ADR白皮書成應用安全建設指南邊界無限為國內唯一被推薦廠商-每日速讀

來源：中關村在線　2023-03-31 17:47:43

隨著云原生時代的來臨，業務變得越來越開放和復雜，安全邊界越來越模糊，固定的防御邊界已經不復存在，僅僅依靠WAF這樣的邊界防護手段是顯然不夠的。基于請求特征+規則策略的防御控制手段僅能將部分危險攔截在外，同時隨著實網攻防演練的常態化、實戰化，攻防對抗強度不斷升級，攻擊者可輕易繞過傳統邊界安全設備基于規則匹配的預防機制。

【資料圖】

不僅如此，攻擊者還會利用供應鏈攻擊等迂回手法來挖掘出特定0day漏洞，實現對目標應用的精準打擊。類似的高級攻擊手段，讓越來越多的安全管理者，開始關注安全左移，例如將DevOps與Sec結合，嘗試實現DevSecOps，亦或是以運行時應用自我防護為手段，對運行時的應用安全進行更多投入。

然而，與云主機安全遇到的局限性類似，應用安全原有的安全能力是有缺失的。一方面，用戶在實戰化安全能力需求中，迫切需要一個專門針對應用的行之有效的解決方案，加入安全運營體系中，從而實現應用運行時的安全檢測與響應能力，另一方面，之前的應用安全技術能力，雖然從開發階段到生產運行階段都有涉及，但能力點是分散的，例如只關注應用的漏洞檢測（如IAST），或是只關注應用攻防場景下的自我防護（如RASP），很少將應用的安全檢測與事件響應結合起來，形成閉環。一個典型例證是，越來越多的企業開始向DevOps模式靠攏，快速和持續的交付正在加快業務的拓展，但隨之而來的安全訴求卻得不到及時響應。研發團隊經常在代碼可能存在安全風險的情況下，將其推入生產環境，結果造成更多漏洞積壓，且上線后安全訴求因排期等問題無法修復。同時伴隨著實網攻防演練的常態化趨勢，傳統以犧牲業務為代價的業務應用關停手段也逐漸遇到挑戰，在“零關停”或“少關停”的需求下，對應用生產環境風險的檢測與響應迫在眉睫。基于此，數世咨詢提出應用檢測與響應（Application Detection and Response – ADR）這一新賽道，從而將用戶在這一領域的需求明晰化，同時將對應的安全能力解決方案化。

我們也看到，各大政企客戶紛紛將整體應用安全能力與體系建設提上日程，因此數世咨詢發布的業界首份《ADR應用檢測與響應能力白皮書》成為甲方客戶應用安全的指南，其中北京邊界無限科技有限公司（邊界無限）成為國內唯一被推薦的ADR廠商。隨附報告全文，供用戶與企業參考。

關鍵發現

應用檢測與響應（Application Detection and Response – ADR）是指以Web應用為主要對象，采集應用運行環境與應用內部中用戶輸入、上下文信息、訪問行為等流量數據并上傳至分析管理平臺，輔助威脅情報關聯分析后，以自動化策略或人工響應處置安全事件的解決方案。

ADR以Web應用為核心，以RASP為主要安全能力切入點。

作為安全關鍵基礎設施，ADR能夠與WAF、HDR、IAST等多個安全能力形成有機配合。

ADR 的五大關鍵技術能力：探針（Agent）、應用資產發現、高級威脅檢測、數據建模與分析、響應阻斷與修復。

對0day漏洞、無文件攻擊等高級攻擊威脅的檢測與響應已經成為ADR的關鍵能力之一。

ADR廠商將與公有云廠商、各行業云廠商建立更加深入的合作關系，逐步加快ADR在各行業的集中部署。

ADR定義

若無特別說明，本報告中的應用主要指主機側的Web應用，不包含PC終端、移動終端、物聯網終端等端點側的應用。

ADR以Web應用為核心，以RASP為主要安全能力切入點，通過對應用流量數據中潛在威脅的持續檢測和快速響應，幫助用戶應對來自業務增長、技術革新和基礎設施環境變化所產生的諸多應用安全新挑戰。

在安全檢測方面，ADR基于網格化的流量采集，通過應用資產數據、應用訪問數據、上下文信息等，結合外部威脅情報數據，高效準確檢測0day漏洞利用、內存馬注入等各類安全威脅；、

在安全響應方面，ADR基于場景化的學習模型，實現應用資產的自動發現與適配，自動生成應用訪問策略，建立可視化的應用訪問基線，發現安全威脅時，通過虛擬補丁、訪問控制等安全運營處置手段，有效提高事件響應的處置效率。

邊界無限作為國內新成立的安全創新企業，其團隊核心成員來自騰訊玄武實驗室和頭部安全公司，具備很高的攻防起點，因此，0day、內存馬等高級威脅檢測場景是其RASP產品的優勢之一，據了解，Log4j、Spring4shell等高危漏洞爆發時，他們的RASP產品靖云甲都成功檢測并進行了攔截。

基于RASP技術，憑借攻防基因與技術優勢，邊界無限完善了應用運行時全流程全周期的安全防護能力，加入了多場景業務適配、虛擬補丁、編排模式等檢測與響應能力。依托這些能力，用戶可以快速聚焦攻擊者，定位缺陷應用，進而提升團隊的MTTD/MTTR時效。

具體以應用資產盤點能力舉例來說，該能力以實戰攻防演練為主要場景、以攻擊面收斂為主要目的，除了常見的第三方組件庫等應用資產，對應用間的API資產也能夠持續發現與管理，對南北向之外的東西向流量，都可以做到覆蓋與識別，進而梳理清楚應用間的訪問關系。

今年，邊界無限也提出了應用檢測與響應ADR的理念，與數世咨詢不謀而合。作為國內少有的ADR代表企業之一，數世咨詢會對其持續關注。

行業展望

ADR在國內各行業將加快集中部署

隨著“業務上云”的普及，越來越多云原生場景下的應用檢測與響應需求需要得到滿足。同時，很多ADR廠商為了提升應用行為的聚類分析、威脅情報的更新推送、虛擬補丁的分發等操作的效果與ROI，自身也會利用云原生技術進行產品的部署與實施，如此一來，有實力的ADR廠商將與公有云廠商、各行業云廠商建立更加深入的合作關系，逐步加快ADR在各行業的集中部署。

ADR與持續應用安全（CAS）結合

持續應用安全（CAS）是基于我國軟件供應鏈安全現狀所誕生的一種理念，主要解決軟件供應鏈中數字化應用的開發以及運行方面的安全問題，覆蓋應用的源代碼開發、構建部署、上線運行等多個階段，保障數字化應用的全流程安全狀態，是安全能力原子化（離散式制造、集中式交付、統一式管理、智能式應用）在軟件供應鏈安全上的應用。因此在應用的運行階段，ADR能夠與CAS形成數據關聯和能力融合，并經由統一調度管理形成體系化的解決方案，以達到幫助用戶減少資源投入、整合安全能力和提升安全效率的目的。

繼NDR、EDR、HDR等檢測與響應能力之后，ADR將成為又一個必備能力

在實網攻防演練等場景中，大部分用戶已經在流量、終端、主機等維度逐漸形成了NDR、EDR乃至HDR（主機檢測與響應）等檢測與響應能力，有效提升了安全檢測的覆蓋度與應急響應時效。作為更加貼近業務側的檢測與響應能力，ADR的出現，能夠有效補全其他“DR”在業務側的不足。因此，數世咨詢認為，在未來2-3年內，將會有越來越多機構用戶將ADR作為必備能力之一，納入安全運營建設計劃，并與NDR、EDR、HDR等一起形成完備的安全檢測與響應體系。

以《關基保護要求》為綱，ADR將具備更加落地的指導要求

在筆者完稿之際，國家市場監管總局批準發布了《關鍵信息基礎設施安全保護要求》（ GB/T 39204-2022）（簡稱《關基保護要求》）國家標準文件。該標準作為《關基保護條例》發布一年后首個正式發布的關基標準，是為了落實《網絡安全法》《關基保護條例》中關于關鍵信息基礎設施運行安全的保護要求，借鑒重要行業和領域開展網絡安全保護工作的成熟經驗而制定的，將于2023年5月1日正式實施。它規定了關鍵信息基礎設施運營者在識別分析、安全防護、檢測評估、監測預警、主動防御、事件處置等方面的安全要求。因此以《關基保護要求》為綱，ADR對關鍵信息基礎設施中的“Web應用”構筑安全保障體系時，將具備更加可落地的指導要求。

推薦DIY文章