应用安全是网络安全领域中的一个细分方向,这类安全产品的目的是确保Web应用程序在运行时的安全性。随着网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。但在早前,网络安全的现状却是,绝大多数企业将大量的投资花费在网络和服务器的安全上,并未从真正意义上保证Web应用本身的安全。不过好的一点是,这类情况在如今产生了些许改变,其中的一个现象是,当前关注应用安全的初创企业多了起来。
36氪获悉,不久前,成立于2019年的北京边界无限科技有限公司(BoundaryX,以下简称「边界无限」)推出了应用运行时防护产品——靖云甲·RASP全栈式云安全防护系统。RASP被不少人称作网络安全的"免疫血清"。36氪此前介绍过,Gartner 在2014年将 RASP 定义为应用安全领域的关键趋势。在具体实现上,这种技术可以和应用程序绑定在一起,像“疫苗”一样注入到应用程序里,使应用程序在运行时实现自我安全保护,能够帮助客户有效防护已知和未知攻击。
据介绍,本次边界无限推出RASP全栈式云安全防护平台——靖云甲,是边界无限帮助用户构建云原生时代安全基础设施体系的起点和支点。它以"数据驱动、连接、全链路"为产品理念,希望消除根本风险,为企业主动防御赋能。并且其致力通过"应用上下文安全分析引擎、智能算法"等关键技术,捕捉拦截已知和未知威胁攻击,从而为云上资产、应用、数据提供全链路、全生命周期的动态安全保护。
谈及发布这款产品的初衷,边界无限联合创始人、CTO王佳宁从行业角度分析,除了人为因素及防护策略导致的信息泄露,应用安全的几个特点值得关注:
一是安全漏洞攻击迅猛增长。应用作为网络入口承载着大量业务和流量,因此成为了安全的重灾区,黑客大多会利用Web应用漏洞实施攻击。由于应用保护的严重不足,且企业缺乏东西向的防御能力,黑客往往借助自动化的工具以及Nday漏洞,在短时间内以更高效、隐蔽的方式对Web进行漏洞扫描和探测,这将大大加剧企业应用防护的难度,使企业面临更为严重的安全风险和损失。以近期出现的 log4j 和 spring 相关漏洞为例,其严重程度令人担忧,企业的重视程度也相当高,但即便如此,此类漏洞还是会长期与应用共存,因此针对应用的贴身防护刻不容缓。
二是针对API的攻击越来越普遍。随着数字化转型,现代企业越来越多的服务都已经 IT化,其中 API 成为了企业数字化的窗口。企业通过API来完成数据的传递,帮助企业完成相关业务功能,因此 API 变成攻击的重点目标,黑客通过扫描攻击和滥用 API 相关功能来获取企业敏感数据。除此之外,很多企业并不清楚自己拥有多少API,也并不能保证每个API都具有良好的访问控制,被遗忘的影子API和僵尸API会带来重大的未知风险。据Gartner预测,到2022年API滥用将是最常见的攻击方式,为API构建安全防护体系势在必行。RASP凭借其身位优势,在程序内部最直观、最准确地获取 API 接口等信息,从根本上守护 API 安全。
三是不安全的反序列化。反序列化过程就是应用接受序列化对象并将其还原的过程。如果反序列化过程不安全,可能会出现重大问题。即便开发人员知道不能信任用户输入,但序列化对象却总是被莫名地重视,往往放松对序列化对象的安全管理。这种情况下,不安全的反序列化过程成为黑客发送攻击的重要方式,且此种攻击手段在黑客攻击技术中排名前列,其不安全性极易导致Web应用暴露在远程代码执行威胁之下。
四是盲目依赖开源组件导致供应链安全危机。最近发生的很多数据泄露事件,攻击者利用的漏洞往往嵌入软件的开源组件里,这暴露了Web应用安全中的一个重大问题——盲目信赖开源组件。据Forrester研究表明,应用软件80%-90%的代码来自开源组件。全球对开源代码的旺盛需求,将导致Web应用供应链攻击在2022年进一步增长,范围扩大,并且更加复杂,未来使用恶意软件进行Web应用供应链攻击的数量将不断攀升。利用开源组件,实施对Web应用供应链的攻击更隐蔽,危险性也更高。
王佳宁表示,这些行业痛点,也是其推进靖云甲·RASP的落地,希望与产业链各方共同迎接这一行业新趋势的原因。
在另一方面,公司也更具体地阐释了RASP和各种安全产品的关联。具体而言,当前多数应用都依赖于像入侵防护系统(IPS)和 Web 应用防火墙(WAF)等外部防护。WAF部署在Web应用前线,通过对HTTP/HTTPS的有目的性的策略来达到对Web应用的保护,在HTTP流量到达应用服务器之前对其进行分析,但是基于流量的检测分析手段容易被绕过。相比于传统的边界产品, RASP不需要依赖规则。在去年波及范围较广的Log4j2漏洞和最近Spring漏洞事件中,RASP展示出过人的优势。
“2014年,Gartner就将RASP列为应用安全领域的关键趋势。相比于RASP,WAF等传统安全防护产品部署在边界,更像让人多穿衣服、多喝热水。RASP是基于新一代防护理念的应用程序自我防护技术,两者并不会相互取代,而是能相互配合、相得益彰。”边界无限产品负责人沈思源表示,“然而,很多人会把RASP比如成应用‘疫苗’,简单说,‘疫苗’更多地是针对特定病症的专项应对。从目前的网络安全趋势上来看,未知漏洞攻击越来越普遍,我们要做的就是帮助客户加强自身网络的安全防护能力,从这个意义上来说,RASP更像是在实际网络攻防中提取的‘免疫血清’,帮助客户加强自身肌体的免疫力,让客户网络拥有内生安全能力。”
沈思源介绍说,边界无限靖云甲·RASP应用程序自我防护体系主要由微探针(Agent)、数据调度器、AI攻击检测引擎、管理平台四部分构成,来提供灵活的、稳定的、精准的核心能力支持。在实现上,靖云甲通过将Agent注入到应用中间件中,对被保护应用程序的访问请求进行持续监控和分析,使得应用程序在遭受攻击时,能够实现自我防御。靖云甲产品体系采用模块化的组织形式,实现了各核心功能的智能集成和协同联动。
在落地端,据介绍其方案能力和安全理念已经受到一些用户的认可。截至目前,边界无限已与政府、金融、能源、云服务厂商、电商、互联网等领域数十家客户达成业务合作,致力为其构建稳定、高效的安全防护。