近日,中国数字产业领域第三方咨询机构数世咨询发布安全行业首份《ADR能力白皮书》,通过系统研究ADR的关键能力以及使用场景等,为广大政企客户构建整体应用防护体系提供参考和借鉴。白皮书还推荐了ADR领域的代表性厂商,作为一家专注于技术创新突破的安全新锐公司,边界无限凭借其被喻为应用“免疫血清”的靖云甲ADR成为唯一被推荐的国内公司。该ADR能力白皮书在CSA大中华区组织的CSA研讨会上首次发布。
ADR关键发现
应用检测与响应(Application Detection and Response – ADR)是指以Web应用为主要对象,采集应用运行环境与应用内部中用户输入、上下文信息、访问行为等流量数据并上传至分析管理平台,辅助威胁情报关联分析后,以自动化策略或人工响应处置安全事件的解决方案。
ADR以Web应用为核心,以RASP为主要安全能力切入点。
作为安全关键基础设施,ADR能够与WAF、HDR、IAST等多个安全能力形成有机配合。
ADR 的五大关键技术能力:探针(Agent)、应用资产发现、高级威胁检测、数据建模与分析、响应阻断与修复。
对0day漏洞、无文件攻击等高级攻击威胁的检测与响应已经成为ADR的关键能力之一。
ADR厂商将与公有云厂商、各行业云厂商建立更加深入的合作关系,逐步加快ADR在各行业的集中部署。
ADR新赛道
如何定义ADR?
应用检测与响应(Application Detection and Response – ADR)是指以Web应用为主要对象,采集应用运行环境与应用内部中用户输入、上下文信息、访问行为等流量数据并上传至分析管理平台,辅助威胁情报关联分析后,以自动化策略或人工响应处置安全事件的解决方案。
若无特别说明,本报告中的应用主要指主机侧的Web应用,不包含PC终端、移动终端、物联网终端等端点侧的应用。
ADR以Web应用为核心,以RASP为主要安全能力切入点,通过对应用流量数据中潜在威胁的持续检测和快速响应,帮助用户应对来自业务增长、技术革新和基础设施环境变化所产生的诸多应用安全新挑战。
在安全检测方面,ADR基于网格化的流量采集,通过应用资产数据、应用访问数据、上下文信息等,结合外部威胁情报数据,高效准确检测0day漏洞利用、内存马注入等各类安全威胁;在安全响应方面,ADR基于场景化的学习模型,实现应用资产的自动发现与适配,自动生成应用访问策略,建立可视化的应用访问基线,发现安全威胁时,通过虚拟补丁、访问控制等安全运营处置手段,有效提高事件响应的处置效率。
图:ADR应用检测与响应
图:应用检测与响应ADR 部署示意图
在即将发布的《中国数字安全能力图谱2022》中,应用检测与响应ADR位于“应用场景安全”方向的“开发与应用安全”分类中。如下图所示:
图:《中国数字安全能力图谱2022》开发与应用安全,ADR
在2022年度数字安全成熟度阶梯(应用场景)中,应用检测与响应ADR位于“启动区”,属于前沿创新和概念市场阶段。
边界无限靖云甲ADR
诚如数世咨询ADR能力白皮书中所述,目前国内相关领域企业数量并不多,只有个别企业明确提出了ADR这一概念,而边界无限就是这么一家将RASP技术提升至ADR的安全新锐,并凭借超强的技术前瞻性和对ADR的专注而入选ADR能力白皮书,并且成为国内唯一被推荐的ADR代表厂商,其自主研创的靖云甲ADR更是被业界称为应用的“免疫血清”。
边界无限副总裁、产品总负责人沈思源介绍说,靖云甲ADR基于RASP技术,以Web应用为核心,以RASP为主要安全能力切入点,打造Web应用全方位安全检测与响应的解决方案,是边界无限帮助用户构建云原生时代安全基础设施体系的起点和战略支点,更是“灵动智御”理念的实践。靖云甲ADR引入多项前瞻性的技术理念,通过对应用风险的持续检测和安全风险快速响应,帮助企业应对来自业务增长、技术革新和基础设施环境变化所产生的等诸多应用安全新挑战。
边界无限靖云甲ADR拥有资产管理、入侵检测、漏洞管理和内存马防御等核心功能,具备免重启、采样决策分离、IT部署架构、性能全面领先等核心优势,其应用场景为业务在线修复、实战攻防演练、恶意应用攻击和集团应用安全建设能力等。
具体来说,在流量安全层面,边界无限靖云甲ADR基于网格化流量采集,通过联动应用端点数据、应用访问数据,高效准确防御0day漏洞利用、内存马注入等各类安全威胁;在数据安全方面通过数据审计、治理、脱敏等安全技术,有效实现数据安全风险态势的把控。在为企业提供全面的应用安全保障的同时,ADR通过虚拟补丁、漏洞威胁情报、访问控制等运营处置手段,有效提高安全运营的事件处置效率。这顺应了时下流行的安全技术趋势,也满足了广大政企客户的现实安全需求。
边界无限靖云甲ADR拥有精准细化的资产清点、紧跟形式的安全研究、海量可靠的漏洞运营、轻量无感的性能损耗等优点,尤其是在应用资产管理、供应链安全、API资产学习层面,表现优异。靖云甲ADR跨IT架构统计应用资产,实现安全能力同步管控,为应用提供安全风险评估;动态采集应用运行过程中的组件加载情况,快速感知资产动态,全面有效获知供应链资产信息;自主学习流量+应用框架,具体来说,靖云甲ADR会通过插桩对应用内部框架定义的API方法以及应用流量进行API全量采集,同时利用AI 检测引擎请求流量进行持续分析,自动分析暴露陈旧、敏感数据等关键问题。
此外,边界无限靖云甲ADR采用“主被动结合”双重防御机制,对外基于RASP能力对内存马的注入行为进行有效防御,对内通过建立内存马检测模型,通过持续分析内存中存在的恶意代码,帮助用户解决掉埋藏内存中的“定时炸弹”。针对内存中潜藏的内存马,靖云甲ADR提供了一键清除功能,可以直接将内存马清除,实现对内存马威胁的快速处理。靖云甲ADR还可以通过主动拦截+被动扫描,有效阻断内存马的注入;对已经被注入的内存马提供源码和特征检测信息,无需重启应用即可一键清除。另外,靖云甲ADR采用“attach”等方式注入agent,无需重启直接更新,以减少对业务运行的干扰。
截至目前,边界无限已与关键基础设施重要行业和领域的数十家客户达成业务合作,相信随着RASP以及ADR技术的进一步成熟,边界无限将帮助各运营单位构建关键信息基础设施整体应用防控体系,不断提升关键信息基础设施安全应用防护能力。
关注公众号后台回复:ADR
获取行业首份《ADR能力白皮书》
往期 · 推荐
CSA研讨之ADR | 行业首份ADR能力白皮书正式发布 边界无限强势入选代表厂商
原文始发于微信公众号(边界无限):行业首份ADR(应用检测与响应)能力白皮书解读之ADR新赛道研究背景与定义
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论