隨著云原生時代的來臨,業務變得越來越開放和復雜,安全邊界越來越模糊,固定的防御邊界已經不復存在,僅僅依靠WAF這樣的邊界防護手段是顯然不夠的。基于請求特征+規則策略的防御控制手段僅能將部分危險攔截在外,同時隨著實網攻防演練的常態化、實戰化,攻防對抗強度不斷升級,攻擊者可輕易繞過傳統邊界安全設備基于規則匹配的預防機制。
不僅如此,攻擊者還會利用供應鏈攻擊等迂回手法來挖掘出特定0day漏洞,實現對目標應用的精準打擊。類似的高級攻擊手段,讓越來越多的安全管理者,開始關注安全左移,例如將DevOps與Sec結合,嘗試實現DevSecOps,亦或是以運行時應用自我防護為手段,對運行時的應用安全進行更多投入。
然而,與云主機安全遇到的局限性類似,應用安全原有的安全能力是有缺失的。一方面,用戶在實戰化安全能力需求中,迫切需要一個專門針對應用的行之有效的解決方案,加入安全運營體系中,從而實現應用運行時的安全檢測與響應能力,另一方面,之前的應用安全技術能力,雖然從開發階段到生產運行階段都有涉及,但能力點是分散的,例如只關注應用的漏洞檢測(如IAST),或是只關注應用攻防場景下的自我防護(如RASP),很少將應用的安全檢測與事件響應結合起來,形成閉環。一個典型例證是,越來越多的企業開始向DevOps模式靠攏,快速和持續的交付正在加快業務的拓展,但隨之而來的安全訴求卻得不到及時響應。研發團隊經常在代碼可能存在安全風險的情況下,將其推入生產環境,結果造成更多漏洞積壓,且上線后安全訴求因排期等問題無法修復。同時伴隨著實網攻防演練的常態化趨勢,傳統以犧牲業務為代價的業務應用關停手段也逐漸遇到挑戰,在“零關停”或“少關停”的需求下,對應用生產環境風險的檢測與響應迫在眉睫。基于此,數世咨詢提出應用檢測與響應(Application Detection and Response – ADR)這一新賽道,從而將用戶在這一領域的需求明晰化,同時將對應的安全能力解決方案化。
我們也看到,各大政企客戶紛紛將整體應用安全能力與體系建設提上日程,因此數世咨詢發布的業界首份《ADR應用檢測與響應能力白皮書》成為甲方客戶應用安全的指南,其中北京邊界無限科技有限公司(邊界無限)成為國內唯一被推薦的ADR廠商。隨附報告全文,供用戶與企業參考。
關鍵發現
• 應用檢測與響應(Application Detection and Response – ADR)是指以Web應用為主要對象,采集應用運行環境與應用內部中用戶輸入、上下文信息、訪問行為等流量數據并上傳至分析管理平臺,輔助威脅情報關聯分析后,以自動化策略或人工響應處置安全事件的解決方案。
• ADR以Web應用為核心,以RASP為主要安全能力切入點。
• 作為安全關鍵基礎設施,ADR能夠與WAF、HDR、IAST等多個安全能力形成有機配合。
• ADR 的五大關鍵技術能力:探針(Agent)、應用資產發現、高級威脅檢測、數據建模與分析、響應阻斷與修復。
• 對0day漏洞、無文件攻擊等高級攻擊威脅的檢測與響應已經成為ADR的關鍵能力之一。
• ADR廠商將與公有云廠商、各行業云廠商建立更加深入的合作關系,逐步加快ADR在各行業的集中部署。
ADR定義
應用檢測與響應(Application Detection and Response – ADR)是指以Web應用為主要對象,采集應用運行環境與應用內部中用戶輸入、上下文信息、訪問行為等流量數據并上傳至分析管理平臺,輔助威脅情報關聯分析后,以自動化策略或人工響應處置安全事件的解決方案。
若無特別說明,本報告中的應用主要指主機側的Web應用,不包含PC終端、移動終端、物聯網終端等端點側的應用。
ADR以Web應用為核心,以RASP為主要安全能力切入點,通過對應用流量數據中潛在威脅的持續檢測和快速響應,幫助用戶應對來自業務增長、技術革新和基礎設施環境變化所產生的諸多應用安全新挑戰。
在安全檢測方面,ADR基于網格化的流量采集,通過應用資產數據、應用訪問數據、上下文信息等,結合外部威脅情報數據,高效準確檢測0day漏洞利用、內存馬注入等各類安全威脅;、
在安全響應方面,ADR基于場景化的學習模型,實現應用資產的自動發現與適配,自動生成應用訪問策略,建立可視化的應用訪問基線,發現安全威脅時,通過虛擬補丁、訪問控制等安全運營處置手段,有效提高事件響應的處置效率。
圖:ADR應用檢測與響應
圖:應用檢測與響應ADR 部署示意圖
在數世咨詢發布的《中國數字安全能力圖譜2022》中,應用檢測與響應ADR位于“應用場景安全”方向的“開發與應用安全”分類中。
《中國數字安全能力圖譜2022》開發與應用安全,ADR
在2022年度數字安全成熟度階梯(應用場景)中,應用檢測與響應ADR位于“啟動區”,屬于前沿創新和概念市場階段,目前國內相關領域企業數量并不多,只有個別企業明確提出了ADR這一概念。
應用場景
關鍵安全基礎設施
與WAF等邊界產品配合,實現縱深防護體系
WAF部署在網絡邊界,ADR部署在應用層。WAF容易被繞過,而ADR是應用的最后一道防線。ADR不會取代WAF,兩者協同配合,相得益彰,共同組成縱深防御體系。
與主機側HDR配合,實現立體檢測與響應能力
雖然一定程度上HDR也能夠覆蓋應用層,但是基于主機側的HDR,重點還是關注服務器、虛擬機、容器等工作負載上主機層、系統層的安全檢測與響應,因此,不屬于應用運行環境內部的ADR,能夠與HDR相配合,形成由下至上、由外至內的立體檢測與響應能力。
與IAST配合,覆蓋應用的全生命周期
交互式應用程序安全測試(IAST)關注的是應用運行時的安全漏洞,目的是發現漏洞,用于開發測試階段。與IAST一樣,ADR也關注應用在運行時的安全問題,但目的是發現攻擊者利用漏洞的攻擊行為,用于應用的生產運行階段。兩者配合,能夠覆蓋應用的全生命周期,為DevOps提供持續有效的Sec能力。
實戰攻防演練
攻擊隊一般會利用已知或未知漏洞,繞過或突破網絡邊界,尋找核心資產,控制管理權限。伴隨著演習經驗的不斷豐富,攻擊隊更加專注于應用安全的研究,在演習中經常使用供應鏈攻擊等迂回手法來挖掘出特定0day漏洞,由于攻防對抗技術不對等,導致防守方經常處于被動劣勢。此時,用戶可通過部署和運營ADR,搶占對抗先機。
演練前梳理應用資產,收斂潛在攻擊暴露面
防守隊利用ADR可進行應用資產梳理,形成應用資產清單,明確應用中間件的類型、運行環境、版本信息等關鍵信息,為后續安全加固、防護做到有的放矢。同時,利用ADR的漏洞發現、基線安全等檢測功能,結合修復加固手段對發現的問題逐一整改,消除應用安全隱患,使應用安全風險維持在可控范圍。
演練中持續檢測與分析,實現有效防御與溯源
ADR通過Agent對應用程序的訪問請求進行持續監控和分析,結合應用上下文和攻擊檢測引擎,使得應用程序在遭受攻擊——特別是0day、無文件等高級別攻擊手段時——能夠實現有效的自我防御。另外,ADR的溯源能力可以從多維度捕獲攻擊者信息,聚合形成攻擊者畫像,同時記錄整個攻擊到防御的閉環過程,為編寫報告提供依據。
演練后結合上下文,全面提高應用安全等級
ADR不僅關注攻擊行為中的指令和代碼本身,還關注涉及到的上下文。因此安全人員可以通過ADR提供的調用堆棧信息等內容,推動研發人員進行代碼級漏洞修復,調整安全策略,進行整體加固,全面提高應用安全等級。同時,ADR支持攻擊事件統計分析和日志功能,幫助安全人員快速整理安全匯報材料,顯著地提升安全運營工作效率。
數據治理安全
在數據生命周期中的采集、傳輸、存儲、處理、交換等各個環節中,“應用”是最高頻、最重要、最關鍵的數據安全場景。結合數世咨詢發布的《數據治理安全DGS》能力白皮書,ADR能夠有效支持數據治理安全的落地與實踐。
數據的輕量資產化
數據的輕量資產化只需將原始數據進行簡單處理,剔除劣質和無效數據后,將其制作成有效支持分析運算與業務應用的數據資產。 “應用”處于業務與數據關聯的核心,是數據輕量資產化的最佳位置。ADR基于安全視角的資產發現與管理能力,能夠為其持續提供“既懂數據、又懂業務”的輕量資產化數據。
數據的分類分級
ADR的應用安全運行基線能力,能夠基于對國家法律法規、行業監管的理解和對業務數據的理解,極大地減少行業客戶數據分類分級初期咨詢的工作量,在日后需要匹配新的業務流轉或符合新的安全合規要求時,還能夠為AI/ML的深度應用持續提供最新的海量數據樣本。
配合安全能力的對接與編排調度
ADR基于RASP技術,具備檢測高準確率、告警低誤報率以及實時阻斷自動化響應等優勢能力,因此可通過API的方式與數據安全能力接口進行對接,或結合實網攻防演練或安全運營等不同的業務場景與編排調度平臺進行配合,確保數據始終處于有效保護和合法利用的狀態。
除了上述主要場景,用戶在類似的安全重保、應用加固、供應鏈安全以及集團應用安全體系建設等場景下,都可以采用ADR這塊重要拼圖。
關鍵技術能力
RASP恰好處在應用訪問流量中東西向與南北向的交叉點,因此以RASP作為能力切入點,ADR 應當具備以下幾個關鍵技術能力:
• 探針(Agent)
• 應用資產發現
• 高級威脅檢測
• 數據調度與分析
• 響應阻斷與修復
探針(Agent)
在主機安全層面,探針技術已經開始被多數用戶接受。因此在應用安全領域,用戶對Agent的考量主要在于性能、兼容性、是否重啟等要點。
業務連續性
早期的RASP部署之后,需要重啟應用環境,對用戶的業務連續性會有較大影響。近年來,隨著技術發展,ADR已經有采用“attach”等方式注入Agent,無需重啟直接更新,以減少對業務運行的干擾。
對應用性能的影響
RASP技術實現的實質是在不接觸應用源碼的情況下,對函數進行Hook操作。因此不可避免的Agent對原有的應用性能會有影響。在PoC試用時查看Agent對性能的影響,用戶一般關注內存占用、RT(Response Time)等關鍵指標。
兼容性
首先是對多開發語言的支持,Java、Golang、PHP、Python、Nodejs等主流開發語言,Agent探針都應當支持。再就是除了對應用環境中典型中間件、第三方組件、通用類和框架類的函數等兼容外,還要能夠對自研代碼部分進行Hook。
應用資產發現與管理
ADR應當具備較強的應用資產發現與管理能力,這是后續檢測與響應的基礎。
持續資產發現
ADR所覆蓋的資產主要為應用資產、組件庫資產、API資產三大類。資產發現手段可采用第三方導入+持續發現相結合的方式。一方面導入已有的應用資產信息、第三方組件信息、所屬業務信息等資產數據,另一方面,通過具備資產信息更新的接口,便于隨時從自有的資產發現模塊,或EDR、HDR等外部端側資產信息,定期接入更新的應用資產數據。特別針對應用框架中大量的API資產,可通過插樁方式對應用流量進行全量采集并持續分析,持續發現API資產。
應用資產管理
ADR應針對應用的框架、組件、業務屬性、時間線等具備細粒度的資產管理能力、可視化的資產信息展示能力。除此之外,對于應用框架中的第三方組件庫,ADR應當具備動態采集加載組件庫信息的能力。也就是說,針對組件庫資產,要能區分在全量組件中哪些是應用已經加載的組件,以便后續環節中,對其能夠優先進行檢測與響應。特別是當供應鏈出現嚴重漏洞的時候,可以快速定位到組件使用情況,加強對供應鏈管理能力。
形成運行基線
通過持續的資產發現與管理,結合應用、中間件的配置檢查能力,由此,ADR即可形成應用安全運行基線。無論是實網攻防演練,還是日常安全運營,結合不同的業務場景,安全團隊可對應用和中間件的資產完整性、策略配置、異常行為等進行針對性的監測、檢測、響應。
ADR的能力建設到這一步,可以滿足大部分針對應用的攻擊檢測與響應需求。接下來,還需要對更高級別的攻擊行為構筑威脅檢測能力。
高級威脅檢測
基于RASP的技術實現特性,ADR應當具備對0day漏洞、內存馬等高級威脅的檢測能力。
0day漏洞
對nday漏洞的PoC檢測基于漏洞的已知特征實現。區別于此,ADR是對應用中關鍵執行函數進行Hook監聽,同時采集上下文信息結合判斷。因此能夠覆蓋更加全面的攻擊路徑,進而從行為模式的層面,對0day漏洞實現有效感知,彌補傳統流量規則檢測方案所無法實現的未知漏洞攻擊防御。
前段時間造成大范圍影響的Log4j漏洞事件中,就已經有ADR代表企業以上述思路成功阻斷了當時以0day身份出現的Log4j漏洞在客戶側的蔓延。因此,對0day漏洞的檢測與響應已經成為ADR的關鍵能力之一。
內存馬
應用內存馬的攻擊實現方式是,攻擊者通過應用漏洞結合語言特性在應用中注冊包含后門功能的API。此類API在植入之后并不會在磁盤上寫入文件,代碼數據只寄存在內存中,此類無文件攻擊特性可以很好的隱藏后門,攻擊者可長期控制業務系統或將其作為進入企業內部的網絡跳板。
針對應用內存馬,ADR首先可通過建立內存馬檢測模型,持續檢測內存中可能存在的惡意代碼,覆蓋大部分已知特征的內存馬;其次,基于RASP的技術特點,ADR可以對內存馬注入可能利用到的關鍵函數,進行實時監測,從行為模式層面以“主被動結合”的方式發現內存馬,以此覆蓋剩余的未知特征的內存馬。
因為是在內存中進行檢測與判斷,因此,對內存馬的攻擊行為一經發現并結合上下文確認,就可以實時進行阻斷并清除,實現自動化的檢測與響應。相比之下,其他響應阻斷都會有一定的滯后性。因此可以說這是ADR的核心關鍵能力之一。
數據建模與分析
ADR需要具備較強的數據建模與分析能力。
鑒于Agent不能過高占用應用環境資源,ADR數據建模與分析應由專門的服務端引擎來承擔,將Agent采集數據、安全日志數據、外部威脅情報數據等有序調度匯總后,進行威脅建模與分析研判。
數據的建模與分析應當兼顧成本與效率,數據模型要考慮資產優先級、業務場景等,原則是提高對常見威脅的分析效率與準確率,降低自動化響應的失誤率。
對于高級別威脅的數據分析,引擎中的場景劇本,要能夠隨時增加或更新,分析結果在管理平臺可視化呈現或以可編輯報告的形式導出,為高級別威脅所需的人工研判提供支持依據。
響應阻斷與修復
不同于邊界設備基于特征匹配檢測攻擊,對于掃描器的踩點、掃描行為,?般會產??量誤報,RASP 運?在應?內部,失敗的攻擊不會觸發檢測邏輯,所以每條告警都是真實正在發生的攻擊,這就為ADR自動化的阻斷響應提供了天然的技術基礎。
首先,基于應用訪問關系,梳理應用的拓撲關系與數據流,逐步形成應用的安全運行基線,然后利用微隔離,降低攻擊者在不同應用區域間潛在的橫向移動風險;然后在此基礎上,如前所述,針對0day漏洞、內存馬等高級威脅,結合上下文進行自動化的阻斷響應。最后,為避免再發生類似攻擊,ADR還應具備臨時修復加固功能。例如通過彈性補丁或虛擬補丁,對漏洞進行臨時修復,待將來某個時刻,應用升級或重啟時,再交由研發、運維等兄弟部門處置。
需要注意的是,雖然 RASP 幾乎沒有誤報,但自動化阻斷始終不能影響應用的業務連續性,應當具備一定的自查自保護機制。例如針對上述各響應各環節,在管理平臺側提供完備的隔離策略、阻斷控制、補丁分發等功能的完整日志記錄,從而為運營人員進一步的重放、分析、溯源、報告等操作提供支撐。
國內外代表企業
Araali Network
Araali Network 是今年RSAC2022的創新沙盒10強,關注云原生場景下的應用運行時安全。其安全理念、技術框架、產品功能與本文提出的ADR十分相符。
舉例來說,Araali首先會對應用的運行時環境進行持續掃描監測,以評估固有風險并確定其優先級。它會自動檢測最易受攻擊的應用程序、最有價值的應用程序,它還會查找具有過多特權、未使用的開放端口、磁盤上的密鑰、特權過高的IAM配置,以分析潛在的攻擊暴露面,逐步形成應用的安全運行基線。
在“檢測”環節,Araali使用基于eBPF的控件來創建基于身份的行為模型,對出站的請求進行檢測分析,并與外部威脅情報結合,在網絡流程層面對惡意連接進行分析阻斷。一旦發現可疑行為,Araali會將時間、客戶端、服務、狀態等完整上下文信息一同推送給安全運營團隊,功能上甚至允許運營團隊“重放”觸發告警的行為動作,方便團隊參考上下文順序進行進一步關聯分析。
在后續的“響應”部分,運營團隊除了對事件中的單點威脅進行阻斷外,還通過自動化、自適應的“彈性補丁”對風險點進行加固修復。這一部分能力,也是通過eBPF來實現。
基于上述能力,Araali實現了對0day漏洞的預防護。彈性補丁可以直接鞏固強化應用的行為,從而防止潛在的利用0day入侵的威脅。官方宣稱“一次響應,永久預防”。
針對0day等高級威脅的檢測能力,以及不中斷業務、彈性補丁等貼合用戶實際需求的優勢,是數世咨詢將 Araali 列入代表企業的原因。
Reveal Security
同數世咨詢一樣,Reveal Security也明確提出了ADR應用檢測與響應的理念。
它認為,網絡、終端、操作系統以及用戶行為等維度,均已經有成型的安全檢測與響應技術,但在應用層仍缺少有效的檢測與響應手段,ADR應需而生。
Reveal 的核心技術理念,以分析用戶訪問應用的行為上下文為出發點,代替基于規則的應用安全檢測,目的是提升應用檢測的準確率,為之后的響應環節提供高效支撐。
在實現上,它放棄了之前只分析某個行為本身的做法,改為分析用戶在應用中的一系列行為。通過行為上下文,找出不同于正常訪問行為的異常特征session,進而發現潛在威脅。
Reveal強調并非要找到一個適用于所有用戶的通用性行為,而是要通過機器學習形成針對每個用戶的行為基線,因此,它會盡量多的獲取各類日志信息,以聚類數據引擎對各類分組數據進行調度與分析,逐步形成用戶的行為基線,進而發現異常威脅行為。
據Reveal宣稱,其檢測模型具有非常廣泛的適應性,不依賴于應用中某個具體的運行環境。同時它的聚類分析引擎并不需要準確集群數量的先驗知識,仍能保持準確性。
對應用行為數據的聚類分析,是RevealSecurity的亮點優勢,也是ADR所需的關鍵能力之一,這也是數世咨詢將其列入代表企業的原因。
邊界無限
邊界無限作為國內新成立的安全創新企業,其團隊核心成員來自騰訊玄武實驗室和頭部安全公司,具備很高的攻防起點,因此,0day、內存馬等高級威脅檢測場景是其RASP產品的優勢之一,據了解,Log4j、Spring4shell等高危漏洞爆發時,他們的RASP產品靖云甲都成功檢測并進行了攔截。
基于RASP技術,憑借攻防基因與技術優勢,邊界無限完善了應用運行時全流程全周期的安全防護能力,加入了多場景業務適配、虛擬補丁、編排模式等檢測與響應能力。依托這些能力,用戶可以快速聚焦攻擊者,定位缺陷應用,進而提升團隊的MTTD/MTTR時效。
具體以應用資產盤點能力舉例來說,該能力以實戰攻防演練為主要場景、以攻擊面收斂為主要目的,除了常見的第三方組件庫等應用資產,對應用間的API資產也能夠持續發現與管理,對南北向之外的東西向流量,都可以做到覆蓋與識別,進而梳理清楚應用間的訪問關系。
今年,邊界無限也提出了應用檢測與響應ADR的理念,與數世咨詢不謀而合。作為國內少有的ADR代表企業之一,數世咨詢會對其持續關注。
行業展望
ADR在國內各行業將加快集中部署
隨著“業務上云”的普及,越來越多云原生場景下的應用檢測與響應需求需要得到滿足。同時,很多ADR廠商為了提升應用行為的聚類分析、威脅情報的更新推送、虛擬補丁的分發等操作的效果與ROI,自身也會利用云原生技術進行產品的部署與實施,如此一來,有實力的ADR廠商將與公有云廠商、各行業云廠商建立更加深入的合作關系,逐步加快ADR在各行業的集中部署。
ADR與持續應用安全(CAS)結合
持續應用安全(CAS)是基于我國軟件供應鏈安全現狀所誕生的一種理念,主要解決軟件供應鏈中數字化應用的開發以及運行方面的安全問題,覆蓋應用的源代碼開發、構建部署、上線運行等多個階段,保障數字化應用的全流程安全狀態,是安全能力原子化(離散式制造、集中式交付、統一式管理、智能式應用)在軟件供應鏈安全上的應用。因此在應用的運行階段,ADR能夠與CAS形成數據關聯和能力融合,并經由統一調度管理形成體系化的解決方案,以達到幫助用戶減少資源投入、整合安全能力和提升安全效率的目的。
繼NDR、EDR、HDR等檢測與響應能力之后,ADR將成為又一個必備能力
在實網攻防演練等場景中,大部分用戶已經在流量、終端、主機等維度逐漸形成了NDR、EDR乃至HDR(主機檢測與響應)等檢測與響應能力,有效提升了安全檢測的覆蓋度與應急響應時效。作為更加貼近業務側的檢測與響應能力,ADR的出現,能夠有效補全其他“DR”在業務側的不足。因此,數世咨詢認為,在未來2-3年內,將會有越來越多機構用戶將ADR作為必備能力之一,納入安全運營建設計劃,并與NDR、EDR、HDR等一起形成完備的安全檢測與響應體系。
以《關基保護要求》為綱,ADR將具備更加落地的指導要求
在筆者完稿之際,國家市場監管總局批準發布了《關鍵信息基礎設施安全保護要求》( GB/T 39204-2022)(簡稱《關基保護要求》)國家標準文件。該標準作為《關基保護條例》發布一年后首個正式發布的關基標準,是為了落實《網絡安全法》《關基保護條例》中關于關鍵信息基礎設施運行安全的保護要求,借鑒重要行業和領域開展網絡安全保護工作的成熟經驗而制定的,將于2023年5月1日正式實施。它規定了關鍵信息基礎設施運營者在識別分析、安全防護、檢測評估、監測預警、主動防御、事件處置等方面的安全要求。因此以《關基保護要求》為綱,ADR對關鍵信息基礎設施中的“Web應用”構筑安全保障體系時,將具備更加可落地的指導要求。
