ADR白皮書(shū)成應(yīng)用安全建設(shè)指南 邊界無(wú)限為國(guó)內(nèi)唯一被推薦廠商

  • 人閱讀
  • 2023-03-31 14:03:39

  • 來(lái)源:中華網(wǎng)

  • 相關(guān)關(guān)鍵詞

隨著云原生時(shí)代的來(lái)臨,業(yè)務(wù)變得越來(lái)越開(kāi)放和復(fù)雜,安全邊界越來(lái)越模糊,固定的防御邊界已經(jīng)不復(fù)存在,僅僅依靠WAF這樣的邊界防護(hù)手段是顯然不夠的。基于請(qǐng)求特征+規(guī)則策略的防御控制手段僅能將部分危險(xiǎn)攔截在外,同時(shí)隨著實(shí)網(wǎng)攻防演練的常態(tài)化、實(shí)戰(zhàn)化,攻防對(duì)抗強(qiáng)度不斷升級(jí),攻擊者可輕易繞過(guò)傳統(tǒng)邊界安全設(shè)備基于規(guī)則匹配的預(yù)防機(jī)制。

不僅如此,攻擊者還會(huì)利用供應(yīng)鏈攻擊等迂回手法來(lái)挖掘出特定0day漏洞,實(shí)現(xiàn)對(duì)目標(biāo)應(yīng)用的精準(zhǔn)打擊。類(lèi)似的高級(jí)攻擊手段,讓越來(lái)越多的安全管理者,開(kāi)始關(guān)注安全左移,例如將DevOps與Sec結(jié)合,嘗試實(shí)現(xiàn)DevSecOps,亦或是以運(yùn)行時(shí)應(yīng)用自我防護(hù)為手段,對(duì)運(yùn)行時(shí)的應(yīng)用安全進(jìn)行更多投入。

然而,與云主機(jī)安全遇到的局限性類(lèi)似,應(yīng)用安全原有的安全能力是有缺失的。一方面,用戶(hù)在實(shí)戰(zhàn)化安全能力需求中,迫切需要一個(gè)專(zhuān)門(mén)針對(duì)應(yīng)用的行之有效的解決方案,加入安全運(yùn)營(yíng)體系中,從而實(shí)現(xiàn)應(yīng)用運(yùn)行時(shí)的安全檢測(cè)與響應(yīng)能力,另一方面,之前的應(yīng)用安全技術(shù)能力,雖然從開(kāi)發(fā)階段到生產(chǎn)運(yùn)行階段都有涉及,但能力點(diǎn)是分散的,例如只關(guān)注應(yīng)用的漏洞檢測(cè)(如IAST),或是只關(guān)注應(yīng)用攻防場(chǎng)景下的自我防護(hù)(如RASP),很少將應(yīng)用的安全檢測(cè)與事件響應(yīng)結(jié)合起來(lái),形成閉環(huán)。一個(gè)典型例證是,越來(lái)越多的企業(yè)開(kāi)始向DevOps模式靠攏,快速和持續(xù)的交付正在加快業(yè)務(wù)的拓展,但隨之而來(lái)的安全訴求卻得不到及時(shí)響應(yīng)。研發(fā)團(tuán)隊(duì)經(jīng)常在代碼可能存在安全風(fēng)險(xiǎn)的情況下,將其推入生產(chǎn)環(huán)境,結(jié)果造成更多漏洞積壓,且上線后安全訴求因排期等問(wèn)題無(wú)法修復(fù)。同時(shí)伴隨著實(shí)網(wǎng)攻防演練的常態(tài)化趨勢(shì),傳統(tǒng)以犧牲業(yè)務(wù)為代價(jià)的業(yè)務(wù)應(yīng)用關(guān)停手段也逐漸遇到挑戰(zhàn),在“零關(guān)停”或“少關(guān)停”的需求下,對(duì)應(yīng)用生產(chǎn)環(huán)境風(fēng)險(xiǎn)的檢測(cè)與響應(yīng)迫在眉睫?;诖?,數(shù)世咨詢(xún)提出應(yīng)用檢測(cè)與響應(yīng)(Application Detection and Response – ADR)這一新賽道,從而將用戶(hù)在這一領(lǐng)域的需求明晰化,同時(shí)將對(duì)應(yīng)的安全能力解決方案化。

我們也看到,各大政企客戶(hù)紛紛將整體應(yīng)用安全能力與體系建設(shè)提上日程,因此數(shù)世咨詢(xún)發(fā)布的業(yè)界首份《ADR應(yīng)用檢測(cè)與響應(yīng)能力白皮書(shū)》成為甲方客戶(hù)應(yīng)用安全的指南,其中北京邊界無(wú)限科技有限公司(邊界無(wú)限)成為國(guó)內(nèi)唯一被推薦的ADR廠商。隨附報(bào)告全文,供用戶(hù)與企業(yè)參考。

關(guān)鍵發(fā)現(xiàn)

• 應(yīng)用檢測(cè)與響應(yīng)(Application Detection and Response – ADR)是指以Web應(yīng)用為主要對(duì)象,采集應(yīng)用運(yùn)行環(huán)境與應(yīng)用內(nèi)部中用戶(hù)輸入、上下文信息、訪問(wèn)行為等流量數(shù)據(jù)并上傳至分析管理平臺(tái),輔助威脅情報(bào)關(guān)聯(lián)分析后,以自動(dòng)化策略或人工響應(yīng)處置安全事件的解決方案。

• ADR以Web應(yīng)用為核心,以RASP為主要安全能力切入點(diǎn)。

• 作為安全關(guān)鍵基礎(chǔ)設(shè)施,ADR能夠與WAF、HDR、IAST等多個(gè)安全能力形成有機(jī)配合。

• ADR 的五大關(guān)鍵技術(shù)能力:探針(Agent)、應(yīng)用資產(chǎn)發(fā)現(xiàn)、高級(jí)威脅檢測(cè)、數(shù)據(jù)建模與分析、響應(yīng)阻斷與修復(fù)。

• 對(duì)0day漏洞、無(wú)文件攻擊等高級(jí)攻擊威脅的檢測(cè)與響應(yīng)已經(jīng)成為ADR的關(guān)鍵能力之一。

• ADR廠商將與公有云廠商、各行業(yè)云廠商建立更加深入的合作關(guān)系,逐步加快ADR在各行業(yè)的集中部署。

ADR定義

應(yīng)用檢測(cè)與響應(yīng)(Application Detection and Response – ADR)是指以Web應(yīng)用為主要對(duì)象,采集應(yīng)用運(yùn)行環(huán)境與應(yīng)用內(nèi)部中用戶(hù)輸入、上下文信息、訪問(wèn)行為等流量數(shù)據(jù)并上傳至分析管理平臺(tái),輔助威脅情報(bào)關(guān)聯(lián)分析后,以自動(dòng)化策略或人工響應(yīng)處置安全事件的解決方案。

若無(wú)特別說(shuō)明,本報(bào)告中的應(yīng)用主要指主機(jī)側(cè)的Web應(yīng)用,不包含PC終端、移動(dòng)終端、物聯(lián)網(wǎng)終端等端點(diǎn)側(cè)的應(yīng)用。

ADR以Web應(yīng)用為核心,以RASP為主要安全能力切入點(diǎn),通過(guò)對(duì)應(yīng)用流量數(shù)據(jù)中潛在威脅的持續(xù)檢測(cè)和快速響應(yīng),幫助用戶(hù)應(yīng)對(duì)來(lái)自業(yè)務(wù)增長(zhǎng)、技術(shù)革新和基礎(chǔ)設(shè)施環(huán)境變化所產(chǎn)生的諸多應(yīng)用安全新挑戰(zhàn)。

在安全檢測(cè)方面,ADR基于網(wǎng)格化的流量采集,通過(guò)應(yīng)用資產(chǎn)數(shù)據(jù)、應(yīng)用訪問(wèn)數(shù)據(jù)、上下文信息等,結(jié)合外部威脅情報(bào)數(shù)據(jù),高效準(zhǔn)確檢測(cè)0day漏洞利用、內(nèi)存馬注入等各類(lèi)安全威脅;、

在安全響應(yīng)方面,ADR基于場(chǎng)景化的學(xué)習(xí)模型,實(shí)現(xiàn)應(yīng)用資產(chǎn)的自動(dòng)發(fā)現(xiàn)與適配,自動(dòng)生成應(yīng)用訪問(wèn)策略,建立可視化的應(yīng)用訪問(wèn)基線,發(fā)現(xiàn)安全威脅時(shí),通過(guò)虛擬補(bǔ)丁、訪問(wèn)控制等安全運(yùn)營(yíng)處置手段,有效提高事件響應(yīng)的處置效率。

圖:ADR應(yīng)用檢測(cè)與響應(yīng)

圖:應(yīng)用檢測(cè)與響應(yīng)ADR 部署示意圖

在數(shù)世咨詢(xún)發(fā)布的《中國(guó)數(shù)字安全能力圖譜2022》中,應(yīng)用檢測(cè)與響應(yīng)ADR位于“應(yīng)用場(chǎng)景安全”方向的“開(kāi)發(fā)與應(yīng)用安全”分類(lèi)中。

《中國(guó)數(shù)字安全能力圖譜2022》開(kāi)發(fā)與應(yīng)用安全,ADR

在2022年度數(shù)字安全成熟度階梯(應(yīng)用場(chǎng)景)中,應(yīng)用檢測(cè)與響應(yīng)ADR位于“啟動(dòng)區(qū)”,屬于前沿創(chuàng)新和概念市場(chǎng)階段,目前國(guó)內(nèi)相關(guān)領(lǐng)域企業(yè)數(shù)量并不多,只有個(gè)別企業(yè)明確提出了ADR這一概念。

應(yīng)用場(chǎng)景

關(guān)鍵安全基礎(chǔ)設(shè)施

與WAF等邊界產(chǎn)品配合,實(shí)現(xiàn)縱深防護(hù)體系

WAF部署在網(wǎng)絡(luò)邊界,ADR部署在應(yīng)用層。WAF容易被繞過(guò),而ADR是應(yīng)用的最后一道防線。ADR不會(huì)取代WAF,兩者協(xié)同配合,相得益彰,共同組成縱深防御體系。

與主機(jī)側(cè)HDR配合,實(shí)現(xiàn)立體檢測(cè)與響應(yīng)能力

雖然一定程度上HDR也能夠覆蓋應(yīng)用層,但是基于主機(jī)側(cè)的HDR,重點(diǎn)還是關(guān)注服務(wù)器、虛擬機(jī)、容器等工作負(fù)載上主機(jī)層、系統(tǒng)層的安全檢測(cè)與響應(yīng),因此,不屬于應(yīng)用運(yùn)行環(huán)境內(nèi)部的ADR,能夠與HDR相配合,形成由下至上、由外至內(nèi)的立體檢測(cè)與響應(yīng)能力。

與IAST配合,覆蓋應(yīng)用的全生命周期

交互式應(yīng)用程序安全測(cè)試(IAST)關(guān)注的是應(yīng)用運(yùn)行時(shí)的安全漏洞,目的是發(fā)現(xiàn)漏洞,用于開(kāi)發(fā)測(cè)試階段。與IAST一樣,ADR也關(guān)注應(yīng)用在運(yùn)行時(shí)的安全問(wèn)題,但目的是發(fā)現(xiàn)攻擊者利用漏洞的攻擊行為,用于應(yīng)用的生產(chǎn)運(yùn)行階段。兩者配合,能夠覆蓋應(yīng)用的全生命周期,為DevOps提供持續(xù)有效的Sec能力。

實(shí)戰(zhàn)攻防演練

攻擊隊(duì)一般會(huì)利用已知或未知漏洞,繞過(guò)或突破網(wǎng)絡(luò)邊界,尋找核心資產(chǎn),控制管理權(quán)限。伴隨著演習(xí)經(jīng)驗(yàn)的不斷豐富,攻擊隊(duì)更加專(zhuān)注于應(yīng)用安全的研究,在演習(xí)中經(jīng)常使用供應(yīng)鏈攻擊等迂回手法來(lái)挖掘出特定0day漏洞,由于攻防對(duì)抗技術(shù)不對(duì)等,導(dǎo)致防守方經(jīng)常處于被動(dòng)劣勢(shì)。此時(shí),用戶(hù)可通過(guò)部署和運(yùn)營(yíng)ADR,搶占對(duì)抗先機(jī)。

演練前梳理應(yīng)用資產(chǎn),收斂潛在攻擊暴露面

防守隊(duì)利用ADR可進(jìn)行應(yīng)用資產(chǎn)梳理,形成應(yīng)用資產(chǎn)清單,明確應(yīng)用中間件的類(lèi)型、運(yùn)行環(huán)境、版本信息等關(guān)鍵信息,為后續(xù)安全加固、防護(hù)做到有的放矢。同時(shí),利用ADR的漏洞發(fā)現(xiàn)、基線安全等檢測(cè)功能,結(jié)合修復(fù)加固手段對(duì)發(fā)現(xiàn)的問(wèn)題逐一整改,消除應(yīng)用安全隱患,使應(yīng)用安全風(fēng)險(xiǎn)維持在可控范圍。

演練中持續(xù)檢測(cè)與分析,實(shí)現(xiàn)有效防御與溯源

ADR通過(guò)Agent對(duì)應(yīng)用程序的訪問(wèn)請(qǐng)求進(jìn)行持續(xù)監(jiān)控和分析,結(jié)合應(yīng)用上下文和攻擊檢測(cè)引擎,使得應(yīng)用程序在遭受攻擊——特別是0day、無(wú)文件等高級(jí)別攻擊手段時(shí)——能夠?qū)崿F(xiàn)有效的自我防御。另外,ADR的溯源能力可以從多維度捕獲攻擊者信息,聚合形成攻擊者畫(huà)像,同時(shí)記錄整個(gè)攻擊到防御的閉環(huán)過(guò)程,為編寫(xiě)報(bào)告提供依據(jù)。

演練后結(jié)合上下文,全面提高應(yīng)用安全等級(jí)

ADR不僅關(guān)注攻擊行為中的指令和代碼本身,還關(guān)注涉及到的上下文。因此安全人員可以通過(guò)ADR提供的調(diào)用堆棧信息等內(nèi)容,推動(dòng)研發(fā)人員進(jìn)行代碼級(jí)漏洞修復(fù),調(diào)整安全策略,進(jìn)行整體加固,全面提高應(yīng)用安全等級(jí)。同時(shí),ADR支持攻擊事件統(tǒng)計(jì)分析和日志功能,幫助安全人員快速整理安全匯報(bào)材料,顯著地提升安全運(yùn)營(yíng)工作效率。

數(shù)據(jù)治理安全

在數(shù)據(jù)生命周期中的采集、傳輸、存儲(chǔ)、處理、交換等各個(gè)環(huán)節(jié)中,“應(yīng)用”是最高頻、最重要、最關(guān)鍵的數(shù)據(jù)安全場(chǎng)景。結(jié)合數(shù)世咨詢(xún)發(fā)布的《數(shù)據(jù)治理安全DGS》能力白皮書(shū),ADR能夠有效支持?jǐn)?shù)據(jù)治理安全的落地與實(shí)踐。

數(shù)據(jù)的輕量資產(chǎn)化

數(shù)據(jù)的輕量資產(chǎn)化只需將原始數(shù)據(jù)進(jìn)行簡(jiǎn)單處理,剔除劣質(zhì)和無(wú)效數(shù)據(jù)后,將其制作成有效支持分析運(yùn)算與業(yè)務(wù)應(yīng)用的數(shù)據(jù)資產(chǎn)。 “應(yīng)用”處于業(yè)務(wù)與數(shù)據(jù)關(guān)聯(lián)的核心,是數(shù)據(jù)輕量資產(chǎn)化的最佳位置。ADR基于安全視角的資產(chǎn)發(fā)現(xiàn)與管理能力,能夠?yàn)槠涑掷m(xù)提供“既懂?dāng)?shù)據(jù)、又懂業(yè)務(wù)”的輕量資產(chǎn)化數(shù)據(jù)。

數(shù)據(jù)的分類(lèi)分級(jí)

ADR的應(yīng)用安全運(yùn)行基線能力,能夠基于對(duì)國(guó)家法律法規(guī)、行業(yè)監(jiān)管的理解和對(duì)業(yè)務(wù)數(shù)據(jù)的理解,極大地減少行業(yè)客戶(hù)數(shù)據(jù)分類(lèi)分級(jí)初期咨詢(xún)的工作量,在日后需要匹配新的業(yè)務(wù)流轉(zhuǎn)或符合新的安全合規(guī)要求時(shí),還能夠?yàn)?a href="http://ygpos.cn/AI_1.html" target="_blank" class="keylink">AI/ML的深度應(yīng)用持續(xù)提供最新的海量數(shù)據(jù)樣本。

配合安全能力的對(duì)接與編排調(diào)度

ADR基于RASP技術(shù),具備檢測(cè)高準(zhǔn)確率、告警低誤報(bào)率以及實(shí)時(shí)阻斷自動(dòng)化響應(yīng)等優(yōu)勢(shì)能力,因此可通過(guò)API的方式與數(shù)據(jù)安全能力接口進(jìn)行對(duì)接,或結(jié)合實(shí)網(wǎng)攻防演練或安全運(yùn)營(yíng)等不同的業(yè)務(wù)場(chǎng)景與編排調(diào)度平臺(tái)進(jìn)行配合,確保數(shù)據(jù)始終處于有效保護(hù)和合法利用的狀態(tài)。

除了上述主要場(chǎng)景,用戶(hù)在類(lèi)似的安全重保、應(yīng)用加固、供應(yīng)鏈安全以及集團(tuán)應(yīng)用安全體系建設(shè)等場(chǎng)景下,都可以采用ADR這塊重要拼圖。

關(guān)鍵技術(shù)能力

RASP恰好處在應(yīng)用訪問(wèn)流量中東西向與南北向的交叉點(diǎn),因此以RASP作為能力切入點(diǎn),ADR 應(yīng)當(dāng)具備以下幾個(gè)關(guān)鍵技術(shù)能力:

• 探針(Agent)

• 應(yīng)用資產(chǎn)發(fā)現(xiàn)

• 高級(jí)威脅檢測(cè)

• 數(shù)據(jù)調(diào)度與分析

• 響應(yīng)阻斷與修復(fù)

探針(Agent)

在主機(jī)安全層面,探針技術(shù)已經(jīng)開(kāi)始被多數(shù)用戶(hù)接受。因此在應(yīng)用安全領(lǐng)域,用戶(hù)對(duì)Agent的考量主要在于性能、兼容性、是否重啟等要點(diǎn)。

業(yè)務(wù)連續(xù)性

早期的RASP部署之后,需要重啟應(yīng)用環(huán)境,對(duì)用戶(hù)的業(yè)務(wù)連續(xù)性會(huì)有較大影響。近年來(lái),隨著技術(shù)發(fā)展,ADR已經(jīng)有采用“attach”等方式注入Agent,無(wú)需重啟直接更新,以減少對(duì)業(yè)務(wù)運(yùn)行的干擾。

對(duì)應(yīng)用性能的影響

RASP技術(shù)實(shí)現(xiàn)的實(shí)質(zhì)是在不接觸應(yīng)用源碼的情況下,對(duì)函數(shù)進(jìn)行Hook操作。因此不可避免的Agent對(duì)原有的應(yīng)用性能會(huì)有影響。在PoC試用時(shí)查看Agent對(duì)性能的影響,用戶(hù)一般關(guān)注內(nèi)存占用、RT(Response Time)等關(guān)鍵指標(biāo)。

兼容性

首先是對(duì)多開(kāi)發(fā)語(yǔ)言的支持,Java、Golang、PHP、Python、Nodejs等主流開(kāi)發(fā)語(yǔ)言,Agent探針都應(yīng)當(dāng)支持。再就是除了對(duì)應(yīng)用環(huán)境中典型中間件、第三方組件、通用類(lèi)和框架類(lèi)的函數(shù)等兼容外,還要能夠?qū)ψ匝写a部分進(jìn)行Hook。

應(yīng)用資產(chǎn)發(fā)現(xiàn)與管理

ADR應(yīng)當(dāng)具備較強(qiáng)的應(yīng)用資產(chǎn)發(fā)現(xiàn)與管理能力,這是后續(xù)檢測(cè)與響應(yīng)的基礎(chǔ)。

持續(xù)資產(chǎn)發(fā)現(xiàn)

ADR所覆蓋的資產(chǎn)主要為應(yīng)用資產(chǎn)、組件庫(kù)資產(chǎn)、API資產(chǎn)三大類(lèi)。資產(chǎn)發(fā)現(xiàn)手段可采用第三方導(dǎo)入+持續(xù)發(fā)現(xiàn)相結(jié)合的方式。一方面導(dǎo)入已有的應(yīng)用資產(chǎn)信息、第三方組件信息、所屬業(yè)務(wù)信息等資產(chǎn)數(shù)據(jù),另一方面,通過(guò)具備資產(chǎn)信息更新的接口,便于隨時(shí)從自有的資產(chǎn)發(fā)現(xiàn)模塊,或EDR、HDR等外部端側(cè)資產(chǎn)信息,定期接入更新的應(yīng)用資產(chǎn)數(shù)據(jù)。特別針對(duì)應(yīng)用框架中大量的API資產(chǎn),可通過(guò)插樁方式對(duì)應(yīng)用流量進(jìn)行全量采集并持續(xù)分析,持續(xù)發(fā)現(xiàn)API資產(chǎn)。

應(yīng)用資產(chǎn)管理

ADR應(yīng)針對(duì)應(yīng)用的框架、組件、業(yè)務(wù)屬性、時(shí)間線等具備細(xì)粒度的資產(chǎn)管理能力、可視化的資產(chǎn)信息展示能力。除此之外,對(duì)于應(yīng)用框架中的第三方組件庫(kù),ADR應(yīng)當(dāng)具備動(dòng)態(tài)采集加載組件庫(kù)信息的能力。也就是說(shuō),針對(duì)組件庫(kù)資產(chǎn),要能區(qū)分在全量組件中哪些是應(yīng)用已經(jīng)加載的組件,以便后續(xù)環(huán)節(jié)中,對(duì)其能夠優(yōu)先進(jìn)行檢測(cè)與響應(yīng)。特別是當(dāng)供應(yīng)鏈出現(xiàn)嚴(yán)重漏洞的時(shí)候,可以快速定位到組件使用情況,加強(qiáng)對(duì)供應(yīng)鏈管理能力。

形成運(yùn)行基線

通過(guò)持續(xù)的資產(chǎn)發(fā)現(xiàn)與管理,結(jié)合應(yīng)用、中間件的配置檢查能力,由此,ADR即可形成應(yīng)用安全運(yùn)行基線。無(wú)論是實(shí)網(wǎng)攻防演練,還是日常安全運(yùn)營(yíng),結(jié)合不同的業(yè)務(wù)場(chǎng)景,安全團(tuán)隊(duì)可對(duì)應(yīng)用和中間件的資產(chǎn)完整性、策略配置、異常行為等進(jìn)行針對(duì)性的監(jiān)測(cè)、檢測(cè)、響應(yīng)。

ADR的能力建設(shè)到這一步,可以滿(mǎn)足大部分針對(duì)應(yīng)用的攻擊檢測(cè)與響應(yīng)需求。接下來(lái),還需要對(duì)更高級(jí)別的攻擊行為構(gòu)筑威脅檢測(cè)能力。

高級(jí)威脅檢測(cè)

基于RASP的技術(shù)實(shí)現(xiàn)特性,ADR應(yīng)當(dāng)具備對(duì)0day漏洞、內(nèi)存馬等高級(jí)威脅的檢測(cè)能力。

0day漏洞

對(duì)nday漏洞的PoC檢測(cè)基于漏洞的已知特征實(shí)現(xiàn)。區(qū)別于此,ADR是對(duì)應(yīng)用中關(guān)鍵執(zhí)行函數(shù)進(jìn)行Hook監(jiān)聽(tīng),同時(shí)采集上下文信息結(jié)合判斷。因此能夠覆蓋更加全面的攻擊路徑,進(jìn)而從行為模式的層面,對(duì)0day漏洞實(shí)現(xiàn)有效感知,彌補(bǔ)傳統(tǒng)流量規(guī)則檢測(cè)方案所無(wú)法實(shí)現(xiàn)的未知漏洞攻擊防御。

前段時(shí)間造成大范圍影響的Log4j漏洞事件中,就已經(jīng)有ADR代表企業(yè)以上述思路成功阻斷了當(dāng)時(shí)以0day身份出現(xiàn)的Log4j漏洞在客戶(hù)側(cè)的蔓延。因此,對(duì)0day漏洞的檢測(cè)與響應(yīng)已經(jīng)成為ADR的關(guān)鍵能力之一。

內(nèi)存馬

應(yīng)用內(nèi)存馬的攻擊實(shí)現(xiàn)方式是,攻擊者通過(guò)應(yīng)用漏洞結(jié)合語(yǔ)言特性在應(yīng)用中注冊(cè)包含后門(mén)功能的API。此類(lèi)API在植入之后并不會(huì)在磁盤(pán)上寫(xiě)入文件,代碼數(shù)據(jù)只寄存在內(nèi)存中,此類(lèi)無(wú)文件攻擊特性可以很好的隱藏后門(mén),攻擊者可長(zhǎng)期控制業(yè)務(wù)系統(tǒng)或?qū)⑵渥鳛檫M(jìn)入企業(yè)內(nèi)部的網(wǎng)絡(luò)跳板。

針對(duì)應(yīng)用內(nèi)存馬,ADR首先可通過(guò)建立內(nèi)存馬檢測(cè)模型,持續(xù)檢測(cè)內(nèi)存中可能存在的惡意代碼,覆蓋大部分已知特征的內(nèi)存馬;其次,基于RASP的技術(shù)特點(diǎn),ADR可以對(duì)內(nèi)存馬注入可能利用到的關(guān)鍵函數(shù),進(jìn)行實(shí)時(shí)監(jiān)測(cè),從行為模式層面以“主被動(dòng)結(jié)合”的方式發(fā)現(xiàn)內(nèi)存馬,以此覆蓋剩余的未知特征的內(nèi)存馬。

因?yàn)槭窃趦?nèi)存中進(jìn)行檢測(cè)與判斷,因此,對(duì)內(nèi)存馬的攻擊行為一經(jīng)發(fā)現(xiàn)并結(jié)合上下文確認(rèn),就可以實(shí)時(shí)進(jìn)行阻斷并清除,實(shí)現(xiàn)自動(dòng)化的檢測(cè)與響應(yīng)。相比之下,其他響應(yīng)阻斷都會(huì)有一定的滯后性。因此可以說(shuō)這是ADR的核心關(guān)鍵能力之一。

數(shù)據(jù)建模與分析

ADR需要具備較強(qiáng)的數(shù)據(jù)建模與分析能力。

鑒于Agent不能過(guò)高占用應(yīng)用環(huán)境資源,ADR數(shù)據(jù)建模與分析應(yīng)由專(zhuān)門(mén)的服務(wù)端引擎來(lái)承擔(dān),將Agent采集數(shù)據(jù)、安全日志數(shù)據(jù)、外部威脅情報(bào)數(shù)據(jù)等有序調(diào)度匯總后,進(jìn)行威脅建模與分析研判。

數(shù)據(jù)的建模與分析應(yīng)當(dāng)兼顧成本與效率,數(shù)據(jù)模型要考慮資產(chǎn)優(yōu)先級(jí)、業(yè)務(wù)場(chǎng)景等,原則是提高對(duì)常見(jiàn)威脅的分析效率與準(zhǔn)確率,降低自動(dòng)化響應(yīng)的失誤率。

對(duì)于高級(jí)別威脅的數(shù)據(jù)分析,引擎中的場(chǎng)景劇本,要能夠隨時(shí)增加或更新,分析結(jié)果在管理平臺(tái)可視化呈現(xiàn)或以可編輯報(bào)告的形式導(dǎo)出,為高級(jí)別威脅所需的人工研判提供支持依據(jù)。

響應(yīng)阻斷與修復(fù)

不同于邊界設(shè)備基于特征匹配檢測(cè)攻擊,對(duì)于掃描器的踩點(diǎn)、掃描行為,?般會(huì)產(chǎn)??量誤報(bào),RASP 運(yùn)?在應(yīng)?內(nèi)部,失敗的攻擊不會(huì)觸發(fā)檢測(cè)邏輯,所以每條告警都是真實(shí)正在發(fā)生的攻擊,這就為ADR自動(dòng)化的阻斷響應(yīng)提供了天然的技術(shù)基礎(chǔ)。

首先,基于應(yīng)用訪問(wèn)關(guān)系,梳理應(yīng)用的拓?fù)潢P(guān)系與數(shù)據(jù)流,逐步形成應(yīng)用的安全運(yùn)行基線,然后利用微隔離,降低攻擊者在不同應(yīng)用區(qū)域間潛在的橫向移動(dòng)風(fēng)險(xiǎn);然后在此基礎(chǔ)上,如前所述,針對(duì)0day漏洞、內(nèi)存馬等高級(jí)威脅,結(jié)合上下文進(jìn)行自動(dòng)化的阻斷響應(yīng)。最后,為避免再發(fā)生類(lèi)似攻擊,ADR還應(yīng)具備臨時(shí)修復(fù)加固功能。例如通過(guò)彈性補(bǔ)丁或虛擬補(bǔ)丁,對(duì)漏洞進(jìn)行臨時(shí)修復(fù),待將來(lái)某個(gè)時(shí)刻,應(yīng)用升級(jí)或重啟時(shí),再交由研發(fā)、運(yùn)維等兄弟部門(mén)處置。

需要注意的是,雖然 RASP 幾乎沒(méi)有誤報(bào),但自動(dòng)化阻斷始終不能影響應(yīng)用的業(yè)務(wù)連續(xù)性,應(yīng)當(dāng)具備一定的自查自保護(hù)機(jī)制。例如針對(duì)上述各響應(yīng)各環(huán)節(jié),在管理平臺(tái)側(cè)提供完備的隔離策略、阻斷控制、補(bǔ)丁分發(fā)等功能的完整日志記錄,從而為運(yùn)營(yíng)人員進(jìn)一步的重放、分析、溯源、報(bào)告等操作提供支撐。

國(guó)內(nèi)外代表企業(yè)

Araali Network

Araali Network 是今年RSAC2022的創(chuàng)新沙盒10強(qiáng),關(guān)注云原生場(chǎng)景下的應(yīng)用運(yùn)行時(shí)安全。其安全理念、技術(shù)框架、產(chǎn)品功能與本文提出的ADR十分相符。

舉例來(lái)說(shuō),Araali首先會(huì)對(duì)應(yīng)用的運(yùn)行時(shí)環(huán)境進(jìn)行持續(xù)掃描監(jiān)測(cè),以評(píng)估固有風(fēng)險(xiǎn)并確定其優(yōu)先級(jí)。它會(huì)自動(dòng)檢測(cè)最易受攻擊的應(yīng)用程序、最有價(jià)值的應(yīng)用程序,它還會(huì)查找具有過(guò)多特權(quán)、未使用的開(kāi)放端口、磁盤(pán)上的密鑰、特權(quán)過(guò)高的IAM配置,以分析潛在的攻擊暴露面,逐步形成應(yīng)用的安全運(yùn)行基線。

在“檢測(cè)”環(huán)節(jié),Araali使用基于eBPF的控件來(lái)創(chuàng)建基于身份的行為模型,對(duì)出站的請(qǐng)求進(jìn)行檢測(cè)分析,并與外部威脅情報(bào)結(jié)合,在網(wǎng)絡(luò)流程層面對(duì)惡意連接進(jìn)行分析阻斷。一旦發(fā)現(xiàn)可疑行為,Araali會(huì)將時(shí)間、客戶(hù)端、服務(wù)、狀態(tài)等完整上下文信息一同推送給安全運(yùn)營(yíng)團(tuán)隊(duì),功能上甚至允許運(yùn)營(yíng)團(tuán)隊(duì)“重放”觸發(fā)告警的行為動(dòng)作,方便團(tuán)隊(duì)參考上下文順序進(jìn)行進(jìn)一步關(guān)聯(lián)分析。

在后續(xù)的“響應(yīng)”部分,運(yùn)營(yíng)團(tuán)隊(duì)除了對(duì)事件中的單點(diǎn)威脅進(jìn)行阻斷外,還通過(guò)自動(dòng)化、自適應(yīng)的“彈性補(bǔ)丁”對(duì)風(fēng)險(xiǎn)點(diǎn)進(jìn)行加固修復(fù)。這一部分能力,也是通過(guò)eBPF來(lái)實(shí)現(xiàn)。

基于上述能力,Araali實(shí)現(xiàn)了對(duì)0day漏洞的預(yù)防護(hù)。彈性補(bǔ)丁可以直接鞏固強(qiáng)化應(yīng)用的行為,從而防止?jié)撛诘睦?day入侵的威脅。官方宣稱(chēng)“一次響應(yīng),永久預(yù)防”。

針對(duì)0day等高級(jí)威脅的檢測(cè)能力,以及不中斷業(yè)務(wù)、彈性補(bǔ)丁等貼合用戶(hù)實(shí)際需求的優(yōu)勢(shì),是數(shù)世咨詢(xún)將 Araali 列入代表企業(yè)的原因。

Reveal Security

同數(shù)世咨詢(xún)一樣,Reveal Security也明確提出了ADR應(yīng)用檢測(cè)與響應(yīng)的理念。

它認(rèn)為,網(wǎng)絡(luò)、終端、操作系統(tǒng)以及用戶(hù)行為等維度,均已經(jīng)有成型的安全檢測(cè)與響應(yīng)技術(shù),但在應(yīng)用層仍缺少有效的檢測(cè)與響應(yīng)手段,ADR應(yīng)需而生。

Reveal 的核心技術(shù)理念,以分析用戶(hù)訪問(wèn)應(yīng)用的行為上下文為出發(fā)點(diǎn),代替基于規(guī)則的應(yīng)用安全檢測(cè),目的是提升應(yīng)用檢測(cè)的準(zhǔn)確率,為之后的響應(yīng)環(huán)節(jié)提供高效支撐。

在實(shí)現(xiàn)上,它放棄了之前只分析某個(gè)行為本身的做法,改為分析用戶(hù)在應(yīng)用中的一系列行為。通過(guò)行為上下文,找出不同于正常訪問(wèn)行為的異常特征session,進(jìn)而發(fā)現(xiàn)潛在威脅。

Reveal強(qiáng)調(diào)并非要找到一個(gè)適用于所有用戶(hù)的通用性行為,而是要通過(guò)機(jī)器學(xué)習(xí)形成針對(duì)每個(gè)用戶(hù)的行為基線,因此,它會(huì)盡量多的獲取各類(lèi)日志信息,以聚類(lèi)數(shù)據(jù)引擎對(duì)各類(lèi)分組數(shù)據(jù)進(jìn)行調(diào)度與分析,逐步形成用戶(hù)的行為基線,進(jìn)而發(fā)現(xiàn)異常威脅行為。

據(jù)Reveal宣稱(chēng),其檢測(cè)模型具有非常廣泛的適應(yīng)性,不依賴(lài)于應(yīng)用中某個(gè)具體的運(yùn)行環(huán)境。同時(shí)它的聚類(lèi)分析引擎并不需要準(zhǔn)確集群數(shù)量的先驗(yàn)知識(shí),仍能保持準(zhǔn)確性。

對(duì)應(yīng)用行為數(shù)據(jù)的聚類(lèi)分析,是RevealSecurity的亮點(diǎn)優(yōu)勢(shì),也是ADR所需的關(guān)鍵能力之一,這也是數(shù)世咨詢(xún)將其列入代表企業(yè)的原因。

邊界無(wú)限

邊界無(wú)限作為國(guó)內(nèi)新成立的安全創(chuàng)新企業(yè),其團(tuán)隊(duì)核心成員來(lái)自騰訊玄武實(shí)驗(yàn)室和頭部安全公司,具備很高的攻防起點(diǎn),因此,0day、內(nèi)存馬等高級(jí)威脅檢測(cè)場(chǎng)景是其RASP產(chǎn)品的優(yōu)勢(shì)之一,據(jù)了解,Log4j、Spring4shell等高危漏洞爆發(fā)時(shí),他們的RASP產(chǎn)品靖云甲都成功檢測(cè)并進(jìn)行了攔截。

基于RASP技術(shù),憑借攻防基因與技術(shù)優(yōu)勢(shì),邊界無(wú)限完善了應(yīng)用運(yùn)行時(shí)全流程全周期的安全防護(hù)能力,加入了多場(chǎng)景業(yè)務(wù)適配、虛擬補(bǔ)丁、編排模式等檢測(cè)與響應(yīng)能力。依托這些能力,用戶(hù)可以快速聚焦攻擊者,定位缺陷應(yīng)用,進(jìn)而提升團(tuán)隊(duì)的MTTD/MTTR時(shí)效。

具體以應(yīng)用資產(chǎn)盤(pán)點(diǎn)能力舉例來(lái)說(shuō),該能力以實(shí)戰(zhàn)攻防演練為主要場(chǎng)景、以攻擊面收斂為主要目的,除了常見(jiàn)的第三方組件庫(kù)等應(yīng)用資產(chǎn),對(duì)應(yīng)用間的API資產(chǎn)也能夠持續(xù)發(fā)現(xiàn)與管理,對(duì)南北向之外的東西向流量,都可以做到覆蓋與識(shí)別,進(jìn)而梳理清楚應(yīng)用間的訪問(wèn)關(guān)系。

今年,邊界無(wú)限也提出了應(yīng)用檢測(cè)與響應(yīng)ADR的理念,與數(shù)世咨詢(xún)不謀而合。作為國(guó)內(nèi)少有的ADR代表企業(yè)之一,數(shù)世咨詢(xún)會(huì)對(duì)其持續(xù)關(guān)注。

行業(yè)展望

ADR在國(guó)內(nèi)各行業(yè)將加快集中部署

隨著“業(yè)務(wù)上云”的普及,越來(lái)越多云原生場(chǎng)景下的應(yīng)用檢測(cè)與響應(yīng)需求需要得到滿(mǎn)足。同時(shí),很多ADR廠商為了提升應(yīng)用行為的聚類(lèi)分析、威脅情報(bào)的更新推送、虛擬補(bǔ)丁的分發(fā)等操作的效果與ROI,自身也會(huì)利用云原生技術(shù)進(jìn)行產(chǎn)品的部署與實(shí)施,如此一來(lái),有實(shí)力的ADR廠商將與公有云廠商、各行業(yè)云廠商建立更加深入的合作關(guān)系,逐步加快ADR在各行業(yè)的集中部署。

ADR與持續(xù)應(yīng)用安全(CAS)結(jié)合

持續(xù)應(yīng)用安全(CAS)是基于我國(guó)軟件供應(yīng)鏈安全現(xiàn)狀所誕生的一種理念,主要解決軟件供應(yīng)鏈中數(shù)字化應(yīng)用的開(kāi)發(fā)以及運(yùn)行方面的安全問(wèn)題,覆蓋應(yīng)用的源代碼開(kāi)發(fā)、構(gòu)建部署、上線運(yùn)行等多個(gè)階段,保障數(shù)字化應(yīng)用的全流程安全狀態(tài),是安全能力原子化(離散式制造、集中式交付、統(tǒng)一式管理、智能式應(yīng)用)在軟件供應(yīng)鏈安全上的應(yīng)用。因此在應(yīng)用的運(yùn)行階段,ADR能夠與CAS形成數(shù)據(jù)關(guān)聯(lián)和能力融合,并經(jīng)由統(tǒng)一調(diào)度管理形成體系化的解決方案,以達(dá)到幫助用戶(hù)減少資源投入、整合安全能力和提升安全效率的目的。

繼NDR、EDR、HDR等檢測(cè)與響應(yīng)能力之后,ADR將成為又一個(gè)必備能力

在實(shí)網(wǎng)攻防演練等場(chǎng)景中,大部分用戶(hù)已經(jīng)在流量、終端、主機(jī)等維度逐漸形成了NDR、EDR乃至HDR(主機(jī)檢測(cè)與響應(yīng))等檢測(cè)與響應(yīng)能力,有效提升了安全檢測(cè)的覆蓋度與應(yīng)急響應(yīng)時(shí)效。作為更加貼近業(yè)務(wù)側(cè)的檢測(cè)與響應(yīng)能力,ADR的出現(xiàn),能夠有效補(bǔ)全其他“DR”在業(yè)務(wù)側(cè)的不足。因此,數(shù)世咨詢(xún)認(rèn)為,在未來(lái)2-3年內(nèi),將會(huì)有越來(lái)越多機(jī)構(gòu)用戶(hù)將ADR作為必備能力之一,納入安全運(yùn)營(yíng)建設(shè)計(jì)劃,并與NDR、EDR、HDR等一起形成完備的安全檢測(cè)與響應(yīng)體系。

以《關(guān)基保護(hù)要求》為綱,ADR將具備更加落地的指導(dǎo)要求

在筆者完稿之際,國(guó)家市場(chǎng)監(jiān)管總局批準(zhǔn)發(fā)布了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》( GB/T 39204-2022)(簡(jiǎn)稱(chēng)《關(guān)基保護(hù)要求》)國(guó)家標(biāo)準(zhǔn)文件。該標(biāo)準(zhǔn)作為《關(guān)基保護(hù)條例》發(fā)布一年后首個(gè)正式發(fā)布的關(guān)基標(biāo)準(zhǔn),是為了落實(shí)《網(wǎng)絡(luò)安全法》《關(guān)基保護(hù)條例》中關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全的保護(hù)要求,借鑒重要行業(yè)和領(lǐng)域開(kāi)展網(wǎng)絡(luò)安全保護(hù)工作的成熟經(jīng)驗(yàn)而制定的,將于2023年5月1日正式實(shí)施。它規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在識(shí)別分析、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置等方面的安全要求。因此以《關(guān)基保護(hù)要求》為綱,ADR對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施中的“Web應(yīng)用”構(gòu)筑安全保障體系時(shí),將具備更加可落地的指導(dǎo)要求。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )