安全行業(yè)首份ADR能力白皮書發(fā)布 關(guān)基與實戰(zhàn)演練等成重要應(yīng)用場景

近日，中國數(shù)字產(chǎn)業(yè)領(lǐng)域第三方咨詢機構(gòu)數(shù)世咨詢發(fā)布安全行業(yè)首份《ADR能力白皮書》，通過系統(tǒng)研究ADR的關(guān)鍵能力以及使用場景等，為廣大政企客戶構(gòu)建整體應(yīng)用防護體系提供參考和借鑒。白皮書還推薦了ADR領(lǐng)域的代表性廠商，作為一家專注于技術(shù)創(chuàng)新突破的安全新銳公司，邊界無限憑借其被喻為應(yīng)用“免疫血清”的靖云甲ADR成為唯一被推薦的國內(nèi)公司。該ADR能力白皮書在CSA大中華區(qū)組織的CSA研討會上首次發(fā)布。

ADR關(guān)鍵發(fā)現(xiàn) 應(yīng)用檢測與響應(yīng)(Application Detection and Response – ADR)是指以Web應(yīng)用為主要對象，采集應(yīng)用運行環(huán)境與應(yīng)用內(nèi)部中用戶輸入、上下文信息、訪問行為等流量數(shù)據(jù)并上傳至分析管理平臺，輔助威脅情報關(guān)聯(lián)分析后，以自動化策略或人工響應(yīng)處置安全事件的解決方案。 ADR以Web應(yīng)用為核心，以RASP為主要安全能力切入點。 作為安全關(guān)鍵基礎(chǔ)設(shè)施，ADR能夠與WAF、HDR、IAST等多個安全能力形成有機配合。 ADR 的五大關(guān)鍵技術(shù)能力：探針(Agent)、應(yīng)用資產(chǎn)發(fā)現(xiàn)、高級威脅檢測、數(shù)據(jù)建模與分析、響應(yīng)阻斷與修復(fù)。 對0day漏洞、無文件攻擊等高級攻擊威脅的檢測與響應(yīng)已經(jīng)成為ADR的關(guān)鍵能力之一。 ADR廠商將與公有云廠商、各行業(yè)云廠商建立更加深入的合作關(guān)系，逐步加快ADR在各行業(yè)的集中部署。

ADR應(yīng)用場景

關(guān)鍵安全基礎(chǔ)設(shè)施

與WAF等邊界產(chǎn)品配合，實現(xiàn)縱深防護體系

WAF部署在網(wǎng)絡(luò)邊界，ADR部署在應(yīng)用層。WAF容易被繞過，而ADR是應(yīng)用的最后一道防線。ADR不會取代WAF，兩者協(xié)同配合，相得益彰，共同組成縱深防御體系。

與主機側(cè)HDR配合，實現(xiàn)立體檢測與響應(yīng)能力

雖然一定程度上HDR也能夠覆蓋應(yīng)用層，但是基于主機側(cè)的HDR，重點還是關(guān)注服務(wù)器、虛擬機、容器等工作負載上主機層、系統(tǒng)層的安全檢測與響應(yīng)，因此，不屬于應(yīng)用運行環(huán)境內(nèi)部的ADR，能夠與HDR相配合，形成由下至上、由外至內(nèi)的立體檢測與響應(yīng)能力。

與IAST配合，覆蓋應(yīng)用的全生命周期

交互式應(yīng)用程序安全測試(IAST)關(guān)注的是應(yīng)用運行時的安全漏洞，目的是發(fā)現(xiàn)漏洞，用于開發(fā)測試階段。與IAST一樣，ADR也關(guān)注應(yīng)用在運行時的安全問題，但目的是發(fā)現(xiàn)攻擊者利用漏洞的攻擊行為，用于應(yīng)用的生產(chǎn)運行階段。兩者配合，能夠覆蓋應(yīng)用的全生命周期，為DevOps提供持續(xù)有效的Sec能力。

實戰(zhàn)攻防演練

攻擊隊一般會利用已知或未知漏洞，繞過或突破網(wǎng)絡(luò)邊界，尋找核心資產(chǎn)，控制管理權(quán)限。伴隨著演習經(jīng)驗的不斷豐富，攻擊隊更加專注于應(yīng)用安全的研究，在演習中經(jīng)常使用供應(yīng)鏈攻擊等迂回手法來挖掘出特定0day漏洞，由于攻防對抗技術(shù)不對等，導(dǎo)致防守方經(jīng)常處于被動劣勢。此時，用戶可通過部署和運營ADR，搶占對抗先機。

演練前梳理應(yīng)用資產(chǎn)，收斂潛在攻擊暴露面

防守隊利用ADR可進行應(yīng)用資產(chǎn)梳理，形成應(yīng)用資產(chǎn)清單，明確應(yīng)用中間件的類型、運行環(huán)境、版本信息等關(guān)鍵信息，為后續(xù)安全加固、防護做到有的放矢。同時，利用ADR的漏洞發(fā)現(xiàn)、基線安全等檢測功能，結(jié)合修復(fù)加固手段對發(fā)現(xiàn)的問題逐一整改，消除應(yīng)用安全隱患，使應(yīng)用安全風險維持在可控范圍。

演練中持續(xù)檢測與分析，實現(xiàn)有效防御與溯源

ADR通過Agent對應(yīng)用程序的訪問請求進行持續(xù)監(jiān)控和分析，結(jié)合應(yīng)用上下文和攻擊檢測引擎，使得應(yīng)用程序在遭受攻擊——特別是0day、無文件等高級別攻擊手段時——能夠?qū)崿F(xiàn)有效的自我防御。另外，ADR的溯源能力可以從多維度捕獲攻擊者信息，聚合形成攻擊者畫像，同時記錄整個攻擊到防御的閉環(huán)過程，為編寫報告提供依據(jù)。

演練后結(jié)合上下文，全面提高應(yīng)用安全等級

ADR不僅關(guān)注攻擊行為中的指令和代碼本身，還關(guān)注涉及到的上下文。因此安全人員可以通過ADR提供的調(diào)用堆棧信息等內(nèi)容，推動研發(fā)人員進行代碼級漏洞修復(fù)，調(diào)整安全策略，進行整體加固，全面提高應(yīng)用安全等級。同時，ADR支持攻擊事件統(tǒng)計分析和日志功能，幫助安全人員快速整理安全匯報材料，顯著地提升安全運營工作效率。

數(shù)據(jù)治理安全

在數(shù)據(jù)生命周期中的采集、傳輸、存儲、處理、交換等各個環(huán)節(jié)中，“應(yīng)用”是最高頻、最重要、最關(guān)鍵的數(shù)據(jù)安全場景。結(jié)合數(shù)世咨詢發(fā)布的《數(shù)據(jù)治理安全DGS》能力白皮書，ADR能夠有效支持數(shù)據(jù)治理安全的落地與實踐。

數(shù)據(jù)的輕量資產(chǎn)化

數(shù)據(jù)的輕量資產(chǎn)化只需將原始數(shù)據(jù)進行簡單處理，剔除劣質(zhì)和無效數(shù)據(jù)后，將其制作成有效支持分析運算與業(yè)務(wù)應(yīng)用的數(shù)據(jù)資產(chǎn)。 “應(yīng)用”處于業(yè)務(wù)與數(shù)據(jù)關(guān)聯(lián)的核心，是數(shù)據(jù)輕量資產(chǎn)化的最佳位置。ADR基于安全視角的資產(chǎn)發(fā)現(xiàn)與管理能力，能夠為其持續(xù)提供“既懂數(shù)據(jù)、又懂業(yè)務(wù)”的輕量資產(chǎn)化數(shù)據(jù)。

數(shù)據(jù)的分類分級

ADR的應(yīng)用安全運行基線能力，能夠基于對國家法律法規(guī)、行業(yè)監(jiān)管的理解和對業(yè)務(wù)數(shù)據(jù)的理解，極大地減少行業(yè)客戶數(shù)據(jù)分類分級初期咨詢的工作量，在日后需要匹配新的業(yè)務(wù)流轉(zhuǎn)或符合新的安全合規(guī)要求時，還能夠為AI/ML的深度應(yīng)用持續(xù)提供最新的海量數(shù)據(jù)樣本。

配合安全能力的對接與編排調(diào)度

ADR基于RASP技術(shù)，具備檢測高準確率、告警低誤報率以及實時阻斷自動化響應(yīng)等優(yōu)勢能力，因此可通過API的方式與數(shù)據(jù)安全能力接口進行對接，或結(jié)合實網(wǎng)攻防演練或安全運營等不同的業(yè)務(wù)場景與編排調(diào)度平臺進行配合，確保數(shù)據(jù)始終處于有效保護和合法利用的狀態(tài)。

除了上述主要場景，用戶在類似的安全重保、應(yīng)用加固、供應(yīng)鏈安全以及集團應(yīng)用安全體系建設(shè)等場景下，都可以采用ADR這塊重要拼圖。

邊界無限靖云甲ADR

誠如數(shù)世咨詢ADR能力白皮書中所述，目前國內(nèi)相關(guān)領(lǐng)域企業(yè)數(shù)量并不多，只有個別企業(yè)明確提出了ADR這一概念，而邊界無限就是這么一家將RASP技術(shù)提升至ADR的安全新銳，并憑借超強的技術(shù)前瞻性和對ADR的專注而入選ADR能力白皮書，并且成為國內(nèi)唯一被推薦的ADR代表廠商，其自主研創(chuàng)的靖云甲ADR更是被業(yè)界稱為應(yīng)用的“免疫血清”。

邊界無限副總裁、產(chǎn)品總負責人沈思源介紹說，靖云甲ADR基于RASP技術(shù)，以Web應(yīng)用為核心，以RASP為主要安全能力切入點，打造Web應(yīng)用全方位安全檢測與響應(yīng)的解決方案，是邊界無限幫助用戶構(gòu)建云原生時代安全基礎(chǔ)設(shè)施體系的起點和戰(zhàn)略支點，更是“靈動智御”理念的實踐。靖云甲ADR引入多項前瞻性的技術(shù)理念，通過對應(yīng)用風險的持續(xù)檢測和安全風險快速響應(yīng)，幫助企業(yè)應(yīng)對來自業(yè)務(wù)增長、技術(shù)革新和基礎(chǔ)設(shè)施環(huán)境變化所產(chǎn)生的等諸多應(yīng)用安全新挑戰(zhàn)。

邊界無限靖云甲ADR擁有資產(chǎn)管理、入侵檢測、漏洞管理和內(nèi)存馬防御等核心功能，具備免重啟、采樣決策分離、IT部署架構(gòu)、性能全面領(lǐng)先等核心優(yōu)勢，其應(yīng)用場景為業(yè)務(wù)在線修復(fù)、實戰(zhàn)攻防演練、惡意應(yīng)用攻擊和集團應(yīng)用安全建設(shè)能力等。

具體來說，在流量安全層面，邊界無限靖云甲ADR基于網(wǎng)格化流量采集，通過聯(lián)動應(yīng)用端點數(shù)據(jù)、應(yīng)用訪問數(shù)據(jù)，高效準確防御0day漏洞利用、內(nèi)存馬注入等各類安全威脅;在數(shù)據(jù)安全方面通過數(shù)據(jù)審計、治理、脫敏等安全技術(shù)，有效實現(xiàn)數(shù)據(jù)安全風險態(tài)勢的把控。在為企業(yè)提供全面的應(yīng)用安全保障的同時，ADR通過虛擬補丁、漏洞威脅情報、訪問控制等運營處置手段，有效提高安全運營的事件處置效率。這順應(yīng)了時下流行的安全技術(shù)趨勢，也滿足了廣大政企客戶的現(xiàn)實安全需求。

邊界無限靖云甲ADR擁有精準細化的資產(chǎn)清點、緊跟形式的安全研究、海量可靠的漏洞運營、輕量無感的性能損耗等優(yōu)點，尤其是在應(yīng)用資產(chǎn)管理、供應(yīng)鏈安全、API資產(chǎn)學(xué)習層面，表現(xiàn)優(yōu)異。靖云甲ADR跨IT架構(gòu)統(tǒng)計應(yīng)用資產(chǎn)，實現(xiàn)安全能力同步管控，為應(yīng)用提供安全風險評估;動態(tài)采集應(yīng)用運行過程中的組件加載情況，快速感知資產(chǎn)動態(tài)，全面有效獲知供應(yīng)鏈資產(chǎn)信息;自主學(xué)習流量+應(yīng)用框架，具體來說，靖云甲ADR會通過插樁對應(yīng)用內(nèi)部框架定義的API方法以及應(yīng)用流量進行API全量采集，同時利用AI 檢測引擎請求流量進行持續(xù)分析，自動分析暴露陳舊、敏感數(shù)據(jù)等關(guān)鍵問題。

此外，邊界無限靖云甲ADR采用“主被動結(jié)合”雙重防御機制，對外基于RASP能力對內(nèi)存馬的注入行為進行有效防御，對內(nèi)通過建立內(nèi)存馬檢測模型，通過持續(xù)分析內(nèi)存中存在的惡意代碼，幫助用戶解決掉埋藏內(nèi)存中的“定時炸彈”。針對內(nèi)存中潛藏的內(nèi)存馬，靖云甲ADR提供了一鍵清除功能，可以直接將內(nèi)存馬清除，實現(xiàn)對內(nèi)存馬威脅的快速處理。靖云甲ADR還可以通過主動攔截+被動掃描，有效阻斷內(nèi)存馬的注入;對已經(jīng)被注入的內(nèi)存馬提供源碼和特征檢測信息，無需重啟應(yīng)用即可一鍵清除。另外，靖云甲ADR采用“attach”等方式注入agent，無需重啟直接更新，以減少對業(yè)務(wù)運行的干擾。

截至目前，邊界無限已與關(guān)鍵基礎(chǔ)設(shè)施重要行業(yè)和領(lǐng)域的數(shù)十家客戶達成業(yè)務(wù)合作，相信隨著RASP以及ADR技術(shù)的進一步成熟，邊界無限將幫助各運營單位構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施整體應(yīng)用防控體系，不斷提升關(guān)鍵信息基礎(chǔ)設(shè)施安全應(yīng)用防護能力。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）