边界无限发布旗下首款产品——靖云甲·RASP防护平台

首页 / 业界 / 企业 /  正文
作者:藏青
来源:安全419
发布于:2022-04-27
4月27日,应用安全厂商边界无限在北京网安酒馆举行了以“应用疫苗灵动智御”为主题的RASP新品发布会。发布会期间,边界无限创始团队集中亮相,向业界推介了全新的应用运行时防护拳头产品——靖云甲,探讨了当前应用安全领域的新趋势、新走向。
 
新挑战呼唤新产品
 
边界无限创始人、CEO 陈佩文指出,网络攻击事件频发,企事业单位因网络安全事件导致的损失在逐年增加。面对严峻的网络攻击局势,企业如何构建安全纵深防御体系,维护应用和数据安全,将成为重中之重。综合而言,当前安全行业呈现出以下新趋势:
 
一是攻防演练常态化。网络安全逐步提升为国家战略布局之一,且“网络安全的本质是对抗,对抗的本质是攻防两端能力的较量”。为了能有效检测关键信息基础设施的运营单位应对网络安全事件的状态,网络安全攻防演练已然常态化和实战化。同时,攻防对抗强度不断升级,攻击队伍更加专注于应用安全的研究,经常利用供应链攻击等迂回手法来挖掘出特定Oday漏洞,实现对目标应用的打击。如何在攻防演练对抗中抵御愈加锋利、新颖的攻击,出色应对突发攻击事件和威胁,对企业来说是一个全新的挑战。
 
二是安全边界的模糊。随着云原生时代的来临,业务变得越来越开放和复杂,IT/业务架构缺乏规划,快速的资产建设,导致资产、技术负债加剧。固定的防御边界已经不复存在,基于网络边界进行的安全防护手段已经不再可靠。
 
三是流量规则检测不再“百试百灵”。大多数企业在安全保护方面,还是优先采用基于请求特征+规则策略的防御控制手段,将危险拦截在外,但高级定向攻击总能轻而易举地绕过传统边界安全设备和基于规则匹配的预防机制。传统边界安全设备在面对新的攻击和威胁时已经显得捉襟见肘。
 
四是安全诉求难以及时响应。越来越多的企业开始向DevOps模式靠拢,快速和持续的交付正在加快业务的扩展,但随之而来的挑战就是安全的诉求得不到及时响应。研发团队经常在代码可能存在安全风险情况下,将其推入生产环境,结果造成更多漏洞积压,且上线后安全诉求因排期等问题无法修复。安全部门和开发部门之间的鸿沟难以在短时间内消除,好比开发工作进入了高速公路,而安全工作仍然堵在拥挤的城市道路上。
 
 
陈佩文表示:“从物理主机到虚拟机,从虚拟机到容器,从云下到云化、云原生,IT 基础架构不断持续迭代,唯有应用从始至终贯穿整个架构变革,对应用的防护不会停滞,甚至应用或将成为未来用户唯一需要自行保护的内容,应用安全将成为最重要的安全阵地之一。”
 
应用安全的痛点
 
应用的重要性不言而喻,网络黑客针对应用的攻击手段也在不断升级。绝大部分 Web应用攻击都是没有特定目标的大范围漏洞扫描,但少数攻击却是为入侵特定目标而进行的针对性尝试。无论哪种情况,攻击都非常频繁,难以准确检测。,因此,企业在做好应用安全防护的过程中面临诸多现实痛点。边界无限联合创始人、CTO王佳宁表示,除了人为因素及防护策略导致的信息泄露,应用安全的几个特点值得关注。
 
 
一是安全漏洞攻击迅猛增长。应用作为网络入口承载着大量业务和流量,因此成为了安全的重灾区,黑客大多会利用Web应用漏洞实施攻击。由于应用保护的严重不足,且企业缺乏东西向的防御能力,黑客往往借助自动化的工具以及Nday漏洞,在短时间内以更高效、隐蔽的方式对Web进行漏洞扫描和探测,这将大大加剧企业应用防护的难度,使企业面临更为严重的安全风险和损失。以近期出现的log4j 和spring相关漏洞为例,其严重程度令人担忧,企业的重视程度也相当高,但即便如此,此类漏洞还是会长期与应用共存,因此针对应用的贴身防护刻不容缓。
 
二是针对API的攻击越来越普遍。随着数字化转型,现代企业越来越多的服务都已经 IT化,其中API成为了企业数字化的窗口。企业通过API来完成数据的传递,帮助企业完成相关业务功能,因此API变成攻击的重点目标,黑客通过扫描攻击和滥用 API相关功能来获取企业敏感数据。除此之外,很多企业并不清楚自己拥有多少API,也并不能保证每个API都具有良好的访问控制,被遗忘的影子API和僵尸API会带来重大的未知风险。据 Gartner预测,到2022年API滥用将是最常见的攻击方式,为API构建安全防护体系势在必行。RASP凭借其身位优势,在程序内部最直观、最准确地获取API接口等信息,从根本上守护API安全。
 
三是不安全的反序列化。反序列化过程就是应用接受序列化对象并将其还原的过程。如果反序列化过程不安全,可能会出现重大问题。即便开发人员知道不能信任用户输入,但序列化对象却总是被莫名地重视,往往放松对序列化对象的安全管理。这种情况下,不安全的反序列化过程成为黑客发送攻击的重要方式,且此种攻击手段在黑客攻击技术中排名前列,其不安全性极易导致Web应用暴露在远程代码执行威胁之下。
 
四是盲目依赖开源组件导致供应链安全危机。最近发生的很多数据泄露事件,攻击者利用的漏洞往往嵌入软件的开源组件里,这暴露了Web应用安全中的一个重大问题-一盲目信赖开源组件。据 Forrester研究表明,应用软件80%-90%的代码来自开源组件。全球对开源代码的旺盛需求,将导致 Web应用供应链攻击在2022年进一步增长,范围扩大,并且更加复杂,未来使用恶意软件进行 Web应用供应链攻击的数量将不断攀升。利用开源组件,实施对 Web应用供应链的攻击更隐蔽,危险性也更高。
 
“正是由于应用安全存在如此多的痛点,同时考虑到广大政企客户应用内生安全的基因并未被激发,还是采取传统的边界防护手段,而鲜于进行应用运行时的动态防御,因此边界无限很坚定地选择了应用安全与云原生安全的赛道,并全力以赴推进靖云甲·RASP 的落地,希望与产业链各方共同迎接这一行业新趋势。”王佳宁表示。
 
免疫血清--靖云甲·RASP
 
当前,多数应用都依赖于像入侵防护系统(IPS)和Web应用防火墙(WAF)等外部防护。WAF 部署在Web应用前线,通过对HTTP/HTTPS的有目的性的策略来达到对 Web应用的保护,在HTTP流量到达应用服务器之前对其进行分析,但是基于流量的检测分析手段容易被绕过。相比于传统的边界产品,RASP 不需要依赖规则。在去年波及范围较广的Log4j2 漏洞和最近 Spring漏洞事件中,RASP展示出它过人的优势。
 
“2014年,Gartner 就将RASP 列为应用安全领域的关键趋势。相比于RASP,WAF等传统安全防护产品部署在边界,更像让人多穿衣服、多喝热水。RASP 是基于新一代防护理念的应用程序自我防护技术,两者并不会相互取代,而是能相互配合、相得益彰”,边界无限产品负责人沈思源表示。
 
 
“然而,很多人会把 RASP 比如成应用'疫苗’,简单说,'疫苗’更多地是针对特定病症的专项应对。从目前的网络安全趋势上来看,未知漏洞攻击越来越普遍,我们要做的就是帮助客户加强自身网络的安全防护能力,从这个意义上来说,RASP更像是在实际网络攻防中提取的'免疫血清’,帮助客户加强自身肌体的免疫力,让客户网络拥有内生安全能力。”
 
沈思源介绍说,边界无限靖云甲RASP应用程序自我防护体系主要由微探针(Agent)、数据调度器、AI攻击检测引擎、管理平台四部分构成,来提供灵活的、稳定的、精准的核心能力支持。靖云甲通过将Agent注入到应用中间件中,对被保护应用程序的访问请求进行持续监控和分析,使得应用程序在遭受攻击时,能够实现自我防御。靖云甲产品体系采用模块化的组织形式,实现了各核心功能的智能集成和协同联动。
 
靖云甲·RASP 以探针的形式,将保护引擎注入到应用服务中,就像“免疫血清”一样,随应用程序在本地、云、虚拟环境或容器中进行部署,为应用程序提供安全特性。这种特性使RASP掌握了内部所有动作的“上下文联系”,而不只是“入口流量”。这样可以构建应用安全程序的深度防御体系,尤其是在面临未知漏洞的前提下,也将是较优的选择。
 
值得一提的是,边界无限靖云甲·RASP可以细粒度构建应用资产,提供资产关联能力,有效防御未知漏洞威胁,全方位保护应用安全。它采用独特采样决策架构,保障应用安全“快准稳”。此外,基于云原生场景进行的顶层设计,靖云甲·RASP 可以完美契合云上安全需求,支持容器化、支持K8S部署、轻松解决业务爆发式增长、实例突增带来的安全防护同步问题。
 
安全419注意到,在接连数起大规模的0Day漏洞事件的影响下,RASP技术在业内正在获得越来越高的关注度,如边界无限这样的新锐安全厂商,也开始将目光对准RASP方向。作为应用安全领域的一个创新技术方向,很高兴能够看到更多的安全厂商在RASP领域展开探索和实践,为市场带来更多具备创新价值的RASP产品,促进整个RASP产品市场的繁荣。
 
据陈佩文表示,靖云甲·RASP是边界无限旗下的首款产品,后续还将陆续推出容器安全、API安全、云原生安全、数据安全等相关产品,将自身“灵动智御”的新安全理念推广至全行业,帮助用户真正建立起敏捷灵动、动态、自动化和智能化的防御体系,期待未来边界无限能给行业带来更多惊喜。