曾幾何時,黑客攻擊大多通過網絡層進行,但随着基于網絡層的基礎安全防護措施趨于嚴密,防火牆、入侵防禦、防病毒等安全軟硬體建構起了相對完善的防護體系,想再從網絡層鑽空子的難度增大。如今,黑客攻擊從網絡層轉入Web為主,傳統安全體系越來越捉襟見肘。目前很多政企客戶的安全關注點就在于應用安全,迫切需要針對Web應用層提供更新的解決辦法,這是安全業界新的課題。
應用安全不可忽視
随着新興技術的快速發展,網絡應用類别越來越多,應用複雜度也越來越高,單純解決網絡層的安全已經無法防禦黑客的新型攻擊,必須高度重視維護關鍵應用的安全。這是因為Web應用程式無處不在,在大多數情況下是公司的核心元件。由于各種原因,它們經常擷取、處理、存儲和傳輸敏感資料(如機密業務資訊、員工資訊、客戶個人資料、财務資訊等)。Web應用程式成為網絡犯罪分子擷取敏感資訊,入侵您的組織的最簡單的途徑之一。是以,對于Web應用安全的關注度更加熱切。
随着越來越多的企業将核心業務系統轉移到網絡上,Web浏覽器成為業務系統的主要入口。在這種背景下,如何保障企業的應用安全,尤其是Web應用安全,成為資訊安全保障的關鍵所在。一份來自某國際知名咨詢公司的分析報告指出,在調查的企業資料中心中,92%的Web應用存在安全缺陷,80%存在跨站攻擊的風險,而高達62%存在SQL注入漏洞。同時,專門針對應用層進行攻擊的手段也日益增多,防範起來越來越困難。值得注意的是,網絡應用之是以不安全,其中一個關鍵因素是應用程式本身的安全性問題,給黑客攻擊留下了可乘之機。
北京邊界無限科技有限公司(邊界無限,BoundaryX)聯合創始人、CTO王佳甯表示,未來,更多的業務将以Web應用方式呈現,資訊安全也必将從以邊界防護為主向應用自身安全防護為主過渡,同時衆多政企客戶将加強各個應用安全防護産品的聯防聯控,形成整體應用防護的縱深防禦體系。
WAF獨木難支
對Web應用的攻擊不曾停止,應用安全防護技術的進化也一直在持續。從傳統的IPS防火牆,再到WAF(Web應用防火牆)的橫空出世,引領技術趨勢若幹年,這一階段可以稱為應用安全防護1.0時代。尤其是WAF作為一款成熟的網站防護産品,一度成為企業為Web應用提供安全防護的必備利器。它能夠抵禦定向的Web技術攻擊、部分業務邏輯攻擊以及海量殭屍電腦的惡意通路。通過對Web應用的深入解析和檢測, 能夠阻攔SQL注入、跨站腳本攻擊,阻止惡意掃描等常見Web攻擊并提供修補漏洞的能力。
近年來,随着雲計算市場的火熱,WAF有了一種新的接入方式:雲部署。通過簡單的DNS記錄變更,将流量引入到雲端防護叢集,經過安全防護檢測後,将安全流量回源到伺服器。相比于硬體WAF,雲WAF擁有零部署、零安裝、快速穩定等優勢,并可将防護能力自動擴充、與雲上網站共享、叢集彈性擴容、輕松應對海量業務下的防護。越來越多的企業開始考慮購買雲WAF産品。除了專業WAF廠商外,目前主要的雲供應商都通過收購或者研發豐富了自己的WAF産品,它們與服務商自己的負載均衡器很好地內建在一起。但根據最新的調查報告,WAF産品的有效性和客戶滿意度的表現越來越令人失望。雖然WAF目前是企業應用安全政策的主力産品,但事實是,大多數企業都難以充分利用此類産品。
擁有WAF并不意味着應用安全防護可以一勞永逸。WAF的優點是可以進行流量告警,通常的安裝方式是将WAF串行部署在Web伺服器前端,用于檢測、阻斷異常流量,對全流量進行分析。但是WAF的缺點更讓企業頭痛,易被繞過、誤報率高、維護成本高、需要不斷更新規則庫、出現0day不能及時防禦等都讓安全部門極為苦惱。
由于傳統WAF基于規則建構安全政策,隻要針對Web伺服器、Web應用對協定解析、字元解析、檔案名解析、編碼解析以及SQL文法解析的差異進行變形,就可能達到繞過WAF的效果。同時,傳統WAF無法對新型的攻擊進行有效的識别和阻斷。目前市面上大多數的WAF都是基于規則比對的,但規則的更新往往是滞後于攻擊發生,例如:0day漏洞攻擊,沒有預配置的規則,隻能在漏洞披露後,依據漏洞特征建立防護規則。此外,傳統WAF對攻擊的識别來自于已經設定好的規則庫,對于看似“正常”的業務邏輯漏洞卻無能為力。例如越權操作,入侵者可以用低權限賬号登陸系統後,通過攔截并修改使用者參數,以達到檢視或者修改其它權限賬号的目的,而傳統WAF并不能識别這一看似正常的操作。
可以這麼說,WAF代表了應用安全防護1.0時代的最高水準,但随着攻擊手段的不斷更新,應用安全防護應該具備檢測與響應能力,并契合内生安全理念,實作應用程式的自我防護,尤其是業務上雲之後。
ADR應運而生
随着企業深度用雲以及雲原生應用的快速普及,雲上複雜性提升,導緻網絡攻擊面倍增,也伴生出新的安全風險。既然WAF在防護範圍和防護能力上存在局限,難以應對複雜的網絡攻擊形勢,于是很多廠商極力倡導WAAP成為革新必然。WAAP核心功能包括Web應用防火牆、API保護、Bot防護和七層DDoS攻擊防護,進一步擴充了雲上應用安全防護範圍和安全深度。但WAAP目前仍存在一個很大的問題,那就是Web應用防護仍主要依靠邊界防護手段,并未形成應用的自我防護機制。
大家對WAF、Bot防護、DDoS攻擊防護已經比較熟悉,在此不多贅述。以API防護為例,随着API廣泛應用于各個線上業務,涉及交易、賬号敏感相關的環節都備受灰黑産關注,線上業務欺詐風險驟升。黑灰産已高度成熟,通過大量自動化、流程化的方式進行業務欺詐,并貫穿于整個線上業務場景。在注冊、登入、營銷場景下,自動化攻擊占比均在50%以上。絕大多數企業對自身API資産現狀不清,大量僵屍API、影子API存在,使敏感資料暴露在API之上,給攻擊者留下了突破口。同時API沒有上下文,攻擊成本較低,攻擊者通過簡單的網絡請求即可擷取資料或者進行攻擊。但目前,廣大客戶的API防護還是依靠API網關等裝置,并未真正解決API防護的“最後一公裡”問題。
那如何從應用自身加強防護,進而跟邊界防護産品形成互動與聯防,真正做到内外兼顧,縱深防禦呢?Gartner引領的關鍵技術趨勢可以給我們一定的借鑒意義。早在2014年,Gartner引入了“RASP-Runtime application self-protection”這一概念,它是一種新型應用安全保護技術,它将保護程式像“免疫血清”一樣注入到應用程式中,與應用程式融為一體,能實時檢測和阻斷安全攻擊,使應用程式具備自我保護能力。Log4j2等“核彈級漏洞”的爆發,使RASP技術迅速升溫,填補了市場在應用層防護的空白,但技術的演進并未停止。
2022年12月,在國内知名安全咨詢公司數世咨詢釋出的行業首份《ADR能力白皮書》中首次提出ADR這一新賽道,通過系統研究ADR的關鍵能力以及使用場景等,為廣大政企客戶建構整體應用防護體系提供參考和借鑒。ADR類産品基于RASP,并在其基礎上增加了開源風險治理、API資産梳理(可以從應用内部洞悉全量API資産)、中間件基線、應用基線等持續檢測和環境安全功能,可以視作RASP2.0,并可與WAF等傳統安全産品形成縱深防禦體系,達到應用安全“内外兼顧”的效果。這代表了應用安全防護的最新趨勢,将應用安全由之前以邊界防護為主的1.0時代提升至内外結合、持續檢測與響應的2.0時代,打造了應用安全防護的新範式。
靖雲甲ADR獨領風騷
目前,安全行業需要革新安全理念、技術和模式,将人工智能、雲原生等新技術應用到網絡安全防護中,實作對網絡威脅的預先研判、智能防護和自動抵禦,有效提升安全威脅檢測、應急處置和追蹤溯源能力,實作從事後補救到安全前置,從局部分割到全面防護,從被動安全到主動安全的轉變,以便構築起主動、智能、全面的應用安全防護體系。結合敏銳的市場洞察力以及多年的攻防經驗積澱,邊界無限基于RASP和雲原生技術推出了靖雲甲ADR應用安全檢測與響應系統。
邊界無限靖雲甲ADR基于RASP技術,以雲原生為場景,以資料鍊路為核心,以流量安全、API安全和資料安全作為安全能力切入點,引入多項前瞻性的技術理念,通過對應用風險的持續檢測和安全風險快速響應,幫助企業應對來自業務增長、技術革新和基礎設施環境變化所産生的等諸多應用安全新挑戰。
在流量安全方面,靖雲甲ADR基于網格化流量采集,通過關聯應用端點資料、應用通路資料,高效準确防禦0day漏洞利用、記憶體馬注入等各類安全威脅;在資料安全方面通過資料審計、治理、脫敏等安全技術,有效實作資料安全風險态勢的把控。在為企業提供全面的應用安全保障的同時,靖雲甲ADR通過虛拟更新檔、漏洞威脅情報、通路控制等營運處置手段,有效提高安全營運的事件處置效率。這順應了時下流行的安全技術趨勢,也滿足了廣大政企客戶的現實安全需求。
靖雲甲ADR擁有精準細化的資産清點、緊跟形式的安全研究、海量可靠的漏洞營運、輕量無感的性能損耗等優點,尤其是在應用資産管理、供應鍊安全、API資産學習層面,其表現優異。靖雲甲ADR跨IT架構統計應用資産,實作安全能力同步管控,為應用提供安全風險評估;動态采集應用運作過程中的元件加載情況,快速感覺資産動态,全面有效獲知供應鍊資産資訊;自主學習流量加應用架構,具體來說,靖雲甲ADR會通過插樁對應用内部架構定義的API方法以及應用流量進行API全量采集,同時利用AI檢測引擎請求流量進行持續分析,自動分析暴露陳舊、敏感資料等關鍵問題。
靖雲甲ADR的技術領先優勢已經被業界廣泛認可。在客戶層面,廣大政企客戶均加大了對RASP技術的研究和引進力度,其中金融行業匹馬當先,營運商、能源電力、大型央企及網際網路企業等也在迅速跟進。在國産化層面,邊界無限靖雲甲ADR也取得了不錯的進展,已經相繼完成在銀河麒麟和兆芯、龍芯、鲲鵬等CPU環境下的交叉測試,均可穩定高效運作。在國産中間件領域,靖雲甲ADR已經相繼完成了針對寶藍德BES以及東方通Tongweb的相容性測試,各項功能及防護能力均可穩定高效運作。
邊界無限憑借靖雲甲ADR在國際領先的IT市場研究和咨詢公司IDC釋出的《IDC Innovators:中國雲原生安全技術,2023》報告中獲得雲原生安全技術的創新者稱号;在國内知名研究機構數世咨詢釋出的安全行業首份《ADR能力白皮書》中,成為唯一被推薦的國内代表廠商;也是順利通過信通院首批“運作時應用程式自我保護(RASP)工具能力評估”認證的廠商。近日,在數字咨詢舉辦的第三屆數字安全大會上,邊界無限獲得ADR賽道領航者的稱号。靖雲甲ADR的整體實力已經受到國内外咨詢機構的權威認可,可以說是在行業内獨領風騷。
綜合而言,現在國内的Web應用安全仍在探索和實踐階段。傳統網絡安全防禦體系剛剛完成閉環的安全周期,明确了以資産為保護核心的理念,而之後向Web應用安全轉化和發展是需要一個過程和周期。但黑客對Web應用的新型攻擊已經兵臨城下,這不僅需要廣大客戶在Web應用安全方面進行大力投入,還要充分了解未來Web應用防護的技術趨勢,在以ADR、WAAP等新技術加大Web應用安全方面防護措施投入的同時,結合原來的網絡層安全防禦體系,達到更加理想的安全防護效果,将黑客對Web應用的攻擊損失減少到最小。
王佳甯表示,傳統邊界防護方案很容易被繞過,應用将成為使用者防護的“最後一道防線”,邊界無限引領應用安全新趨勢的靖雲甲ADR主攻應用檢測與響應,可與WAF形成縱深防禦體系,聯防聯控,動态防禦,助力廣大客戶建設縱深防護體系和整體防護體系,進而實作真正的動态全方位防護,實作關基業務“零關停”、“少關停”。未來,邊界無限将持續加大在應用安全和雲原生安全上的投入力度,為廣大客戶在雲時代的應用安全防護更新和雲原生安全體系建設添磚加瓦。