ADR白皮书成应用安全建设指南边界无限为国内唯一被推荐厂商-每日速读

来源：中关村在线　2023-03-31 17:47:43

随着云原生时代的来临，业务变得越来越开放和复杂，安全边界越来越模糊，固定的防御边界已经不复存在，仅仅依靠WAF这样的边界防护手段是显然不够的。基于请求特征+规则策略的防御控制手段仅能将部分危险拦截在外，同时随着实网攻防演练的常态化、实战化，攻防对抗强度不断升级，攻击者可轻易绕过传统边界安全设备基于规则匹配的预防机制。

【资料图】

不仅如此，攻击者还会利用供应链攻击等迂回手法来挖掘出特定0day漏洞，实现对目标应用的精准打击。类似的高级攻击手段，让越来越多的安全管理者，开始关注安全左移，例如将DevOps与Sec结合，尝试实现DevSecOps，亦或是以运行时应用自我防护为手段，对运行时的应用安全进行更多投入。

然而，与云主机安全遇到的局限性类似，应用安全原有的安全能力是有缺失的。一方面，用户在实战化安全能力需求中，迫切需要一个专门针对应用的行之有效的解决方案，加入安全运营体系中，从而实现应用运行时的安全检测与响应能力，另一方面，之前的应用安全技术能力，虽然从开发阶段到生产运行阶段都有涉及，但能力点是分散的，例如只关注应用的漏洞检测（如IAST），或是只关注应用攻防场景下的自我防护（如RASP），很少将应用的安全检测与事件响应结合起来，形成闭环。一个典型例证是，越来越多的企业开始向DevOps模式靠拢，快速和持续的交付正在加快业务的拓展，但随之而来的安全诉求却得不到及时响应。研发团队经常在代码可能存在安全风险的情况下，将其推入生产环境，结果造成更多漏洞积压，且上线后安全诉求因排期等问题无法修复。同时伴随着实网攻防演练的常态化趋势，传统以牺牲业务为代价的业务应用关停手段也逐渐遇到挑战，在“零关停”或“少关停”的需求下，对应用生产环境风险的检测与响应迫在眉睫。基于此，数世咨询提出应用检测与响应（Application Detection and Response – ADR）这一新赛道，从而将用户在这一领域的需求明晰化，同时将对应的安全能力解决方案化。

我们也看到，各大政企客户纷纷将整体应用安全能力与体系建设提上日程，因此数世咨询发布的业界首份《ADR应用检测与响应能力白皮书》成为甲方客户应用安全的指南，其中北京边界无限科技有限公司（边界无限）成为国内唯一被推荐的ADR厂商。随附报告全文，供用户与企业参考。

关键发现

应用检测与响应（Application Detection and Response – ADR）是指以Web应用为主要对象，采集应用运行环境与应用内部中用户输入、上下文信息、访问行为等流量数据并上传至分析管理平台，辅助威胁情报关联分析后，以自动化策略或人工响应处置安全事件的解决方案。

ADR以Web应用为核心，以RASP为主要安全能力切入点。

作为安全关键基础设施，ADR能够与WAF、HDR、IAST等多个安全能力形成有机配合。

ADR 的五大关键技术能力：探针（Agent）、应用资产发现、高级威胁检测、数据建模与分析、响应阻断与修复。

对0day漏洞、无文件攻击等高级攻击威胁的检测与响应已经成为ADR的关键能力之一。

ADR厂商将与公有云厂商、各行业云厂商建立更加深入的合作关系，逐步加快ADR在各行业的集中部署。

ADR定义

若无特别说明，本报告中的应用主要指主机侧的Web应用，不包含PC终端、移动终端、物联网终端等端点侧的应用。

ADR以Web应用为核心，以RASP为主要安全能力切入点，通过对应用流量数据中潜在威胁的持续检测和快速响应，帮助用户应对来自业务增长、技术革新和基础设施环境变化所产生的诸多应用安全新挑战。

在安全检测方面，ADR基于网格化的流量采集，通过应用资产数据、应用访问数据、上下文信息等，结合外部威胁情报数据，高效准确检测0day漏洞利用、内存马注入等各类安全威胁；、

在安全响应方面，ADR基于场景化的学习模型，实现应用资产的自动发现与适配，自动生成应用访问策略，建立可视化的应用访问基线，发现安全威胁时，通过虚拟补丁、访问控制等安全运营处置手段，有效提高事件响应的处置效率。

边界无限作为国内新成立的安全创新企业，其团队核心成员来自腾讯玄武实验室和头部安全公司，具备很高的攻防起点，因此，0day、内存马等高级威胁检测场景是其RASP产品的优势之一，据了解，Log4j、Spring4shell等高危漏洞爆发时，他们的RASP产品靖云甲都成功检测并进行了拦截。

基于RASP技术，凭借攻防基因与技术优势，边界无限完善了应用运行时全流程全周期的安全防护能力，加入了多场景业务适配、虚拟补丁、编排模式等检测与响应能力。依托这些能力，用户可以快速聚焦攻击者，定位缺陷应用，进而提升团队的MTTD/MTTR时效。

具体以应用资产盘点能力举例来说，该能力以实战攻防演练为主要场景、以攻击面收敛为主要目的，除了常见的第三方组件库等应用资产，对应用间的API资产也能够持续发现与管理，对南北向之外的东西向流量，都可以做到覆盖与识别，进而梳理清楚应用间的访问关系。

今年，边界无限也提出了应用检测与响应ADR的理念，与数世咨询不谋而合。作为国内少有的ADR代表企业之一，数世咨询会对其持续关注。

行业展望

ADR在国内各行业将加快集中部署

随着“业务上云”的普及，越来越多云原生场景下的应用检测与响应需求需要得到满足。同时，很多ADR厂商为了提升应用行为的聚类分析、威胁情报的更新推送、虚拟补丁的分发等操作的效果与ROI，自身也会利用云原生技术进行产品的部署与实施，如此一来，有实力的ADR厂商将与公有云厂商、各行业云厂商建立更加深入的合作关系，逐步加快ADR在各行业的集中部署。

ADR与持续应用安全（CAS）结合

持续应用安全（CAS）是基于我国软件供应链安全现状所诞生的一种理念，主要解决软件供应链中数字化应用的开发以及运行方面的安全问题，覆盖应用的源代码开发、构建部署、上线运行等多个阶段，保障数字化应用的全流程安全状态，是安全能力原子化（离散式制造、集中式交付、统一式管理、智能式应用）在软件供应链安全上的应用。因此在应用的运行阶段，ADR能够与CAS形成数据关联和能力融合，并经由统一调度管理形成体系化的解决方案，以达到帮助用户减少资源投入、整合安全能力和提升安全效率的目的。

继NDR、EDR、HDR等检测与响应能力之后，ADR将成为又一个必备能力

在实网攻防演练等场景中，大部分用户已经在流量、终端、主机等维度逐渐形成了NDR、EDR乃至HDR（主机检测与响应）等检测与响应能力，有效提升了安全检测的覆盖度与应急响应时效。作为更加贴近业务侧的检测与响应能力，ADR的出现，能够有效补全其他“DR”在业务侧的不足。因此，数世咨询认为，在未来2-3年内，将会有越来越多机构用户将ADR作为必备能力之一，纳入安全运营建设计划，并与NDR、EDR、HDR等一起形成完备的安全检测与响应体系。

以《关基保护要求》为纲，ADR将具备更加落地的指导要求

在笔者完稿之际，国家市场监管总局批准发布了《关键信息基础设施安全保护要求》（ GB/T 39204-2022）（简称《关基保护要求》）国家标准文件。该标准作为《关基保护条例》发布一年后首个正式发布的关基标准，是为了落实《网络安全法》《关基保护条例》中关于关键信息基础设施运行安全的保护要求，借鉴重要行业和领域开展网络安全保护工作的成熟经验而制定的，将于2023年5月1日正式实施。它规定了关键信息基础设施运营者在识别分析、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全要求。因此以《关基保护要求》为纲，ADR对关键信息基础设施中的“Web应用”构筑安全保障体系时，将具备更加可落地的指导要求。

推荐DIY文章