随着云原生时代的来临,业务变得越来越开放和复杂,安全边界越来越模糊,固定的防御边界已经不复存在,仅仅依靠WAF这样的边界防护手段是显然不够的。基于请求特征+规则策略的防御控制手段仅能将部分危险拦截在外,同时随着实网攻防演练的常态化、实战化,攻防对抗强度不断升级,攻击者可轻易绕过传统边界安全设备基于规则匹配的预防机制。
不仅如此,攻击者还会利用供应链攻击等迂回手法来挖掘出特定0day漏洞,实现对目标应用的精准打击。类似的高级攻击手段,让越来越多的安全管理者,开始关注安全左移,例如将DevOps与Sec结合,尝试实现DevSecOps,亦或是以运行时应用自我防护为手段,对运行时的应用安全进行更多投入。
然而,与云主机安全遇到的局限性类似,应用安全原有的安全能力是有缺失的。一方面,用户在实战化安全能力需求中,迫切需要一个专门针对应用的行之有效的解决方案,加入安全运营体系中,从而实现应用运行时的安全检测与响应能力,另一方面,之前的应用安全技术能力,虽然从开发阶段到生产运行阶段都有涉及,但能力点是分散的,例如只关注应用的漏洞检测(如IAST),或是只关注应用攻防场景下的自我防护(如RASP),很少将应用的安全检测与事件响应结合起来,形成闭环。一个典型例证是,越来越多的企业开始向DevOps模式靠拢,快速和持续的交付正在加快业务的拓展,但随之而来的安全诉求却得不到及时响应。研发团队经常在代码可能存在安全风险的情况下,将其推入生产环境,结果造成更多漏洞积压,且上线后安全诉求因排期等问题无法修复。同时伴随着实网攻防演练的常态化趋势,传统以牺牲业务为代价的业务应用关停手段也逐渐遇到挑战,在“零关停”或“少关停”的需求下,对应用生产环境风险的检测与响应迫在眉睫。基于此,数世咨询提出应用检测与响应(Application Detection and Response – ADR)这一新赛道,从而将用户在这一领域的需求明晰化,同时将对应的安全能力解决方案化。
我们也看到,各大政企客户纷纷将整体应用安全能力与体系建设提上日程,因此数世咨询发布的业界首份《ADR应用检测与响应能力白皮书》成为甲方客户应用安全的指南,其中北京边界无限科技有限公司(边界无限)成为国内唯一被推荐的ADR厂商。随附报告全文,供用户与企业参考。
关键发现
应用检测与响应(Application Detection and Response – ADR)是指以Web应用为主要对象,采集应用运行环境与应用内部中用户输入、上下文信息、访问行为等流量数据并上传至分析管理平台,辅助威胁情报关联分析后,以自动化策略或人工响应处置安全事件的解决方案。
ADR以Web应用为核心,以RASP为主要安全能力切入点。
作为安全关键基础设施,ADR能够与WAF、HDR、IAST等多个安全能力形成有机配合。
ADR的五大关键技术能力:探针(Agent)、应用资产发现、高级威胁检测、数据建模与分析、响应阻断与修复。
对0day漏洞、无文件攻击等高级攻击威胁的检测与响应已经成为ADR的关键能力之一。
ADR厂商将与公有云厂商、各行业云厂商建立更加深入的合作关系,逐步加快ADR在各行业的集中部署。
ADR定义
应用检测与响应(Application Detection and Response – ADR)是指以Web应用为主要对象,采集应用运行环境与应用内部中用户输入、上下文信息、访问行为等流量数据并上传至分析管理平台,辅助威胁情报关联分析后,以自动化策略或人工响应处置安全事件的解决方案。
若无特别说明,本报告中的应用主要指主机侧的Web应用,不包含PC终端、移动终端、物联网终端等端点侧的应用。
ADR以Web应用为核心,以RASP为主要安全能力切入点,通过对应用流量数据中潜在威胁的持续检测和快速响应,帮助用户应对来自业务增长、技术革新和基础设施环境变化所产生的诸多应用安全新挑战。
在安全检测方面,ADR基于网格化的流量采集,通过应用资产数据、应用访问数据、上下文信息等,结合外部威胁情报数据,高效准确检测0day漏洞利用、内存马注入等各类安全威胁;、
在安全响应方面,ADR基于场景化的学习模型,实现应用资产的自动发现与适配,自动生成应用访问策略,建立可视化的应用访问基线,发现安全威胁时,通过虚拟补丁、访问控制等安全运营处置手段,有效提高事件响应的处置效率。
图:ADR应用检测与响应
图:应用检测与响应ADR部署示意图
在数世咨询发布的《中国数字安全能力图谱2022》中,应用检测与响应ADR位于“应用场景安全”方向的“开发与应用安全”分类中。
《中国数字安全能力图谱2022》开发与应用安全,ADR
