劉宸宇表示�����,在即將發(fā)布的《中國(guó)數(shù)字安全能力圖譜2022》中����,應(yīng)用檢測(cè)與響應(yīng)ADR位于“應(yīng)用場(chǎng)景安全”方向的“開發(fā)與應(yīng)用安全”分類中����。在2022年度數(shù)字安全成熟度階梯(應(yīng)用場(chǎng)景)中,應(yīng)用檢測(cè)與響應(yīng)ADR位于“啟動(dòng)區(qū)”��,屬于前沿創(chuàng)新和概念市場(chǎng)階段�,目前國(guó)內(nèi)相關(guān)領(lǐng)域企業(yè)數(shù)量并不多,只有個(gè)別企業(yè)明確提出了ADR這一概念����。
ADR主要的應(yīng)用場(chǎng)景有關(guān)鍵安全基礎(chǔ)設(shè)施�、實(shí)戰(zhàn)攻防演練以及數(shù)據(jù)治理安全。在關(guān)鍵安全基礎(chǔ)設(shè)施方面�����,ADR與WAF等邊界產(chǎn)品配合�,實(shí)現(xiàn)縱深防護(hù)體系����;與主機(jī)側(cè)HDR配合���,實(shí)現(xiàn)立體檢測(cè)與響應(yīng)能力�����;與IAST配合���,覆蓋應(yīng)用的全生命周期。在實(shí)戰(zhàn)演練中��,率先部署和運(yùn)營(yíng)ADR能幫助用戶搶占對(duì)抗先機(jī)��。演練前梳理應(yīng)用資產(chǎn)�����,收斂潛在攻擊暴露面����;演練中持續(xù)檢測(cè)與分析�,實(shí)現(xiàn)有效防御與溯源���;演練后結(jié)合上下文����,全面提高應(yīng)用安全等級(jí)。在數(shù)據(jù)治理安全中����,ADR基于安全視角的資產(chǎn)發(fā)現(xiàn)與管理能力,能夠?yàn)槠涑掷m(xù)提供“既懂?dāng)?shù)據(jù)�����、又懂業(yè)務(wù)”的輕量資產(chǎn)化數(shù)據(jù)�,并且能夠?qū)崿F(xiàn)數(shù)據(jù)的分類分級(jí)以及配合安全能力的對(duì)接與編排調(diào)度�����。除了上述主要場(chǎng)景�����,用戶在類似的安全重保����、應(yīng)用加固、供應(yīng)鏈安全以及集團(tuán)應(yīng)用安全體系建設(shè)等場(chǎng)景下�,都可以采用ADR這塊重要拼圖�。
RASP恰好處在應(yīng)用訪問(wèn)流量中東西向與南北向的交叉點(diǎn)�,因此以RASP作為能力切入點(diǎn),ADR 應(yīng)當(dāng)具備以下幾個(gè)關(guān)鍵技術(shù)能力分別是:探針(Agent)、應(yīng)用資產(chǎn)發(fā)現(xiàn)�����、高級(jí)威脅檢測(cè)�����、數(shù)據(jù)調(diào)度與分析以及響應(yīng)阻斷與修復(fù)。
邊界無(wú)限作為國(guó)內(nèi)新成立的安全創(chuàng)新企業(yè)���,其團(tuán)隊(duì)核心成員來(lái)自騰訊玄武實(shí)驗(yàn)室和頭部安全公司����,具備很高的攻防起點(diǎn)����,Log4j�����、Spring4shell等高危漏洞爆發(fā)時(shí)�����,他們的產(chǎn)品都成功檢測(cè)并進(jìn)行了攔截���?��;赗ASP技術(shù)�����,憑借攻防基因與技術(shù)優(yōu)勢(shì)��,邊界無(wú)限完善了應(yīng)用運(yùn)行時(shí)全流程全周期的安全防護(hù)能力,加入了多場(chǎng)景業(yè)務(wù)適配���、虛擬補(bǔ)丁等檢測(cè)與響應(yīng)能力�����,推出了靖云甲ADR�,這與數(shù)世咨詢的研究不謀而合。作為國(guó)內(nèi)唯一入選ADR能力白皮書的企業(yè),數(shù)世咨詢將對(duì)邊界無(wú)限持續(xù)關(guān)注��。
劉宸宇表示����,CAS與ADR相生相存,是基于我國(guó)軟件供應(yīng)鏈安全現(xiàn)狀所誕生的一種理念�����,主要解決軟件供應(yīng)鏈中數(shù)字化應(yīng)用的開發(fā)以及運(yùn)行方面的安全問(wèn)題,覆蓋應(yīng)用的源代碼開發(fā)�����、構(gòu)建部署����、上線運(yùn)行等多個(gè)階段���,保障數(shù)字化應(yīng)用的全流程安全狀態(tài)�����,是安全能力原子化(離散式制造、集中式交付��、統(tǒng)一式管理�、智能式應(yīng)用)在軟件供應(yīng)鏈安全上的應(yīng)用��。因此在應(yīng)用的運(yùn)行階段���,ADR能夠與CAS形成數(shù)據(jù)關(guān)聯(lián)和能力融合,并經(jīng)由統(tǒng)一調(diào)度管理形成體系化的解決方案����,以達(dá)到幫助用戶減少資源投入、整合安全能力和提升安全效率的目的��。在CAS體系中,ADR可以說(shuō)是“最后一道防線”�,用以保護(hù)未來(lái)在云原生時(shí)代甲方客戶“唯一”需要保護(hù)的關(guān)鍵信息安全基礎(chǔ)設(shè)施——應(yīng)用,可以彌補(bǔ)DevSecOps在運(yùn)行時(shí)的應(yīng)用防護(hù)短板。
甲方應(yīng)用安全建設(shè)資產(chǎn)�、能力����、策略缺一不可
京東集團(tuán)應(yīng)用安全與應(yīng)急負(fù)責(zé)人王永孝在演講中指出�,目前各企業(yè)面臨的應(yīng)用安全挑戰(zhàn)極其嚴(yán)峻,很多大型威脅事件以及高危漏洞的爆發(fā)給廣大企業(yè)敲響了警鐘��,企業(yè)如果想系統(tǒng)建立應(yīng)用安全防護(hù)能力�����,資產(chǎn)、能力���、策略一樣都不能少���。
在提到京東集團(tuán)所面臨的的應(yīng)用安全建設(shè)挑戰(zhàn)時(shí)�����,王永孝指出,業(yè)務(wù)場(chǎng)景多��、工作量大�、迭代迅速����、人員緊張是京東面臨的問(wèn)題���,也是很多大型企業(yè)面臨的問(wèn)題,并且應(yīng)用安全要想細(xì)化需要深入業(yè)務(wù)�,不管是對(duì)安全人員的投入����,還是對(duì)業(yè)務(wù)團(tuán)隊(duì)的投入都是巨大的成本�����,盡量沉淀自動(dòng)化能力,可以節(jié)省很大的人力成本�����。
他表示,應(yīng)用安全不是與業(yè)務(wù)越耦合越好���,需要平衡投入和產(chǎn)出�����,安全卡點(diǎn)要盡量合并統(tǒng)一�,能一個(gè)點(diǎn)解決的不要拆分成多個(gè),另外資產(chǎn)很重要���,是做好安全工作的基石�����,良好的應(yīng)用資產(chǎn)測(cè)繪能力便成為了一款產(chǎn)品好壞的重要考核標(biāo)準(zhǔn)��。
在談及ADR時(shí),王永孝表示�����,ADR在RASP基礎(chǔ)上提升了檢測(cè)與響應(yīng)的能力����,而不僅僅是阻斷,這意味這款技術(shù)已經(jīng)逐步走向成熟,已經(jīng)具備了應(yīng)用安全解決方案的能力����。在云原生時(shí)代,應(yīng)用的防護(hù)將提升到更高的高度 ��,才能保障整體的安全,一旦應(yīng)用暴露在特定攻擊之下��,后果將很嚴(yán)重���,ADR在此方面有用武之地���,可以幫助客戶有效提升應(yīng)用安全防護(hù)水平�����,并進(jìn)而建立整體應(yīng)用防護(hù)體系���。
靖云甲ADR助力關(guān)基應(yīng)用防護(hù)
邊界無(wú)限創(chuàng)始人、CEO陳佩文在本次研討會(huì)中表示,以《關(guān)基保護(hù)要求》為指導(dǎo)�����,邊界無(wú)限著力打造以關(guān)鍵業(yè)務(wù)為核心的整體應(yīng)用防護(hù)����,以風(fēng)險(xiǎn)管理為導(dǎo)向的動(dòng)態(tài)應(yīng)用防護(hù),以信息共享為基礎(chǔ)的應(yīng)用端協(xié)同聯(lián)防��。邊界無(wú)限靖云甲ADR是以Web應(yīng)用為核心,以RASP為主要安全能力切入點(diǎn)��,打造Web應(yīng)用全方位安全檢測(cè)與響應(yīng)的解決方案��,是邊界無(wú)限幫助用戶構(gòu)建云原生時(shí)代安全基礎(chǔ)設(shè)施體系的起點(diǎn)和戰(zhàn)略支點(diǎn)���,更是“靈動(dòng)智御”理念的實(shí)踐。
靖云甲ADR引入多項(xiàng)前瞻性的技術(shù)理念���,通過(guò)對(duì)應(yīng)用風(fēng)險(xiǎn)的持續(xù)檢測(cè)和安全風(fēng)險(xiǎn)快速響應(yīng)�,幫助企業(yè)應(yīng)對(duì)來(lái)自業(yè)務(wù)增長(zhǎng)��、技術(shù)革新和關(guān)鍵基礎(chǔ)設(shè)施環(huán)境變化所產(chǎn)生的等諸多應(yīng)用安全新挑戰(zhàn)���。在流量安全方面��,ADR基于網(wǎng)格化流量采集���,通過(guò)聯(lián)動(dòng)應(yīng)用端點(diǎn)數(shù)據(jù)、應(yīng)用訪問(wèn)數(shù)據(jù)����,高效準(zhǔn)確防御0day漏洞利用、內(nèi)存馬注入等各類安全威脅����;在API安全方面,通過(guò)建立自主學(xué)習(xí)模型�,實(shí)現(xiàn)API的自動(dòng)發(fā)現(xiàn)�����,漏洞挖掘����;自動(dòng)生成API訪問(wèn)策略���,通過(guò)調(diào)用追蹤的方式建立可視化的API風(fēng)險(xiǎn)見解�,為API提供實(shí)時(shí)防御��。在數(shù)據(jù)安全方面通過(guò)數(shù)據(jù)審計(jì)���、治理����、脫敏等安全技術(shù)����,有效實(shí)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)態(tài)勢(shì)的把控。在為企業(yè)提供全面的應(yīng)用安全保障的同時(shí)����,ADR通過(guò)虛擬補(bǔ)丁����、威脅情報(bào)�、訪問(wèn)控制等運(yùn)營(yíng)處置手段����,有效提高安全運(yùn)營(yíng)的事件處置效率。
隨著“業(yè)務(wù)上云”的普及����,越來(lái)越多云原生場(chǎng)景下的應(yīng)用檢測(cè)與響應(yīng)需求需要得到滿足。靖云甲ADR主要面向關(guān)基所涉及的金融����、能源電力、運(yùn)營(yíng)商��、電子政務(wù)����、公共服務(wù)(醫(yī)療、教育等)�����、交通、水利等多個(gè)領(lǐng)域�,多方面助力構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施動(dòng)態(tài)應(yīng)用防護(hù)機(jī)制,實(shí)時(shí)精準(zhǔn)采集應(yīng)用資產(chǎn)����、組件庫(kù)資產(chǎn)等信息,消除資產(chǎn)盲區(qū)��,實(shí)現(xiàn)資產(chǎn)有效管理���,讓安全防護(hù)覆蓋到資產(chǎn)的每一個(gè)角落���;幫助用戶精準(zhǔn)發(fā)現(xiàn)應(yīng)用漏洞風(fēng)險(xiǎn),幫助安全團(tuán)隊(duì)快速��、有效地定位和解決安全風(fēng)險(xiǎn)���;主動(dòng)采集第三方依賴庫(kù)信息���,并與云端漏洞庫(kù)進(jìn)行比對(duì)、分析���,識(shí)別出應(yīng)用存在的安全隱患���,從而縮減應(yīng)用攻擊面����,提升應(yīng)用安全等級(jí)�����;通過(guò)對(duì)應(yīng)用運(yùn)行時(shí)環(huán)境的持續(xù)監(jiān)控����,有效防御惡意攻擊�,為應(yīng)用提供全生命周期的動(dòng)態(tài)安全保護(hù)。
陳佩文指出���,作為網(wǎng)絡(luò)安全產(chǎn)品和安全服務(wù)綜合提供商���,邊界無(wú)限結(jié)合現(xiàn)有的網(wǎng)絡(luò)安全保障體系以及在重要行業(yè)和領(lǐng)域開展網(wǎng)絡(luò)安全保護(hù)工作的成熟經(jīng)驗(yàn),不斷加強(qiáng)企業(yè)技術(shù)研發(fā)和服務(wù)能力創(chuàng)新����,助力客戶加強(qiáng)關(guān)基應(yīng)用防護(hù)能力體系建設(shè)。邊界無(wú)限靖云甲ADR,保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)用“零關(guān)?����!?�、“少關(guān)?��!?���,加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)用安全能力建設(shè)�,為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的應(yīng)用安全保駕護(hù)航。
安全行業(yè)面臨的威脅日新月異��,但隨著ADR��、CAS等新技術(shù)的不斷演進(jìn)���,廣大政企客戶的防護(hù)能力也將逐步提升�,在應(yīng)用層面�����,ADR、CAS將發(fā)揮重要的作用���,助力提升關(guān)基應(yīng)用防護(hù)水平��。
比.jpg)
