近日,中国数字产业领域第三方咨询机构数世咨询发布安全行业首份《ADR能力白皮书》,通过系统研究ADR的关键能力以及使用场景等,为广大政企客户构建整体应用防护体系提供参考和借鉴。白皮书还推荐了ADR领域的代表性厂商,作为一家专注于技术创新突破的安全新锐公司,边界无限凭借其被喻为应用“免疫血清”的靖云甲ADR成为唯一被推荐的国内公司。该ADR能力白皮书在CSA大中华区组织的CSA研讨会上首次发布。该白皮书指出,继NDR、EDR、HDR等检测与响应能力之后,ADR将成为又一个必备安全能力,关基领域客户有望率先集中部署。

ADR关键发现

• 应用检测与响应(Application Detection and Response – ADR)是指以Web应用为主要对象,采集应用运行环境与应用内部中用户输入、上下文信息、访问行为等流量数据并上传至分析管理平台,辅助威胁情报关联分析后,以自动化策略或人工响应处置安全事件的解决方案。

•  ADR以Web应用为核心,以RASP为主要安全能力切入点。

• 作为安全关键基础设施,ADR能够与WAF、HDR、IAST等多个安全能力形成有机配合。

• ADR 的五大关键技术能力:探针(Agent)、应用资产发现、高级威胁检测、数据建模与分析、响应阻断与修复。

• 对0day漏洞、无文件攻击等高级攻击威胁的检测与响应已经成为ADR的关键能力之一。

• ADR厂商将与公有云厂商、各行业云厂商建立更加深入的合作关系,逐步加快ADR在各行业的集中部署。

ADR赛道行业展望

ADR在国内各行业将加快集中部署

随着“业务上云”的普及,越来越多云原生场景下的应用检测与响应需求需要得到满足。同时,很多ADR厂商为了提升应用行为的聚类分析、威胁情报的更新推送、虚拟补丁的分发等操作的效果与ROI,自身也会利用云原生技术进行产品的部署与实施,如此一来,有实力的ADR厂商将与公有云厂商、各行业云厂商建立更加深入的合作关系,逐步加快ADR在各行业的集中部署。

 ADR与持续应用安全(CAS)结合

持续应用安全(CAS)是基于我国软件供应链安全现状所诞生的一种理念,主要解决软件供应链中数字化应用的开发以及运行方面的安全问题,覆盖应用的源代码开发、构建部署、上线运行等多个阶段,保障数字化应用的全流程安全状态,是安全能力原子化(离散式制造、集中式交付、统一式管理、智能式应用)在软件供应链安全上的应用。因此在应用的运行阶段,ADR能够与CAS形成数据关联和能力融合,并经由统一调度管理形成体系化的解决方案,以达到帮助用户减少资源投入、整合安全能力和提升安全效率的目的。

 继NDR、EDR、HDR等检测与响应能力之后,ADR将成为又一个必备能力

在实网攻防演练等场景中,大部分用户已经在流量、终端、主机等维度逐渐形成了NDR、EDR乃至HDR(主机检测与响应)等检测与响应能力,有效提升了安全检测的覆盖度与应急响应时效。作为更加贴近业务侧的检测与响应能力,ADR的出现,能够有效补全其他“DR”在业务侧的不足。因此,数世咨询认为,在未来2-3年内,将会有越来越多机构用户将ADR作为必备能力之一,纳入安全运营建设计划,并与NDR、EDR、HDR等一起形成完备的安全检测与响应体系。

 以《关基保护要求》为纲,ADR将具备更加落地的指导要求

在笔者完稿之际,国家市场监管总局批准发布了《关键信息基础设施安全保护要求》( GB/T 39204-2022)(简称《关基保护要求》)国家标准文件。该标准作为《关基保护条例》发布一年后首个正式发布的关基标准,是为了落实《网络安全法》《关基保护条例》中关于关键信息基础设施运行安全的保护要求,借鉴重要行业和领域开展网络安全保护工作的成熟经验而制定的,将于2023年5月1日正式实施。它规定了关键信息基础设施运营者在识别分析、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全要求。因此以《关基保护要求》为纲,ADR对关键信息基础设施中的“Web应用”构筑安全保障体系时,将具备更加可落地的指导要求。

 边界无限靖云甲ADR

诚如数世咨询ADR能力白皮书中所述,目前国内相关领域企业数量并不多,只有个别企业明确提出了ADR这一概念,而边界无限就是这么一家将RASP技术提升至ADR的安全新锐,并凭借超强的技术前瞻性和对ADR的专注而入选ADR能力白皮书,并且成为国内唯一被推荐的ADR代表厂商,其自主研创的靖云甲ADR更是被业界称为应用的“免疫血清”。

边界无限副总裁、产品总负责人沈思源介绍说,靖云甲ADR基于RASP技术,以Web应用为核心,以RASP为主要安全能力切入点,打造Web应用全方位安全检测与响应的解决方案,是边界无限帮助用户构建云原生时代安全基础设施体系的起点和战略支点,更是“灵动智御”理念的实践。靖云甲ADR引入多项前瞻性的技术理念,通过对应用风险的持续检测和安全风险快速响应,帮助企业应对来自业务增长、技术革新和基础设施环境变化所产生的等诸多应用安全新挑战。

边界无限靖云甲ADR拥有资产管理、入侵检测、漏洞管理和内存马防御等核心功能,具备免重启、采样决策分离、IT部署架构、性能全面领先等核心优势,其应用场景为业务在线修复、实战攻防演练、恶意应用攻击和集团应用安全建设能力等。

具体来说,在流量安全层面,边界无限靖云甲ADR基于网格化流量采集,通过联动应用端点数据、应用访问数据,高效准确防御0day漏洞利用、内存马注入等各类安全威胁;在数据安全方面通过数据审计、治理、脱敏等安全技术,有效实现数据安全风险态势的把控。在为企业提供全面的应用安全保障的同时,ADR通过虚拟补丁、漏洞威胁情报、访问控制等运营处置手段,有效提高安全运营的事件处置效率。这顺应了时下流行的安全技术趋势,也满足了广大政企客户的现实安全需求。

边界无限靖云甲ADR拥有精准细化的资产清点、紧跟形式的安全研究、海量可靠的漏洞运营、轻量无感的性能损耗等优点,尤其是在应用资产管理、供应链安全、API资产学习层面,表现优异。靖云甲ADR跨IT架构统计应用资产,实现安全能力同步管控,为应用提供安全风险评估;动态采集应用运行过程中的组件加载情况,快速感知资产动态,全面有效获知供应链资产信息;自主学习流量+应用框架,具体来说,靖云甲ADR会通过插桩对应用内部框架定义的API方法以及应用流量进行API全量采集,同时利用AI 检测引擎请求流量进行持续分析,自动分析暴露陈旧、敏感数据等关键问题。

此外,边界无限靖云甲ADR采用“主被动结合”双重防御机制,对外基于RASP能力对内存马的注入行为进行有效防御,对内通过建立内存马检测模型,通过持续分析内存中存在的恶意代码,帮助用户解决掉埋藏内存中的“定时炸弹”。针对内存中潜藏的内存马,靖云甲ADR提供了一键清除功能,可以直接将内存马清除,实现对内存马威胁的快速处理。靖云甲ADR还可以通过主动拦截+被动扫描,有效阻断内存马的注入;对已经被注入的内存马提供源码和特征检测信息,无需重启应用即可一键清除。另外,靖云甲ADR采用“attach”等方式注入agent,无需重启直接更新,以减少对业务运行的干扰。

截至目前,边界无限已与关键基础设施重要行业和领域的数十家客户达成业务合作,相信随着RASP以及ADR技术的进一步成熟,边界无限将帮助各运营单位构建关键信息基础设施整体应用防控体系,不断提升关键信息基础设施安全应用防护能力。