性、有行業示范性、有國際知名度的民族安全企業。靖云甲基于云原生技術和RASP技術，將主動防御能力無縫融合至應用程序運行環境和開發語言中。通過對請求調用的關鍵函數進監聽，結合應用上下文情景分析能力和強大的AI攻擊檢測引擎，可捕捉并攔截各種繞過流量檢測的威脅攻擊，來應對無處不在的應用漏洞與網絡威脅，從而為應用程序提供全生命周期的動態安全保護。這是行業的創新之舉，也是大勢所趨，同時也是我們‘靈動智御’理念的最佳實踐。”陳佩文介紹說。

邊界無限RASP靖云甲應用程序自我防護體系主要由微探針(Agent)、數據調度器、AI攻擊檢測引擎、管理平臺四部分構成，來提供靈活的、穩定的、精準的核心能力支持。靖云甲通過將Agent注入到應用中間件中，對被保護應用程序的訪問請求進行持續監控和分析，使得應用程序在遭受攻擊時，能夠實現自我防御。靖云甲產品體系采用模塊化的組織形式，實現了各核心功能的智能集成和協同聯動。

值得一提的是，邊界無限RASP靖云甲可以細粒度構建應用資產，提供資產關聯能力，有效防御未知漏洞威脅，全方位保護應用安全。它采用獨特采樣決策架構，保障應用安全“快準穩”。此外，基于云原生場景進行的頂層設計，使得靖云甲可以完美契合云上安全需求，支持容器化、支持K8S部署、輕松解決業務爆發式增長、實例突增帶來的安全防護同步問題。

江山代有人才出，各領風騷數十年。安全行業的日新月異，終究會激發新的安全技術甚至安全公司應運而生，未來的安全市場將發生怎么樣的變化，讓我們靜觀其變，客觀記錄。

文章關鍵詞：應用安全、RASP、API安全、漏洞管理、入侵防御、邊界無限、0Day漏洞、WAF

關于邊界無限

www.boundaryx.com

北京邊界無限科技有限公司（BoundaryX，簡稱邊界無限），是中國云、應用安全"靈動智御"安全理念的創領者，致力于為廣大政企用戶提供全鏈路云安全防護產品和頂級攻防體系，并通過還原真實攻防來幫助用戶構建更安全、更靈動、更智能、更具價值的防御體系。

無實戰，不安全！邊界無限成立于2019年，總部位于北京，團隊成員來自于各大安全廠商及頭部互聯網企業安全實驗室，擁有多年一線攻防對抗的工作經驗，多次在國家及省級攻防演練中名列前茅。

RASP被喻為網絡安全的"免疫血清"。基于豐富的實戰經驗和自主創新的技術，邊界無限推出RASP全棧式云安全防護平臺-靖云甲。該產品是邊界無限幫助用戶構建云原生時代安全基礎設施體系的起點和戰略支點，更是"靈動智御"理念的最佳實踐。它以"數據驅動、連接、全鏈路"為產品理念，消除根本風險，為企業主動防御賦能；通過"應用上下文安全分析引擎、智能算法"等關鍵技術，捕捉攔截已知和未知威脅攻擊，從而為云上資產、應用、數據提供全鏈路、全生命周期的動態安全保護。

截至目前，邊界無限已與政府、金融、能源、云服務廠商、電商、互聯網等領域數十家客戶達成業務合作，為其構建穩定、高效的安全防護。