應(yīng)用安全是網(wǎng)絡(luò)安全領(lǐng)域中的一個(gè)細(xì)分方向，這類安全產(chǎn)品的目的是確保Web應(yīng)用程序在運(yùn)行時(shí)的安全性。隨著網(wǎng)絡(luò)技術(shù)日趨成熟，黑客們也將注意力從以往對(duì)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對(duì)Web應(yīng)用的攻擊上。但在早前，網(wǎng)絡(luò)安全的現(xiàn)狀卻是，絕大多數(shù)企業(yè)將大量的投資花費(fèi)在網(wǎng)絡(luò)和服務(wù)器的安全上，并未從真正意義上保證Web應(yīng)用本身的安全。不過好的一點(diǎn)是，這類情況在如今產(chǎn)生了些許改變，其中的一個(gè)現(xiàn)象是，當(dāng)前關(guān)注應(yīng)用安全的初創(chuàng)企業(yè)多了起來。

36氪獲悉，不久前，成立于2019年的北京邊界無限科技有限公司（BoundaryX，以下簡(jiǎn)稱「邊界無限」）推出了應(yīng)用運(yùn)行時(shí)防護(hù)產(chǎn)品——靖云甲·RASP全棧式云安全防護(hù)系統(tǒng)。RASP被不少人稱作網(wǎng)絡(luò)安全的"免疫血清"。36氪此前介紹過，Gartner 在2014年將 RASP 定義為應(yīng)用安全領(lǐng)域的關(guān)鍵趨勢(shì)。在具體實(shí)現(xiàn)上，這種技術(shù)可以和應(yīng)用程序綁定在一起，像“疫苗”一樣注入到應(yīng)用程序里，使應(yīng)用程序在運(yùn)行時(shí)實(shí)現(xiàn)自我安全保護(hù)，能夠幫助客戶有效防護(hù)已知和未知攻擊。

據(jù)介紹，本次邊界無限推出RASP全棧式云安全防護(hù)平臺(tái)——靖云甲，是邊界無限幫助用戶構(gòu)建云原生時(shí)代安全基礎(chǔ)設(shè)施體系的起點(diǎn)和支點(diǎn)。它以"數(shù)據(jù)驅(qū)動(dòng)、連接、全鏈路"為產(chǎn)品理念，希望消除根本風(fēng)險(xiǎn)，為企業(yè)主動(dòng)防御賦能。并且其致力通過"應(yīng)用上下文安全分析引擎、智能算法"等關(guān)鍵技術(shù)，捕捉攔截已知和未知威脅攻擊，從而為云上資產(chǎn)、應(yīng)用、數(shù)據(jù)提供全鏈路、全生命周期的動(dòng)態(tài)安全保護(hù)。

談及發(fā)布這款產(chǎn)品的初衷，邊界無限聯(lián)合創(chuàng)始人、CTO王佳寧從行業(yè)角度分析，除了人為因素及防護(hù)策略導(dǎo)致的信息泄露，應(yīng)用安全的幾個(gè)特點(diǎn)值得關(guān)注：

一是安全漏洞攻擊迅猛增長(zhǎng)。應(yīng)用作為網(wǎng)絡(luò)入口承載著大量業(yè)務(wù)和流量，因此成為了安全的重災(zāi)區(qū)，黑客大多會(huì)利用Web應(yīng)用漏洞實(shí)施攻擊。由于應(yīng)用保護(hù)的嚴(yán)重不足，且企業(yè)缺乏東西向的防御能力，黑客往往借助自動(dòng)化的工具以及Nday漏洞，在短時(shí)間內(nèi)以更高效、隱蔽的方式對(duì)Web進(jìn)行漏洞掃描和探測(cè)，這將大大加劇企業(yè)應(yīng)用防護(hù)的難度，使企業(yè)面臨更為嚴(yán)重的安全風(fēng)險(xiǎn)和損失。以近期出現(xiàn)的 log4j 和 spring 相關(guān)漏洞為例，其嚴(yán)重程度令人擔(dān)憂，企業(yè)的重視程度也相當(dāng)高，但即便如此，此類漏洞還是會(huì)長(zhǎng)期與應(yīng)用共存，因此針對(duì)應(yīng)用的貼身防護(hù)刻不容緩。

二是針對(duì)API的攻擊越來越普遍。隨著數(shù)字化轉(zhuǎn)型，現(xiàn)代企業(yè)越來越多的服務(wù)都已經(jīng) IT化，其中 API 成為了企業(yè)數(shù)字化的窗口。企業(yè)通過API來完成數(shù)據(jù)的傳遞，幫助企業(yè)完成相關(guān)業(yè)務(wù)功能，因此 API 變成攻擊的重點(diǎn)目標(biāo)，黑客通過掃描攻擊和濫用 API 相關(guān)功能來獲取企業(yè)敏感數(shù)據(jù)。除此之外，很多企業(yè)并不清楚自己擁有多少API，也并不能保證每個(gè)API都具有良好的訪問控制，被遺忘的影子API和僵尸API會(huì)帶來重大的未知風(fēng)險(xiǎn)。據(jù)Gartner預(yù)測(cè)，到2022年API濫用將是最常見的攻擊方式，為API構(gòu)建安全防護(hù)體系勢(shì)在必行。RASP憑借其身位優(yōu)勢(shì)，在程序內(nèi)部最直觀、最準(zhǔn)確地獲取 API 接口等信息，從根本上守護(hù) API 安全。

三是不安全的反序列化。反序列化過程就是應(yīng)用接受序列化對(duì)象并將其還原的過程。如果反序列化過程不安全，可能會(huì)出現(xiàn)重大問題。即便開發(fā)人員知道不能信任用戶輸入，但序列化對(duì)象卻總是被莫名地重視，往往放松對(duì)序列化對(duì)象的安全管理。這種情況下，不安全的反序列化過程成為黑客發(fā)送攻擊的重要方式，且此種攻擊手段在黑客攻擊技術(shù)中排名前列，其不安全性極易導(dǎo)致Web應(yīng)用暴露在遠(yuǎn)程代碼執(zhí)行威脅之下。

四是盲目依賴開源組件導(dǎo)致供應(yīng)鏈安全危機(jī)。最近發(fā)生的很多數(shù)據(jù)泄露事件，攻擊者利用的漏洞往往嵌入軟件的開源組件里，這暴露了Web應(yīng)用安全中的一個(gè)重大問題——盲目信賴開源組件。據(jù)Forrester研究表明，應(yīng)用軟件80％-90％的代碼來自開源組件。全球?qū)﹂_源代碼的旺盛需求，將導(dǎo)致Web應(yīng)用供應(yīng)鏈攻擊在2022年進(jìn)一步增長(zhǎng)，范圍擴(kuò)大，并且更加復(fù)雜，未來使用惡意軟件進(jìn)行Web應(yīng)用供應(yīng)鏈攻擊的數(shù)量將不斷攀升。利用開源組件，實(shí)施對(duì)Web應(yīng)用供應(yīng)鏈的攻擊更隱蔽，危險(xiǎn)性也更高。

王佳寧表示，這些行業(yè)痛點(diǎn)，也是其推進(jìn)靖云甲·RASP的落地，希望與產(chǎn)業(yè)鏈各方共同迎接這一行業(yè)新趨勢(shì)的原因。

在另一方面，公司也更具體地闡釋了RASP和各種安全產(chǎn)品的關(guān)聯(lián)。具體而言，當(dāng)前多數(shù)應(yīng)用都依賴于像入侵防護(hù)系統(tǒng)（IPS）和 Web 應(yīng)用防火墻（WAF）等外部防護(hù)。WAF部署在Web應(yīng)用前線，通過對(duì)HTTP/HTTPS的有目的性的策略來達(dá)到對(duì)Web應(yīng)用的保護(hù)，在HTTP流量到達(dá)應(yīng)用服務(wù)器之前對(duì)其進(jìn)行分析，但是基于流量的檢測(cè)分析手段容易被繞過。相比于傳統(tǒng)的邊界產(chǎn)品， RASP不需要依賴規(guī)則。在去年波及范圍較廣的Log4j2漏洞和最近Spring漏洞事件中，RASP展示出過人的優(yōu)勢(shì)。

“2014年，Gartner就將RASP列為應(yīng)用安全領(lǐng)域的關(guān)鍵趨勢(shì)。相比于RASP，WAF等傳統(tǒng)安全防護(hù)產(chǎn)品部署在邊界，更像讓人多穿衣服、多喝熱水。RASP是基于新一代防護(hù)理念的應(yīng)用程序自我防護(hù)技術(shù)，兩者并不會(huì)相互取代，而是能相互配合、相得益彰?！边吔鐭o限產(chǎn)品負(fù)責(zé)人沈思源表示，“然而，很多人會(huì)把RASP比如成應(yīng)用‘疫苗’，簡(jiǎn)單說，‘疫苗’更多地是針對(duì)特定病癥的專項(xiàng)應(yīng)對(duì)。從目前的網(wǎng)絡(luò)安全趨勢(shì)上來看，未知漏洞攻擊越來越普遍，我們要做的就是幫助客戶加強(qiáng)自身網(wǎng)絡(luò)的安全防護(hù)能力，從這個(gè)意義上來說，RASP更像是在實(shí)際網(wǎng)絡(luò)攻防中提取的‘免疫血清’，幫助客戶加強(qiáng)自身肌體的免疫力，讓客戶網(wǎng)絡(luò)擁有內(nèi)生安全能力?！?/p>

沈思源介紹說，邊界無限靖云甲·RASP應(yīng)用程序自我防護(hù)體系主要由微探針(Agent)、數(shù)據(jù)調(diào)度器、AI攻擊檢測(cè)引擎、管理平臺(tái)四部分構(gòu)成，來提供靈活的、穩(wěn)定的、精準(zhǔn)的核心能力支持。在實(shí)現(xiàn)上，靖云甲通過將Agent注入到應(yīng)用中間件中，對(duì)被保護(hù)應(yīng)用程序的訪問請(qǐng)求進(jìn)行持續(xù)監(jiān)控和分析，使得應(yīng)用程序在遭受攻擊時(shí)，能夠?qū)崿F(xiàn)自我防御。靖云甲產(chǎn)品體系采用模塊化的組織形式，實(shí)現(xiàn)了各核心功能的智能集成和協(xié)同聯(lián)動(dòng)。

在落地端，據(jù)介紹其方案能力和安全理念已經(jīng)受到一些用戶的認(rèn)可。截至目前，邊界無限已與政府、金融、能源、云服務(wù)廠商、電商、互聯(lián)網(wǎng)等領(lǐng)域數(shù)十家客戶達(dá)成業(yè)務(wù)合作，致力為其構(gòu)建穩(wěn)定、高效的安全防護(hù)。