隨著企業(yè)越發(fā)重視和加強(qiáng)應(yīng)用程序，以及開(kāi)發(fā)人員采用新的技術(shù)/流程來(lái)構(gòu)建應(yīng)用程序，以提高上線(xiàn)速度和豐富客戶(hù)體驗(yàn)，廣大企業(yè)對(duì)應(yīng)用的防護(hù)需求日益增加，應(yīng)用安全將成為最重要的安全陣地之一。據(jù)Forrester預(yù)測(cè)，至2025年全球應(yīng)用安全市場(chǎng)將達(dá)到129億美元規(guī)模。市場(chǎng)的擴(kuò)大和攻擊手段的多樣化給傳統(tǒng)應(yīng)用安全防護(hù)手段提出了新的挑戰(zhàn)，也激發(fā)了諸如RASP等新興應(yīng)用防護(hù)技術(shù)的產(chǎn)生以及邊界無(wú)限等安全新銳的崛起。邊界無(wú)限以RASP技術(shù)為基礎(chǔ)，推出全棧式云安全防護(hù)系統(tǒng)——靖云甲，迅速奪得了應(yīng)用運(yùn)行時(shí)安全防護(hù)的“桿位”。

應(yīng)用安全面臨現(xiàn)實(shí)痛點(diǎn)

絕大部分Web應(yīng)用攻擊都是沒(méi)有特定目標(biāo)的大范圍漏洞掃描，但少數(shù)攻擊卻是為入侵特定目標(biāo)而進(jìn)行的針對(duì)性嘗試。無(wú)論哪種情況，攻擊都非常頻繁，難以準(zhǔn)確檢測(cè)。同時(shí)企業(yè)在做好應(yīng)用安全防護(hù)的過(guò)程中面臨諸多現(xiàn)實(shí)痛點(diǎn)。邊界無(wú)限創(chuàng)始人、CEO陳佩文表示，除了人為因素及防護(hù)策略導(dǎo)致的信息泄露，應(yīng)用安全的幾個(gè)特點(diǎn)值得關(guān)注。

一是安全漏洞攻擊迅猛增長(zhǎng)。應(yīng)用作為網(wǎng)絡(luò)入口承載著大量業(yè)務(wù)和流量，因此成為了安全的重災(zāi)區(qū)，黑客大多會(huì)利用Web應(yīng)用漏洞實(shí)施攻擊。由于應(yīng)用保護(hù)的嚴(yán)重不足，且企業(yè)缺乏東西向的防御能力，黑客往往借助自動(dòng)化的工具以及Nday漏洞，在短時(shí)間內(nèi)以更高效、隱蔽的方式對(duì)Web進(jìn)行漏洞掃描和探測(cè)，這將大大加劇企業(yè)應(yīng)用防護(hù)的難度，使企業(yè)面臨更為嚴(yán)重的安全風(fēng)險(xiǎn)和損失。以近期出現(xiàn)的log4j和spring相關(guān)漏洞為例，其嚴(yán)重程度令人擔(dān)憂(yōu)，企業(yè)的重視程度也相當(dāng)高，但即便如此，此類(lèi)漏洞還是會(huì)長(zhǎng)期與應(yīng)用共存，因此針對(duì)應(yīng)用的貼身防護(hù)刻不容緩。

二是針對(duì)API的攻擊越來(lái)越普遍。隨著數(shù)字化轉(zhuǎn)型，現(xiàn)代企業(yè)越來(lái)越多的服務(wù)都已經(jīng)IT化，其中API成為了企業(yè)數(shù)字化的窗口。企業(yè)通過(guò)API來(lái)完成數(shù)據(jù)的傳遞，幫助企業(yè)完成相關(guān)業(yè)務(wù)功能，因此API變成攻擊的重點(diǎn)目標(biāo)，黑客通過(guò)掃描攻擊和濫用API相關(guān)功能來(lái)獲取企業(yè)敏感數(shù)據(jù)。除此之外，很多企業(yè)并不清楚自己擁有多少API，也并不能保證每個(gè)API都具有良好的訪(fǎng)問(wèn)控制，被遺忘的影子API和僵尸API會(huì)帶來(lái)重大的未知風(fēng)險(xiǎn)。據(jù)Gartner預(yù)測(cè)，到2022年API濫用將是最常見(jiàn)的攻擊方式，為API構(gòu)建安全防護(hù)體系勢(shì)在必行。而RASP作為程序的“免疫血清”，憑借其身位優(yōu)勢(shì)，在程序內(nèi)部最直觀、最準(zhǔn)確地獲取API接口等信息，從根本上守護(hù)API安全。

三是不安全的反序列化。反序列化過(guò)程就是應(yīng)用接受序列化對(duì)象并將其還原的過(guò)程。如果反序列化過(guò)程不安全，可能會(huì)出現(xiàn)重大問(wèn)題。即便開(kāi)發(fā)人員知道不能信任用戶(hù)輸入，但序列化對(duì)象卻總是被莫名地重視，往往放松對(duì)序列化對(duì)象的安全管理。這種情況下，不安全的反序列化過(guò)程成為黑客發(fā)送攻擊的重要方式，且此種攻擊手段在黑客攻擊技術(shù)中排名前列，其不安全性極易導(dǎo)致Web應(yīng)用暴露在遠(yuǎn)程代碼執(zhí)行威脅之下。

四是盲目依賴(lài)開(kāi)源組件導(dǎo)致供應(yīng)鏈安全危機(jī)。最近發(fā)生的很多數(shù)據(jù)泄露事件，攻擊者利用的漏洞往往嵌入軟件的開(kāi)源組件里，這暴露了Web應(yīng)用安全中的一個(gè)重大問(wèn)題——盲目信賴(lài)開(kāi)源組件。據(jù)Forrester研究表明，應(yīng)用軟件80％-90％的代碼來(lái)自開(kāi)源組件。全球?qū)﹂_(kāi)源代碼的旺盛需求，將導(dǎo)致Web應(yīng)用供應(yīng)鏈攻擊在2022年進(jìn)一步增長(zhǎng)，范圍擴(kuò)大，并且更加復(fù)雜，未來(lái)使用惡意軟件進(jìn)行Web應(yīng)用供應(yīng)鏈攻擊的數(shù)量將不斷攀升。利用開(kāi)源組件，實(shí)施對(duì)Web應(yīng)用供應(yīng)鏈的攻擊更隱蔽，危險(xiǎn)性也更高。

RASP——應(yīng)用安全“免疫血清”

當(dāng)前，多數(shù)應(yīng)用都依賴(lài)于像入侵防護(hù)系統(tǒng)（IPS）和 Web 應(yīng)用防火墻（WAF）等外部防護(hù)。WAF部署在Web應(yīng)用前線(xiàn)，通過(guò)對(duì)HTTP/HTTPS的有目的性的策略來(lái)達(dá)到對(duì)Web應(yīng)用的保護(hù)，在HTTP流量到達(dá)應(yīng)用服務(wù)器之前對(duì)其進(jìn)行分析，但是基于流量的檢測(cè)分析手段容易被繞過(guò)。相比于傳統(tǒng)的邊界產(chǎn)品， RASP不需要依賴(lài)規(guī)則。在去年波及范圍較廣的Log4j2漏洞和最近Spring漏洞事件中，RASP展示出它過(guò)人的優(yōu)勢(shì)。

“WAF等傳統(tǒng)安全防護(hù)產(chǎn)品部署在邊界，更像讓人多穿衣服、多喝熱水，RASP是基于新一代防護(hù)理念的應(yīng)用程序自我防護(hù)技術(shù)，兩者并不會(huì)相互取代，而是能相互配合、相得益彰。然而，很多人會(huì)把RASP比如成應(yīng)用‘疫苗’，簡(jiǎn)單說(shuō)，‘疫苗’更多地是針對(duì)特定病癥的專(zhuān)項(xiàng)應(yīng)對(duì)。從目前的網(wǎng)絡(luò)安全趨勢(shì)上來(lái)看，未知漏洞攻擊越來(lái)越普遍，我們要做的就是幫助客戶(hù)加強(qiáng)自身網(wǎng)絡(luò)的安全防護(hù)能力，從這個(gè)意義上來(lái)說(shuō)，RASP更像是在實(shí)際網(wǎng)絡(luò)攻防中提取的‘免疫血清’，幫助客戶(hù)加強(qiáng)自身肌體的免疫力，讓客戶(hù)網(wǎng)絡(luò)擁有內(nèi)生安全能力。”陳佩文如是說(shuō)。

針對(duì)性防護(hù)應(yīng)用行為上的攻擊，RASP可以做到以下幾點(diǎn)。一是資產(chǎn)梳理。幫助用戶(hù)從安全角度構(gòu)建細(xì)粒度的應(yīng)用資產(chǎn)信息，讓被保護(hù)的應(yīng)用資產(chǎn)清晰可見(jiàn)。提供數(shù)十種應(yīng)用中間件的自動(dòng)識(shí)別，并主動(dòng)發(fā)現(xiàn)、上報(bào)應(yīng)用的第三方庫(kù)信息，實(shí)現(xiàn)對(duì)應(yīng)用安全性的內(nèi)透。二是內(nèi)存馬防御。通過(guò)建立內(nèi)存馬檢測(cè)模型，以Java語(yǔ)言為例，利用 Agent 周期性地對(duì) JVM 內(nèi)存中的 API 進(jìn)行風(fēng)險(xiǎn)篩查，并及時(shí)上報(bào)存在風(fēng)險(xiǎn)的信息，幫助用戶(hù)解決掉埋藏內(nèi)存中的“定時(shí)炸彈”。三是漏洞管理。幫助用戶(hù)精準(zhǔn)發(fā)現(xiàn)應(yīng)用漏洞風(fēng)險(xiǎn)，幫助安全團(tuán)隊(duì)快速、有效地定位和解決安全風(fēng)險(xiǎn)。主動(dòng)采集第三方依賴(lài)庫(kù)庫(kù)信息，并與云端漏洞庫(kù)進(jìn)行比對(duì)、分析，識(shí)別出應(yīng)用存在的安全隱患，從而縮減應(yīng)用攻擊面，提升應(yīng)用安全等級(jí)。四是入侵防御。幫助用戶(hù)防御無(wú)處不在的應(yīng)用漏洞與網(wǎng)絡(luò)威脅。結(jié)合應(yīng)用漏洞攻擊免疫算法、安全切面算法及縱深流量學(xué)習(xí)算法等關(guān)鍵技術(shù)，將安全防御能力嵌入到應(yīng)用自身當(dāng)中，為應(yīng)用程序提供全生命周期的動(dòng)態(tài)安全保護(hù)，顯著地提升企業(yè)的安全運(yùn)營(yíng)工作效率。

陳佩文表示，RASP 以探針的形式，將保護(hù)引擎注入到應(yīng)用服務(wù)中，就像“免疫血清”一樣，隨應(yīng)用程序在本地、云、虛擬環(huán)境或容器中進(jìn)行部署，為應(yīng)用程序提供安全特性。這種特性使RASP掌握了內(nèi)部所有動(dòng)作的“上下文聯(lián)系”，而不只是“入口流量”。這樣可以構(gòu)建應(yīng)用安全程序的深度防御體系，尤其是在面臨未知漏洞的前提下，也將是較優(yōu)的選擇，彌補(bǔ)了當(dāng)前市場(chǎng)在產(chǎn)品應(yīng)用層的空白。

靈動(dòng)智御  RASP靖云甲率先落地

“邊界無(wú)限是一家技術(shù)至上的公司。我們希望能面對(duì)新的安全趨勢(shì)，站在巨人的肩膀上，更前瞻性地考慮安全技術(shù)升級(jí)與產(chǎn)品布局。RASP是我們的起點(diǎn)，也是我們的戰(zhàn)略支點(diǎn)，我們希望做一家有技術(shù)領(lǐng)先性、有行業(yè)示范性、有國(guó)際知名度的民族安全企業(yè)。靖云甲基于云原生技術(shù)和RASP技術(shù)，將主動(dòng)防御能力無(wú)縫融合至應(yīng)用程序運(yùn)行環(huán)境和開(kāi)發(fā)語(yǔ)言中。通過(guò)對(duì)請(qǐng)求調(diào)用的關(guān)鍵函數(shù)進(jìn)監(jiān)聽(tīng)，結(jié)合應(yīng)用上下文情景分析能力和強(qiáng)大的AI攻擊檢測(cè)引擎，可捕捉并攔截各種繞過(guò)流量檢測(cè)的威脅攻擊，來(lái)應(yīng)對(duì)無(wú)處不在的應(yīng)用漏洞與網(wǎng)絡(luò)威脅，從而為應(yīng)用程序提供全生命周期的動(dòng)態(tài)安全保護(hù)。這是行業(yè)的創(chuàng)新之舉，也是大勢(shì)所趨，同時(shí)也是我們‘靈動(dòng)智御’理念的最佳實(shí)踐。”陳佩文介紹說(shuō)。

邊界無(wú)限RASP靖云甲應(yīng)用程序自我防護(hù)體系主要由微探針(Agent)、數(shù)據(jù)調(diào)度器、AI攻擊檢測(cè)引擎、管理平臺(tái)四部分構(gòu)成，來(lái)提供靈活的、穩(wěn)定的、精準(zhǔn)的核心能力支持。靖云甲通過(guò)將Agent注入到應(yīng)用中間件中，對(duì)被保護(hù)應(yīng)用程序的訪(fǎng)問(wèn)請(qǐng)求進(jìn)行持續(xù)監(jiān)控和分析，使得應(yīng)用程序在遭受攻擊時(shí)，能夠?qū)崿F(xiàn)自我防御。靖云甲產(chǎn)品體系采用模塊化的組織形式，實(shí)現(xiàn)了各核心功能的智能集成和協(xié)同聯(lián)動(dòng)。

值得一提的是，邊界無(wú)限RASP靖云甲可以細(xì)粒度構(gòu)建應(yīng)用資產(chǎn)，提供資產(chǎn)關(guān)聯(lián)能力，有效防御未知漏洞威脅，全方位保護(hù)應(yīng)用安全。它采用獨(dú)特采樣決策架構(gòu)，保障應(yīng)用安全“快準(zhǔn)穩(wěn)”。此外，基于云原生場(chǎng)景進(jìn)行的頂層設(shè)計(jì)，使得靖云甲可以完美契合云上安全需求，支持容器化、支持K8S部署、輕松解決業(yè)務(wù)爆發(fā)式增長(zhǎng)、實(shí)例突增帶來(lái)的安全防護(hù)同步問(wèn)題。

江山代有人才出，各領(lǐng)風(fēng)騷數(shù)十年。安全行業(yè)的日新月異，終究會(huì)激發(fā)新的安全技術(shù)甚至安全公司應(yīng)運(yùn)而生，未來(lái)的安全市場(chǎng)將發(fā)生怎么樣的變化，讓我們靜觀其變，客觀記錄。

文章關(guān)鍵詞：應(yīng)用安全、RASP、API安全、漏洞管理、入侵防御、邊界無(wú)限、0Day漏洞、WAF

關(guān)于邊界無(wú)限

www.boundaryx.com

北京邊界無(wú)限科技有限公司（BoundaryX，簡(jiǎn)稱(chēng)邊界無(wú)限），是中國(guó)云、應(yīng)用安全"靈動(dòng)智御"安全理念的創(chuàng)領(lǐng)者，致力于為廣大政企用戶(hù)提供全鏈路云安全防護(hù)產(chǎn)品和攻防體系，并通過(guò)還原真實(shí)攻防來(lái)幫助用戶(hù)構(gòu)建更安全、更靈動(dòng)、更智能、更具價(jià)值的防御體系。

無(wú)實(shí)戰(zhàn)，不安全！邊界無(wú)限成立于2019年，總部位于北京，團(tuán)隊(duì)成員來(lái)自于各大安全廠(chǎng)商及頭部互聯(lián)網(wǎng)企業(yè)安全實(shí)驗(yàn)室，擁有多年一線(xiàn)攻防對(duì)抗的工作經(jīng)驗(yàn)，多次在國(guó)家及省級(jí)攻防演練中名列前茅。

RASP被喻為網(wǎng)絡(luò)安全的"免疫血清"。基于豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)和自主創(chuàng)新的技術(shù)，邊界無(wú)限推出RASP全棧式云安全防護(hù)平臺(tái)-靖云甲。該產(chǎn)品是邊界無(wú)限幫助用戶(hù)構(gòu)建云原生時(shí)代安全基礎(chǔ)設(shè)施體系的起點(diǎn)和戰(zhàn)略支點(diǎn)，更是"靈動(dòng)智御"理念的實(shí)踐。它以"數(shù)據(jù)驅(qū)動(dòng)、連接、全鏈路"為產(chǎn)品理念，消除根本風(fēng)險(xiǎn)，為企業(yè)主動(dòng)防御賦能；通過(guò)"應(yīng)用上下文安全分析引擎、智能算法"等關(guān)鍵技術(shù)，捕捉攔截已知和未知威脅攻擊，從而為云上資產(chǎn)、應(yīng)用、數(shù)據(jù)提供全鏈路、全生命周期的動(dòng)態(tài)安全保護(hù)。

截至目前，邊界無(wú)限已與政府、金融、能源、云服務(wù)廠(chǎng)商、電商、互聯(lián)網(wǎng)等領(lǐng)域數(shù)十家客戶(hù)達(dá)成業(yè)務(wù)合作，為其構(gòu)建穩(wěn)定、高效的安全防護(hù)。