做安全的人應該都對WAF耳熟能詳,也就是我們常說的Web應用防火墻,成為了應用安全防護的明星產品之一。從傳統的防火墻、IDS、IPS,再到WAF橫空出世,引領技術趨勢若干年,這一階段可以稱為應用安全防護1.0時代。作為一款成熟的Web應用防護產品, WAF一度成為企業為Web應用提供安全防護的必備利器,但技術的演進并未由此停止。
Log4j2等“核彈級漏洞”的爆發,使RASP技術迅速升溫,填補了市場在應用層防護的空白,很多人喜歡把RASP稱為下一代WAF,但實際并不是,RASP更像是WAF的“拍檔”。
時間來到2022年12月,國內知名安全咨詢公司數世咨詢發布行業首份《ADR能力白皮書》中首次提出ADR這一新賽道。ADR類產品基于RASP,并在其基礎上增加了開源風險治理、API資產梳理(可以從應用內部洞悉全量API資產)、中間件基線、應用基線等持續檢測和環境安全功能,ADR被視作RASP2.0。
那么,問題來了,RASP并非下一個WAF,在RASP基礎上全面升級的ADR,跟WAF是何種關系?它會取代WAF和RASP,成為廣大政企客戶應用安全防護的“新寵”嗎?這是一個嚴肅的話題。
WAF
WAF的全稱是Web Application Firewall,即Web應用防火墻。國際上公認的一種說法是:Web應用防火墻是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。WAF是集Web防護、網頁保護、負載均衡、應用交付于一體的Web整體安全防護設備。
RASP
RASP的全稱是Runtime Application Self-Protection,即運行時應用自我保護。它是一種應用程序安全保護技術,可以在應用程序運行時檢測和防御各種攻擊,包括代碼注入、SQL注入、跨站點腳本攻擊(XSS)和跨站點請求偽造(CSRF)等。通過注入安全疫苗的方式將防護引擎嵌入到應用內部,與應用程序融為一體,使應用程序具備自我防護能力,對0day漏洞、內存馬等攻擊實現免疫防護。
ADR
ADR的全稱是Application Detection and Response,即應用檢測與響應。它是以Web應用為主要對象,采集應用運行環境與應用內部中用戶輸入、上下文信息、訪問行為等流量數據并上傳至分析管理平臺,輔助威脅情報關聯分析后,以自動化策略或人工響應處置安全事件的解決方案。ADR以Web應用為核心,以RASP為主要安全能力切入點,通過對應用流量數據中潛在威脅的持續檢測和快速響應,幫助用戶應對來自業務增長、技術革新和基礎設施環境變化所產生的諸多應用安全新挑戰。在安全檢測方面,ADR基于網格化的流量采集,通過應用資產數據、應用訪問數據、上下文信息等,結合外部威脅情報數據,高效準確檢測0day漏洞利用、內存馬注入等各類安全威脅;在安全響應方面,ADR基于場景化的學習模型,實現應用資產的自動發現與適配,自動生成應用訪問策略,建立可視化的應用訪問基線,發現安全威脅時,通過虛擬補丁、訪問控制等安全運營處置手段,有效提高事件響應的處置效率。
ADR與WAF有何異同?
ADR和WAF都是用于Web應用安全的防御措施,總體而言,它們有以下幾點區別。
部署位置不同:WAF在應用程序與客戶端之間部署,可以檢查和過濾所有進出應用程序的網絡流量,而ADR是在應用程序內置的模塊中運行,直接監控應用程序運行狀態,可以實時檢測漏洞和攻擊。
防御方式不同:WAF主要是通過規則匹配和過濾來防御攻擊,屬于一種被動的防御方式。而ADR是采用主動防御方式,可以及時檢測惡意行為并攔截攻擊,能夠更好地預防漏洞攻擊。
實現方式不同:WAF可以作為獨立設備,也可以部署在網關、交換機或負載均衡設備上,適用于多種類型的Web應用程序。而ADR需要內置在Web應用程序中,為每個應用程序單獨部署。
雖然存在諸多不同,但ADR和WAF也存在一些結合點。例如,可以將ADR作為WAF的一部分,在流量檢測和防御的同時,對應用程序進行實時監控和保護。另外,ADR和WAF均可以通過監視應用程序的行為和流量,發現并攔截惡意代碼、SQL注入、跨站點腳本等攻擊。
綜上所述,ADR和WAF都是用于保護Web應用程序的安全防御措施,部署位置和防御方式不同,但可以結合使用來提高Web應用程序的安全性。ADR直接內置于應用程序中,可以實時檢測漏洞和攔截攻擊,WAF則部署在應用程序與客戶端之間,通過規則匹配和過濾來防御攻擊。在整體應用防護場景下,ADR可與WAF結合,實現流量檢測和應用程序保護的雙重防御,從而達到聯防聯控、縱深防御的效果。
ADR會取代WAF嗎?
不得不提的是,ADR和WAF存在根本的差異:WAF的目的是發現可疑的流量,ADR則是發現具有威脅的行為。近期幾次大的0day漏洞爆發事件,ADR因其天然優勢,在防護未知攻擊方面發揮了重要的作用,但ADR并不是要取代WAF,兩者是完全不同的技術,各有各的優勢。傳統的WAF像是給應用穿上一層盔甲,而ADR作為應用內部運行時防護,更像是給應用注射了“免疫血清”,使安全成為應用的內生基因,給應用實施全方位保護。
在產品部署方面,首先企業不應期望于某個安全產品能夠實現所有的安全需求;其次,在選擇一項新的安全產品時,要找準新產品的能力價值,盡量與原有的安全能力互補形成合力,同時避免能力冗余。這就使ADR與WAF的結合成為水到渠成的事情。ADR作為運行時防護,與傳統應用防護、主機防護類產品的定位有明顯的差異,在安全防御系統中,可以與WAF等傳統邊界防護系統組合形成更加體系化的縱深防護能力。
對于已有WAF產品的用戶,采用ADR不但不與WAF重疊,還可以為Web應用訪問增強最后一道安全防線;同樣,與云原生或云計算主機集成,也可以對傳統主機防護能力進行增強。同時,ADR與傳統防護產品的處置方式和部署方式不同,無法與傳統產品統一部署,但在態勢分析和管理方面可以與其它風險采集系統統籌考慮,實現綜合分析和聯動處置。此外,為了更順利地應用ADR,建議應用前一般要在測試環境下驗證,確保沒有影響后再切換到生產環境;對于沒有驗證環境的,在安裝過程中要做好回退機制,在安裝失敗時能保證恢復到插樁前的狀態。特別值得指出的是,很多主機側安全廠商會給客戶灌輸結合HIDS產品“無感”部署RASP或ADR產品的思想,這一思路雖然解決了快速部署的問題,但不經過測試環境的功能性、兼容性以及資源占用等驗證,將給客戶帶來極大的潛在風險。這是因為ADR不同于WAF,部署在應用內部,在生產、業務環境與應用無縫結合,盲目強推會給業務帶來巨大的威脅,務必慎重。因此我們建議在測試環境結合業務應用對ADR進行充分的功能、性能驗證,并在業務網、生產網規模部署之前在邊緣業務業務系統進行實網試用,真正保障業務不受影響的前提下,使ADR能充分匹配、適應不同客戶的不同網絡環境及業務邏輯,從而真正契合內生安全的理念,在應用內部提升自免疫能力。
ADR強于攻防融合多種安全能力
不能忽視的是,有別于WAF,未來ADR在應對攻防對抗這種場景應用的機會會更多。但是隨著業務云化和安全左移能力的增強,未來用戶對應用程序的安全防護和應用層數據保護的要求會越來越強。同時,也會要求ADR提供更多維度的Detection和Response能力。其次,ADR可以與諸多安全能力在不同場景下形成合力。
與 SCA融合。可以形成運行時SCA檢測能力。在應用程序上線后進行應用軟件成分分析,檢測那些開發環節不受控,成分不清晰的構建包、軟件制品。這在一定程度上融合了SCA的能力,但從應用場景看,與開發階段應用的SCA并不會沖突。尤其是ADR與運行時態的SCA結合,可以更全面地洞悉應用調用了哪些組件庫,并且可把被真正使用的組件庫清晰地陳列出來,幫助客戶更好地實現漏洞分級分類治理。
與WAAP結合。可以進一步檢測遺留或長期潛伏的API。目前的WAAP多是通過網絡側流量進行API檢測,對應用程序中潛伏的影子API無能為力,ADR可以在端側為WAAP增強 API檢測能力和全量API資產梳理能力。同時,WAAP核心功能包括Web應用防火墻、API保護、Bot防護和七層DDoS攻擊防護,進一步擴展了云上應用安全防護范圍和安全深度。但WAAP目前仍存在一個很大的問題,那就是Web應用防護仍主要依靠邊界防護手段,并未形成應用的自我防護機制,ADR則可更有效地加強此方面的能力,即在運行時態實現應用自免疫。
與容器安全、云原生安全能力(如微隔離)深度融合。隨著業務上云趨勢愈演愈烈,未來安全技術必須考慮容器化部署以及云原生安全能力,可以預見,未來ADR技術將向云原生應用程序保護平臺( CNAPP )的方向發展演進。
靖云甲ADR值得青睞
隨著企業深度用云以及云原生應用的快速普及,云上復雜性提升,導致網絡攻擊面倍增,也伴生出新的安全風險。安全行業需要革新安全理念、技術和模式,將人工智能、云原生等新技術應用到網絡安全防護中,實現對網絡威脅的預先研判、智能防護和自動抵御,有效提升安全威脅檢測、應急處置和追蹤溯源能力,實現從事后補救到安全前置,從局部分割到全面防護,從被動安全到主動安全的轉變,以便構筑起主動、智能、全面的應用安全防護體系。結合敏銳的市場洞察力以及多年的攻防經驗積淀,北京邊界無限科技有限公司(邊界無限,BoundaryX)基于RASP和云原生技術推出了靖云甲ADR應用檢測與響應系統,這是一款值得用戶重點關注的產品。靖云甲ADR是針對應用運行時安全防護的顛覆性解決方案,更是邊界無限打造云原生應用整體防護平臺的起點和戰略支點,為云時代應用安全提供實時保障。
邊界無限聯合創始人、CTO王佳寧介紹說,邊界無限靖云甲ADR應用檢測與響應系統基于RASP技術,以云原生為場景,以數據鏈路為核心,以流量安全、API安全和數據安全作為安全能力切入點,引入多項前瞻性的技術理念,通過對應用風險的持續檢測和安全風險快速響應,幫助企業應對來自業務增長、技術革新和基礎設施環境變化所產生的等諸多應用安全新挑戰。
在流量安全方面,靖云甲ADR基于網格化流量采集,通過聯動應用端點數據、應用訪問數據,高效準確防御0day漏洞利用、內存馬注入等各類安全威脅;在數據安全方面,靖云甲ADR通過數據審計、治理、脫敏等安全技術,有效實現數據安全風險態勢的把控。在為企業提供全面的應用安全保障的同時,靖云甲ADR通過虛擬補丁、漏洞威脅情報、訪問控制等運營處置手段,有效提高安全運營的事件處置效率。這順應了時下流行的安全技術趨勢,也滿足了廣大政企客戶的應用安全防護的真實需求。
內存馬免重啟查殺。邊界無限靖云甲ADR采用“主被動結合”雙重防御機制,對外基于RASP能力對內存馬的注入行為進行有效防御,對內通過建立內存馬檢測模型,通過持續分析內存中存在的惡意代碼,幫助用戶解決掉埋藏內存中的“定時炸彈”。針對內存中潛藏的內存馬,靖云甲ADR提供了一鍵清除功能,可以直接將內存馬清除,實現對內存馬威脅的快速處理。靖云甲ADR還可以通過主動攔截+被動掃描,有效阻斷內存馬的注入;對已經被注入的內存馬提供源碼和特征檢測信息,無需重啟應用即可一鍵清除。另外,靖云甲ADR采用“attach”等方式注入agent,無需重啟直接更新,以減少對業務運行的干擾。
0Day漏洞無規則防御。邊界無限靖云甲ADR采用RASP應用運行時監控技術,實現資產的精準采集,自動化高效地響應,構建了0day漏洞原生免疫,結合語義分析技術,同時實現漏洞的精準防御,大大降低了無效告警。靖云甲ADR可有效解決90%的0day漏洞,內存馬注入防御、Webshell檢測、反序列化漏洞等功能100%完善,應用運行時風險降低95%以上,且具有高精準度,近乎零誤報。
組件庫動態采集管理。邊界無限靖云甲ADR采用動態捕獲技術,在應用運行過程中自動收集并展示第三方組件信息及調用情況,快速感知資產動態,全面有效獲知供應鏈資產信息,實現供應鏈資產的清點和管理;消除資產盲區,實現資產有效管理,讓安全防護覆蓋到資產的每一個角落。
API和敏感數據清點。邊界無限靖云甲ADR擁有精準細化的資產清點、緊跟形式的安全研究、海量可靠的漏洞運營、輕量無感的性能損耗等優點,尤其是在應用資產管理、供應鏈安全、API資產學習層面,其表現優異。靖云甲ADR跨IT架構統計應用資產,實現安全能力同步管控,為應用提供安全風險評估;自主學習流量加應用框架,具體來說,靖云甲ADR會通過插樁對應用內部框架定義的API方法以及應用流量進行API全量采集,同時利用AI檢測引擎請求流量進行持續分析,自動分析暴露陳舊、敏感數據等關鍵問題。
王佳寧表示,邊界無限在RASP基礎上推出靖云甲ADR應用檢測與響應方案并進而向云原生應用整體防護平臺演進,深受業界各方認可,這面對的是一個全新的市場和賽道,邊界無限已經憑借多年攻防經驗積淀以及技術創新優勢取得桿位,連續在各大標桿客戶測試中奪魁并獲得連續數輪數千萬元融資,這都是最好的見證。希望在應用安全及云原生領域,邊界無限能夠塑造新的安全行業傳奇。
