安全行业首份ADR能力白皮书正式发布 边界无限入选代表厂商

12月13日,由国际云安全联盟CSA大中华区主办,中国数字产业领域第三方咨询机构数世咨询以及新锐安全企业边界无限联合承办的CSA系列研讨之应用检测与响应研讨暨ADR能力白皮书发布会在线上成功举办。本次研讨会以“契合关基,环环相扣”为主题,由CSA大中华区IAM工作组组长谢琴主持,京东应用安全与应急负责人王永孝,数世咨询合伙人、高级分析师刘宸宇,边界无限创始人、CEO陈佩文等嘉宾,针对关基应用安全防护现状及未来趋势,共同探讨ADR(应用检测与响应)的先进性与发展前景。

谢琴介绍道,国际云安全联盟(CSA)创立于2009年,作为世界领先的独立、权威国际产业组织,致力于定义和提高业界对云计算和下一代数字技术安全最佳实践的认识和全面发展。云安全联盟大中华区(CSA GCR)作为CSA全球四大区之一,于2016年在中国香港正式注册,2021年在上海注册落地,CSA GCR立足于中国,作为国际桥梁联接世界,致力于构建国际数字安全的生态体系。为了更好地促进安全产业发展,CSA大中华区组织了一系列的专项研讨会,本期题目是《应用检测与响应研讨暨ADR能力白皮书发布会》,聚焦关基应用防护与ADR的发展。

会议还发布了安全业界首份《ADR能力白皮书》,通过系统研究ADR的关键能力以及使用场景等,为广大政企客户构建整体应用防护体系提供参考和借鉴。白皮书还推荐了ADR领域的代表性厂商,作为一家专注于技术创新突破的安全新锐公司,边界无限凭借其被喻为应用“免疫血清”的靖云甲ADR成为唯一被推荐的国内公司。

在圆桌讨论环节,各位嘉宾首先探讨了在《信息安全技术关键信息基础设施安全保护要求》的宏观指导下,该如何构建真正动态高效、协同联动的应用防护体系,以及ADR将在其中发挥的关键作用。此外,专家还就线上观众提出的问题进行了定向解答。

网安形势严峻亟需防得住的硬措施

来自政府监管的资深专家表示,随着网络安全形势愈发严峻,重要行业单位面临诸多新风险、新威胁:(一)新型攻击威胁层出不穷,网络安全事件频发。一是个人信息和重要数据成为黑客攻击的主要目标。二是勒索病毒攻击成为增长最快的网络威胁之一,产业化、隐匿性、精准性趋势明显。三是工业控制系统攻击事件呈现集中爆发趋势,严重威胁工业生产安全。四是攻击者利用身份仿冒、短链接、二维码夹带等新型手段,开展社工钓鱼攻击越演越烈。五是数字化转型给关键信息基础设施安全尤其是数据安全带来新挑战。

他指出,为有效应对新形势、新挑战,亟需建设一批防得住的硬措施,做到网络安全和业务紧密融合,打造网络安全运营支撑体系,全面推进网络安全一盘棋工作开展,广泛开展网络安全威胁情报共享,形成监管部门、重要行业单位、优秀社会力量协同配合、联防联控的新局面。

在谈及关基与ADR时他表示,《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规密集出台,国家网络安全工作全面提挡升级,进程明显加快。新时期,要求我们树立新理念、采取新举措、实现新目标,强化技术对抗能力。尤其是,对于云平台、重要应用系统、主机系统等,要实施精准防护,可以部署现在较流行的基于RASP的ADR等主机和应用防护手段,紧盯API安全,按照“最小化原则”开展精准授权与准入管理,强化远程接入行为检测,构建端到端的可信访问认证机制和全链路安全检测机制,有效识别零日漏洞攻击,守住网络安全防线。

ADR、CAS相生相存  共促应用安全

数世咨询合伙人、高级分析师刘宸宇重点解读了ADR(Application Detection and Response,应用检测与响应)这一关键发现。ADR以Web应用为核心,以RASP为主要安全能力切入点,通过对应用流量数据中潜在威胁的持续检测和快速响应,帮助用户应对来自业务增长、技术革新和基础设施环境变化所产生的诸多应用安全新挑战。在安全检测方面,ADR基于网格化的流量采集,通过应用资产数据、应用访问数据、上下文信息等,结合外部威胁情报数据,高效准确检测0day漏洞利用、内存马注入等各类安全威胁;在安全响应方面,ADR基于场景化的学习模型,实现应用资产的自动发现与适配,自动生成应用访问策略,建立可视化的应用访问基线,发现安全威胁时,通过虚拟补丁、访问控制等安全运营处置手段,有效提高事件响应的处置效率。

ADR是指以Web应用为主要对象,采集应用运行环境与应用内部中用户输入、上下文信息、访问行为等流量数据并上传至分析管理平台,辅助威胁情报关联分析后,以自动化策略或人工响应处置安全事件的解决方案。作为安全关键基础设施,ADR能够与WAF、HDR、IAST等多个安全能力形成有机配合,对0day漏洞、无文件攻击等高级攻击威胁的检测与响应已经成为ADR的关键能力之一。

图:ADR应用检测与响应

刘宸宇表示,在即将发布的《中国数字安全能力图谱2022》中,应用检测与响应ADR位于“应用场景安全”方向的“开发与应用安全”分类中。在2022年度数字安全成熟度阶梯(应用场景)中,应用检测与响应ADR位于“启动区”,属于前沿创新和概念市场阶段,目前国内相关领域企业数量并不多,只有个别企业明确提出了ADR这一概念。

ADR主要的应用场景有关键安全基础设施、实战攻防演练以及数据治理安全。在关键安全基础设施方面,ADR与WAF等边界产品配合,实现纵深防护体系;与主机侧HDR配合,实现立体检测与响应能力;与IAST配合,覆盖应用的全生命周期。在实战演练中,率先部署和运营ADR能帮助用户抢占对抗先机。演练前梳理应用资产,收敛潜在攻击暴露面;演练中持续检测与分析,实现有效防御与溯源;演练后结合上下文,全面提高应用安全等级。在数据治理安全中,ADR基于安全视角的资产发现与管理能力,能够为其持续提供“既懂数据、又懂业务”的轻量资产化数据,并且能够实现数据的分类分级以及配合安全能力的对接与编排调度。除了上述主要场景,用户在类似的安全重保、应用加固、供应链安全以及集团应用安全体系建设等场景下,都可以采用ADR这块重要拼图。

RASP恰好处在应用访问流量中东西向与南北向的交叉点,因此以RASP作为能力切入点,ADR 应当具备以下几个关键技术能力分别是:探针(Agent)、应用资产发现、高级威胁检测、数据调度与分析以及响应阻断与修复。

边界无限作为国内新成立的安全创新企业,其团队核心成员来自腾讯玄武实验室和头部安全公司,具备很高的攻防起点,Log4j、Spring4shell等高危漏洞爆发时,他们的产品都成功检测并进行了拦截。基于RASP技术,凭借攻防基因与技术优势,边界无限完善了应用运行时全流程全周期的安全防护能力,加入了多场景业务适配、虚拟补丁等检测与响应能力,推出了靖云甲ADR,这与数世咨询的研究不谋而合。作为国内唯一入选ADR能力白皮书的企业,数世咨询将对边界无限持续关注。

刘宸宇表示,CAS与ADR相生相存,是基于我国软件供应链安全现状所诞生的一种理念,主要解决软件供应链中数字化应用的开发以及运行方面的安全问题,覆盖应用的源代码开发、构建部署、上线运行等多个阶段,保障数字化应用的全流程安全状态,是安全能力原子化(离散式制造、集中式交付、统一式管理、智能式应用)在软件供应链安全上的应用。因此在应用的运行阶段,ADR能够与CAS形成数据关联和能力融合,并经由统一调度管理形成体系化的解决方案,以达到帮助用户减少资源投入、整合安全能力和提升安全效率的目的。在CAS体系中,ADR可以说是“最后一道防线”,用以保护未来在云原生时代甲方客户“唯一”需要保护的关键信息安全基础设施——应用,可以弥补DevSecOps在运行时的应用防护短板。

甲方应用安全建设资产、能力、策略缺一不可

京东集团应用安全与应急负责人王永孝在演讲中指出,目前各企业面临的应用安全挑战极其严峻,很多大型威胁事件以及高危漏洞的爆发给广大企业敲响了警钟,企业如果想系统建立应用安全防护能力,资产、能力、策略一样都不能少。

在提到京东集团所面临的的应用安全建设挑战时,王永孝指出,业务场景多、工作量大、迭代迅速、人员紧张是京东面临的问题,也是很多大型企业面临的问题,并且应用安全要想细化需要深入业务,不管是对安全人员的投入,还是对业务团队的投入都是巨大的成本,尽量沉淀自动化能力,可以节省很大的人力成本。

他表示,应用安全不是与业务越耦合越好,需要平衡投入和产出,安全卡点要尽量合并统一,能一个点解决的不要拆分成多个,另外资产很重要,是做好安全工作的基石,良好的应用资产测绘能力便成为了一款产品好坏的重要考核标准。

在谈及ADR时,王永孝表示,ADR在RASP基础上提升了检测与响应的能力,而不仅仅是阻断,这意味这款技术已经逐步走向成熟,已经具备了应用安全解决方案的能力。在云原生时代,应用的防护将提升到更高的高度 ,才能保障整体的安全,一旦应用暴露在特定攻击之下,后果将很严重,ADR在此方面有用武之地,可以帮助客户有效提升应用安全防护水平,并进而建立整体应用防护体系。

靖云甲ADR助力关基应用防护

边界无限创始人、CEO陈佩文在本次研讨会中表示,以《关基保护要求》为指导,边界无限着力打造以关键业务为核心的整体应用防护,以风险管理为导向的动态应用防护,以信息共享为基础的应用端协同联防。边界无限靖云甲ADR是以Web应用为核心,以RASP为主要安全能力切入点,打造Web应用全方位安全检测与响应的解决方案,是边界无限帮助用户构建云原生时代安全基础设施体系的起点和战略支点,更是“灵动智御”理念的实践。

靖云甲ADR引入多项前瞻性的技术理念,通过对应用风险的持续检测和安全风险快速响应,帮助企业应对来自业务增长、技术革新和关键基础设施环境变化所产生的等诸多应用安全新挑战。在流量安全方面,ADR基于网格化流量采集,通过联动应用端点数据、应用访问数据,高效准确防御0day漏洞利用、内存马注入等各类安全威胁;在API安全方面,通过建立自主学习模型,实现API的自动发现,漏洞挖掘;自动生成API访问策略,通过调用追踪的方式建立可视化的API风险见解,为API提供实时防御。在数据安全方面通过数据审计、治理、脱敏等安全技术,有效实现数据安全风险态势的把控。在为企业提供全面的应用安全保障的同时,ADR通过虚拟补丁、威胁情报、访问控制等运营处置手段,有效提高安全运营的事件处置效率。

随着“业务上云”的普及,越来越多云原生场景下的应用检测与响应需求需要得到满足。靖云甲ADR主要面向关基所涉及的金融、能源电力、运营商、电子政务、公共服务(医疗、教育等)、交通、水利等多个领域,多方面助力构建关键信息基础设施动态应用防护机制,实时精准采集应用资产、组件库资产等信息,消除资产盲区,实现资产有效管理,让安全防护覆盖到资产的每一个角落;帮助用户精准发现应用漏洞风险,帮助安全团队快速、有效地定位和解决安全风险;主动采集第三方依赖库信息,并与云端漏洞库进行比对、分析,识别出应用存在的安全隐患,从而缩减应用攻击面,提升应用安全等级;通过对应用运行时环境的持续监控,有效防御恶意攻击,为应用提供全生命周期的动态安全保护。

陈佩文指出,作为网络安全产品和安全服务综合提供商,边界无限结合现有的网络安全保障体系以及在重要行业和领域开展网络安全保护工作的成熟经验,不断加强企业技术研发和服务能力创新,助力客户加强关基应用防护能力体系建设。边界无限靖云甲ADR,保护关键信息基础设施应用“零关停”、“少关停”,加强关键信息基础设施应用安全能力建设,为国家关键信息基础设施的应用安全保驾护航。

安全行业面临的威胁日新月异,但随着ADR、CAS等新技术的不断演进,广大政企客户的防护能力也将逐步提升,在应用层面,ADR、CAS将发挥重要的作用,助力提升关基应用防护水平。