持续应用安全（CAS）研讨之：RASP

攻防

1年前

【编者按】
　　持续应用安全（CAS）是数世咨询在软件供应链安全研讨会上首次提出的解决我国软件供应链安全问题的新思路。CAS专注于保障数字化应用的，源代码阶段-构建部署阶段-上线运行阶段，全流程的安全状态。CAS可以通过安全能力高度融合和安全数据关联分析的方式，经由统一调度管理形成体系化的解决方案，以达到帮助用户减少资源投入、整合安全能力和提升安全效率的目的。持续应用安全（CAS）研讨系列文章的主要目的是，通过CAS核心能力提供者对CAS的研究，从不同的角度解读CAS，共同推进CAS的落地进程。CAS已经得到比瓴科技、酷德啄木鸟、思客云、孝道科技、四维创智、边界无限、云智信安、云起无垠等核心能力提供者的认同，目前已推出六篇文章：

持续应用安全（CAS）研讨之：ASOC
持续应用安全（CAS）研讨之：IAST
持续应用安全（CAS）研讨之：SCA
持续应用安全（CAS）研讨之：SAST
持续应用安全（CAS）研讨之：DAST
持续应用安全（CAS）研讨之：FUZZING

　　后续还会推出移动应用安全检测方向的内容。

　　Log4j2等高危0Day漏洞的爆发让RASP技术成为网络安全行业的新晋网红，而随着网络攻防实战化、常态化的深入，内存马攻击等新型攻击手段让传统的安全防护模式面临挑战，RASP技术的市场关注度持续升温，同时基于RASP技术的ADR（Application Detection and Response，应用检测与响应）应运而生。在业界最新的持续应用安全（CAS）体系中，ADR将发挥着关键防护作用，尤其是在应用运行时状态之下。

CAS与ADR相生相存

　　CAS 是基于我国软件供应链安全现状所诞生的一种理念，主要解决软件供应链中数字化应用的开发以及运行方面的安全问题，覆盖应用的源代码开发、构建部署、上线运行等多个阶段，保障数字化应用的全流程安全状态，是安全能力原子化（离散式制造、集中式交付、统一式管理、智能式应用）在软件供应链安全上的应用。因此在应用的运行阶段，ADR能够与CAS形成数据关联和能力融合，并经由统一调度管理形成体系化的解决方案，以达到帮助用户减少资源投入、整合安全能力和提升安全效率的目的。

　　CAS专注于保障数字化应用的，源代码阶段-构建部署阶段-上线运行阶段，全流程的安全状态。CAS可以通过安全能力高度融合和安全数据关联分析的方式，经由统一调度管理形成体系化的解决方案，以达到帮助用户减少资源投入、整合安全能力和提升安全效率的目的。在CAS体系中，ADR可以说是“最后一道防线”，用以保护未来在云原生时代甲方客户“唯一”需要保护的关键信息安全基础设施——应用，可以弥补DevSecOps在运行时的应用防护短板。

ADR 的关键作用

　　随着云原生时代的来临，业务变得越来越开放和复杂，安全边界越来越模糊，固定的防御边界已经不复存在，仅仅依靠WAF这样的边界防护手段是显然不够的。基于请求特征+规则策略的防御控制手段仅能将部分危险拦截在外，同时随着实网攻防演练的常态化、实战化，攻防对抗强度不断升级，攻击者可轻易绕过传统边界安全设备基于规则匹配的预防机制。ADR的出现，成为了有效的解决方案，并可与WAF等传统边界安全设备协同联动，形成纵深防御体系，从而构建真正动态的、行之有效的整体应用防护体系。

　　ADR是指以Web应用为主要对象，采集应用运行环境与应用内部中用户输入、上下文信息、访问行为等流量数据并上传至分析管理平台，辅助威胁情报关联分析后，以自动化策略或人工响应处置安全事件的解决方案。

　　ADR以Web应用为核心，以RASP为主要安全能力切入点。RASP可以和应用程序绑定在一起，像“免疫血清”一样注入到应用程序里，使应用程序在运行时实现自我安全保护，能够帮助客户有效防护已知和未知攻击。通过将 Agent 注入到应用中，对被保护应用程序的访问请求进行持续监控和分析，使得应用程序在遭受攻击时，能够实现自我防御。

　　作为运行时安全技术的典型代表，RASP技术有着天然的优势，而基于RASP的ADR是云原生时代加强应用安全防护的创新解决方案，甚至可能带来颠覆性的影响。

边界无限靖云甲ADR

　　靖云甲ADR是以Web应用为核心，以RASP为主要安全能力切入点，打造Web应用全方位安全检测与响应的解决方案，是边界无限帮助用户构建云原生时代安全基础设施体系的起点和战略支点，更是“灵动智御”理念的实践。靖云甲ADR引入多项前瞻性的技术理念，通过对应用风险的持续检测和安全风险快速响应，帮助企业应对来自业务增长、技术革新和关键基础设施环境变化所产生的等诸多应用安全新挑战。

　　总体而言，靖云甲ADR拥有资产管理、入侵检测、漏洞管理和内存马防御等核心功能，具备免重启、采样决策分离、IT部署架构、性能全面领先等核心优势，其应用场景为业务在线修复、实战攻防演练、恶意应用攻击和集团应用安全建设能力等。

　　在流量安全层面，靖云甲ADR基于网格化流量采集，通过联动应用端点数据、应用访问数据，高效准确防御0day漏洞利用、内存马注入等各类安全威胁；在数据安全方面通过数据审计、治理、脱敏等安全技术，有效实现数据安全风险态势的把控。在为企业提供全面的应用安全保障的同时，ADR通过虚拟补丁、漏洞威胁情报、访问控制等运营处置手段，有效提高安全运营的事件处置效率。

　　以广大政企客户十分关注的API资产管理为例，靖云甲ADR的优势凸显。API作为业务资产具体的承载，通常将成为安全团队重点关注的关键资产。靖云甲ADR通过插桩对应用流量进行全量采集，利用AI 检测引擎对请求流量进行持续分析，从而实现对API资产的自动发现，实现API资产的可观测性。同时，靖云甲ADR AI检测引擎会对API的参数及请求头等关键内容进行风险评估，为API安全优化提供辅助性的策略。此外，靖云甲ADR通过建立自主学习模型，实现API的自动发现，漏洞挖掘；自动生成API访问策略，通过调用追踪的方式建立可视化的API风险见解，为API提供实时防御。

　　内存马是无文件攻击的一种技术手段，攻击者通过应用漏洞结合语言特性在Web系统注册包含后门功能的API，并且此类API在植入之后并不会在磁盘上写入文件，代码数据只寄存在内存中，给传统的安全设备检测带来巨大难度。这令广大政企用户在网络攻防演练及实际网络攻击中倍感头疼。攻击者利用无文件的特性可以很好的隐藏后门，利用包含后门代码的Web API来长期控制业务系统以及作为进入企业内部的网络跳板。靖云甲ADR采用“主被动结合”双重防御机制，对外基于RASP能力对内存马的注入行为进行有效防御，对内通过建立内存马检测模型，通过持续分析内存中存在的恶意代码，帮助用户解决掉埋藏内存中的“定时炸弹”。针对内存中潜藏的内存马，靖云甲ADR提供了一键清除功能，可以直接将内存马清除，实现对内存马威胁的快速处理。靖云甲ADR还可以通过主动拦截+被动扫描，有效阻断内存马的注入；对已经被注入的内存马提供源码和特征检测信息，无需重启应用即可一键清除。这些都在业界处于领先水平。

　　软件供应链管理是广大政企客户关心又一重要课题，尤其是之前DevSecOps的火爆，业界投来了更多关注的目光。然而，在DevOps领域，一旦进入运行时安全防护，传统技术几乎无能为力，这就迫切需要基于RASP的ADR方案。靖云甲ADR基于动态捕获技术，自动收集并展示应用运行过程中所加载的组件库，并提供组件库路径等细粒度信息。在供应链出现严重的漏洞时，靖云甲ADR可在庞大的资产中快速定位到组件使用情况，从而加强对供应链管理能力，并赋予软件供应链以运行时安全能力。

　　在国产化层面，靖云甲ADR也取得了不错的进展。靖云甲ADR已经相继完成在银河麒麟和兆芯、龙芯、鲲鹏等CPU环境下的交叉测试，均可稳定高效运行。在国产中间件领域，靖云甲ADR已经相继完成了针对宝蓝德BES以及东方通Tongweb的兼容性测试，各项功能及防护能力均可稳定高效运行。这为共同打造领先于世界的ADR方案奠定了基础。

　　高度契合《关基保护要求》

日前，市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局在京联合召开《信息安全技术关键信息基础设施安全保护要求》（简称《关基保护要求》）国家标准发布会。据悉，《关基保护要求》是关键信息基础设施安全保护标准体系的构建基础，将于2023年5月1日正式实施。该标准针对关键信息基础设施安全保护工作，为运营者开展关键信息基础设施保护工作需求提供了详细指引和指导依据。

　　关键信息基础设施定义为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”由于关基安全自身的特性：“业务不可中断”“发生安全事件的代价极大”“安全风险连锁连片”等，关基防护从“静态防御”转向“动态防御”，从“被动防御”转向“主动防御”，从“单点防御”转向“协同联防”。此外，《关基保护要求》分别从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等多个环节和维度提出要求。这与边界无限长期坚持的安全理念不谋而合，靖云甲ADR更是高度契合相关要求。

　　《关基保护要求》提到的关键信息基础设施安全保护应在网络安全等级保护制度基础上，实行重点保护，应遵循以下基本原则。1.以关键业务为核心的整体防控。关键信息基础设施安全保护应以保护关键业务为目标，对业务所涉及的一个或多个网络和信息系统进行体系化安全设计，构建整体安全防控体系；2.以风险管理为导向的动态防护。根据关键信息基础设施所面临的安全威胁态势进行持续监测和安全控制措施的动态调整，形成动态的安全防护机制，及时有效地防范应对安全风险；3.以信息共享为基础的协同联防。积极构建相关方广泛参与的信息共享、协同联动的共同防护机制，提升关键信息基础设施应对大规模网络攻击能力。

　　以《关基保护要求》为指导，边界无限着力打造以关键业务为核心的整体应用防护，以风险管理为导向的动态应用防护，以信息共享为基础的应用端协同联防。靖云甲ADR主要面向关基所涉及的金融、能源电力、运营商、电子政务、公共服务（医疗、教育等）、交通、水利等多个领域，多方面助力构建关键信息基础设施动态应用防护机制，实时精准采集应用资产、组件库资产等信息，消除资产盲区，实现资产有效管理，让安全防护覆盖到资产的每一个角落；帮助用户精准发现应用漏洞风险，帮助安全团队快速、有效地定位和解决安全风险；主动采集第三方依赖库信息，并与云端漏洞库进行比对、分析，识别出应用存在的安全隐患，从而缩减应用攻击面，提升应用安全等级；通过对应用运行时环境的持续监控，有效防御恶意攻击，为应用提供全生命周期的动态安全保护。

　　《关基保护要求》的实施标志着我国关基安全保护进入一个全新阶段。除了传统安全措施的革新迭代，关基保护也将催生一系列新技术的诞生、发展、成熟，未来对关基应用防护的要求也将水涨船高，这给ADR、CAS等新技术、新概念带来了良好的机遇。2022年12月13日（周二）下午14:00-16:00，CSA大中华区将主办CSA系列研讨之《应用检测与响应研讨暨ADR能力白皮书发布会》，本次会议由中国数字产业领域第三方咨询机构数世咨询以及安全新锐企业边界无限联合承办。“契合关基，环环相扣”，会议邀请了政府以及行业专家，深入探讨如何依托《关基保护要求》为关基应用提供全生命周期的动态安全保护、ADR的创新性及先进性，并联合发布业内首份ADR能力白皮书。

扫码报名：

持续应用安全（CAS）研讨之：RASP.png