本文的主角是安全圈新晉網(wǎng)紅——北京邊界無(wú)限科技有限公司的創(chuàng)始人兼CEO陳佩文,。日前,邊界無(wú)限剛剛宣布連續(xù)完成了天使+和PreA輪融資,,其豪華投資人陣容中既有紅華繁星網(wǎng)安天使基金,也有扎根安全產(chǎn)品的元起資本,、晨暉創(chuàng)投和璟泰創(chuàng)投,,兩輪融資總額在數(shù)千萬(wàn)級(jí)別。
除了資本的火熱關(guān)注外,,在前不久剛剛結(jié)束的由騰訊,、奇安信和360組織的三大安全創(chuàng)新大賽中,邊界無(wú)限均取得了令人矚目的成績(jī),,得到了安全業(yè)界和用戶層面的一致認(rèn)可,。邊界無(wú)限,實(shí)則風(fēng)光亦無(wú)限,。
啟 蒙
從《黑客X檔案》讀者到安全從業(yè)者
在陳佩文自己看來(lái),,他認(rèn)為自己屬于安全業(yè)界中的草根創(chuàng)業(yè)者,從業(yè)經(jīng)歷被他云淡風(fēng)輕地提及,似乎相比其他創(chuàng)業(yè)者自己的身上好像缺了一些“明星光環(huán)”,,但實(shí)則在他的娓娓敘事中,,我們還是聽(tīng)到了許多令其他年輕安全從業(yè)者們羨慕不來(lái)的標(biāo)簽。
和很多年輕人一樣,,陳佩文的技術(shù)夢(mèng)想始于那本傳奇的雜志《黑客X檔案》,。早在2006年讀初中的時(shí)候,陳佩文不經(jīng)意間買(mǎi)到一本《黑客X檔案》,,書(shū)中紀(jì)錄的那些黑客趣事,,還有那些入侵網(wǎng)吧計(jì)費(fèi)系統(tǒng)的操作指南、在游戲中一鍵開(kāi)掛的隱秘技術(shù)分享,,點(diǎn)燃了他對(duì)安全技術(shù)的向往,。
在分享年少時(shí)對(duì)這本雜志的癡迷時(shí),,陳佩文談到:“這本雜志在一些小書(shū)攤上你是買(mǎi)不到的,,得去專門(mén)找那種‘隱蔽’的地方買(mǎi),對(duì)于渴望學(xué)習(xí)黑客技術(shù)的人來(lái)說(shuō),,這本雜志帶給大家的不只是黑客技術(shù),,更多地還有黑客文化。但后來(lái)蠻令人遺憾的,,雜志??耍缓棉D(zhuǎn)去看電子版和論壇,?!?/p>
年少時(shí)期的陳佩文將大量的課余時(shí)間和精力都撲在了學(xué)習(xí)和實(shí)踐安全技術(shù)上,得益于這份對(duì)技術(shù)的熱愛(ài),,高中時(shí)期他在安全研究方面已經(jīng)小有成績(jī),,在許多計(jì)算機(jī)技術(shù)相關(guān)的比賽中都曾獲獎(jiǎng),其中成績(jī)最好的一次是在高中NOIP信息學(xué)奧賽中拿下了省級(jí)獎(jiǎng)項(xiàng),。
大學(xué)時(shí)期,,他更加忙碌于各大網(wǎng)絡(luò)安全競(jìng)賽的賽場(chǎng),同時(shí)也與讓他與國(guó)內(nèi)那一批頂尖的網(wǎng)絡(luò)安全競(jìng)賽選手結(jié)下了深厚的友誼,。
值得一提的是,,陳佩文在一次打比賽的時(shí)候幸運(yùn)的結(jié)識(shí)了帶自己進(jìn)入網(wǎng)絡(luò)安全行業(yè)的領(lǐng)路人——TK教主。后面發(fā)生的一切就更加順理成章,,即將畢業(yè),,在陳佩文向TK提到正在找一份實(shí)習(xí)工作的時(shí)候,TK告訴他:“來(lái)吧”,。
就這樣,,陳佩文順利地進(jìn)入了騰訊七大安全實(shí)驗(yàn)室之一的玄武實(shí)驗(yàn)室,正式邁入了安全行業(yè),也正式開(kāi)啟了他的“開(kāi)掛”人生,。
轉(zhuǎn) 身
從研究員到甲方安全負(fù)責(zé)人再到創(chuàng)業(yè)
陳佩文回憶,,在玄武實(shí)驗(yàn)室期間研究員們一般都會(huì)被賦予多重使命,一半對(duì)內(nèi),,一半對(duì)外,。
首先,對(duì)內(nèi)是要深入到騰訊自身的業(yè)務(wù)中去,,給包括騰訊云,、微信、微信支付,、游戲等多個(gè)業(yè)務(wù)單元,,圍繞安全、業(yè)務(wù)合規(guī)以及用戶隱私保護(hù)等一系列方向做好技術(shù)支撐,。在對(duì)內(nèi)的這部分職責(zé)下,,陳佩文收獲了許多與業(yè)務(wù)部門(mén)協(xié)作的經(jīng)驗(yàn)。
對(duì)外則是給每一位研究員留下充足的時(shí)間和空間去做安全研究工作,,在安全研究員的角色下,,陳佩文與玄武安全實(shí)驗(yàn)室的伙伴們一起在云安全架構(gòu)、云安全防護(hù)方面做出了大量研究相關(guān)的成果,,將云底層架構(gòu)到云應(yīng)用業(yè)務(wù)中可能存在的安全問(wèn)題進(jìn)行了系統(tǒng)性的梳理,。同時(shí),在當(dāng)時(shí)不斷爆發(fā)的第三方開(kāi)源庫(kù)漏洞事件的影響下,,他還主導(dǎo)了對(duì)第三方開(kāi)源庫(kù)的安全研究工作,,這也為后續(xù)陳佩文創(chuàng)辦邊界無(wú)限,專攻云原生安全和應(yīng)用安全領(lǐng)域打下了扎實(shí)的技術(shù)基礎(chǔ),。
可以說(shuō),,陳佩文在騰訊玄武實(shí)驗(yàn)室的2年中收獲頗豐。很快,,他迎來(lái)了自己在安全行業(yè)中第一次身份的轉(zhuǎn)變,。
2017年底,各行各業(yè)均加強(qiáng)了對(duì)安全的監(jiān)管力度,。很多企業(yè)開(kāi)始設(shè)立安全負(fù)責(zé)人的崗位,,增強(qiáng)風(fēng)險(xiǎn)管控能力。不久后,,一位好友找到了陳佩文,,盛情難卻之下,他便答應(yīng)了下來(lái),。他也完成了從安全研究員到甲方安全負(fù)責(zé)人的角色轉(zhuǎn)變,。
在談到這部分工作經(jīng)歷的時(shí)候,陳佩文分享了自己最引以為傲的一個(gè)故事。
安全從來(lái)都是不容小覷的頭等大事,。在這家甲方企業(yè)擔(dān)任安全負(fù)責(zé)人期間,,他除了要負(fù)責(zé)整體集團(tuán)的安全體系化建設(shè)外,同時(shí)還要做好業(yè)務(wù)反欺詐方面的安全工作,。
他談到,,剛剛?cè)プ霭踩?fù)責(zé)人時(shí),這家公司的風(fēng)控模型效果一般,,反欺詐能力有待提高,,對(duì)整個(gè)公司的業(yè)績(jī)都有很大影響。面對(duì)這一歷史問(wèn)題,,陳佩文對(duì)公司整體業(yè)務(wù)流程進(jìn)行了詳細(xì)的梳理后,,選擇另辟蹊徑,逆向代入安全思維試圖從弱口令的角度著手解決這一問(wèn)題,。
用通俗的話說(shuō),,陳佩文先是利用哈希算法將歷史數(shù)據(jù)庫(kù)中所有的弱口令用戶都扒了出來(lái),標(biāo)注為“安全意識(shí)一般,、較差的用戶”,,同時(shí)再將那些“安全意識(shí)較強(qiáng)的用戶”篩選出來(lái),,此時(shí)通過(guò)與實(shí)時(shí)注冊(cè)用戶數(shù)據(jù)進(jìn)行比對(duì),,那些在短時(shí)間內(nèi)連續(xù)出現(xiàn)2-3次的密碼組合,就會(huì)被識(shí)別為高風(fēng)險(xiǎn)用戶,,甚至?xí)@套風(fēng)控模型直接標(biāo)注為“黑產(chǎn)團(tuán)伙”,。
從邏輯上分析,黑產(chǎn)團(tuán)伙內(nèi)部往往也會(huì)采用一套標(biāo)準(zhǔn)的操作流程,,黑產(chǎn)團(tuán)伙或許能夠采用一些如隨機(jī)位置信息,、隨機(jī)新用戶身份信息等手段來(lái)繞過(guò)風(fēng)控機(jī)制的檢測(cè),但為了方便管理,,密碼是黑產(chǎn)團(tuán)隊(duì)常忽略的隨機(jī)點(diǎn),。黑產(chǎn)團(tuán)伙可能會(huì)設(shè)置一系列復(fù)雜的密碼來(lái)重復(fù)的使用,通過(guò)對(duì)強(qiáng)密碼的關(guān)聯(lián)分析,,就能夠追蹤到其背后黑產(chǎn)團(tuán)伙的關(guān)聯(lián)關(guān)系,。
順著這樣的一條思路,陳佩文很快做出了一個(gè)全新的風(fēng)控模型,,將惡意欺詐直線降低了50%左右,,最大程度地掐滅了潛在的欺詐風(fēng)險(xiǎn),讓業(yè)務(wù)部門(mén)拍手稱贊,。
隨后的兩年中,,陳佩文結(jié)合在玄武實(shí)驗(yàn)室的工作經(jīng)驗(yàn),為新東家全面搭建了自身的安全防護(hù)體系。到2019年底,,在公司的安全建設(shè)逐漸走上正軌后,,陳佩文有些按捺不住了。作為一個(gè)閩南人,,“單干”的決心似乎一直都存在,,但某一瞬間,正式被點(diǎn)燃而一發(fā)不可收拾,。
創(chuàng) 業(yè)
迎接新一階段的使命與挑戰(zhàn)
“跟一些業(yè)內(nèi)的朋友聊的時(shí)候,,突然發(fā)現(xiàn)自己好像進(jìn)入了一個(gè)按部就班的舒適圈,從我個(gè)人性格上來(lái)看,,還是喜歡去做挑戰(zhàn)性強(qiáng)的事情,。所以創(chuàng)業(yè)是自然而然。愛(ài)打拼也是福建人骨子里的一種文化,?!?/p>
陳佩文坦誠(chéng)地告訴我們,在剛從上一家公司轉(zhuǎn)身離開(kāi)時(shí),,唯一確認(rèn)的事情是要?jiǎng)?chuàng)業(yè)了,,但在具體創(chuàng)業(yè)做什么的問(wèn)題上,網(wǎng)絡(luò)安全行業(yè)并非排在第一位,。但經(jīng)過(guò)一段時(shí)間的思考后,,最終還是決定創(chuàng)辦一家安全公司,投身自己最擅長(zhǎng)的領(lǐng)域,。他強(qiáng)調(diào),,做安全是他的初心和熱愛(ài),一如少年時(shí),。
他談到,,從2019年開(kāi)始,所有安全從業(yè)者都開(kāi)始看到安全行業(yè)正在迎來(lái)一些新變化,。在網(wǎng)絡(luò)攻擊不斷升級(jí),、網(wǎng)絡(luò)安全提升為國(guó)家戰(zhàn)略的背景下,中國(guó)政企用戶的安全意識(shí)不斷提升,,對(duì)安全類產(chǎn)品的需求日漸上升,,網(wǎng)絡(luò)安全支出也在顯著增加。頻發(fā)的安全事件更是提高了對(duì)網(wǎng)絡(luò)安全防護(hù)的要求,,加速了行業(yè)新場(chǎng)景,、新技術(shù)、新模式下的安全需求,。
在這樣的大環(huán)境下,,安全行業(yè)開(kāi)始從合規(guī)市場(chǎng)向?qū)崙?zhàn)攻防和結(jié)果導(dǎo)向轉(zhuǎn)變,。“過(guò)去的安全行業(yè)我們認(rèn)為是一個(gè)銷(xiāo)售型和關(guān)系型的合規(guī)市場(chǎng),,但在結(jié)果導(dǎo)向的市場(chǎng)下,,技術(shù)人員迎來(lái)了自己的機(jī)會(huì),大家能夠憑借自身的技術(shù)和能力走到用戶面前,,讓用戶看到自己的獨(dú)特價(jià)值,,最終用戶也愿意為此買(mǎi)單?!?/p>
在拜訪用戶的時(shí)候,,陳佩文也得到了十分積極的反饋。一些互聯(lián)網(wǎng)頭部的企業(yè)同樣都感受到了風(fēng)向的變化,。甚至還有用戶明確表示:“攻防演練行動(dòng)已經(jīng)改變了甲方的決策邏輯,,過(guò)去大家更多是過(guò)清單式采購(gòu),先對(duì)照合規(guī)要求過(guò)一遍,,缺什么買(mǎi)什么,。但現(xiàn)在大家才會(huì)真正考慮效果的維度,防不住怎么辦,?哪些東西才是真正有用的,?”
用戶的反饋也再次印證了陳佩文心中對(duì)行業(yè)的預(yù)測(cè)和判斷,邊界無(wú)限這家公司也正式成立了,。
破 局
面向用戶剛需重新尋找創(chuàng)業(yè)方向
用陳佩文自己的話說(shuō),,三年前的邊界無(wú)限如同剛啟航的一葉小舟,向著許多未知的激流和險(xiǎn)灘在前進(jìn)的道路上航行,。
誠(chéng)然,,在一家創(chuàng)業(yè)公司成長(zhǎng)的道路上,,困境永遠(yuǎn)不會(huì)缺席,。陳佩文回憶道,2019年底的時(shí)候拉來(lái)了幾位曾經(jīng)的同事和朋友,,本著一腔熱血說(shuō)干就干的心態(tài)成立了邊界無(wú)限,。但未曾想,公司剛一成立就迎頭趕上了2020年的疫情,,在接近4個(gè)月的時(shí)間里公司沒(méi)有接到任何業(yè)務(wù),,自己花錢(qián)埋頭搞研究成為了大家唯一的樂(lè)趣。
不過(guò),,對(duì)陳佩文來(lái)說(shuō),,疫情的阻礙只是一個(gè)小小的插曲。真正令他感到痛苦的還有另外一個(gè)難題,,隨著時(shí)間的推移,,他發(fā)現(xiàn)公司的整體方向似乎過(guò)于理想了,。
他談到:“最早我們?cè)跇?gòu)思整體方向的時(shí)候,是想要圍繞云安全平臺(tái)來(lái)做一系列安全產(chǎn)品,,為用戶提供云端的安全能力,,也在圍繞這個(gè)方向去研發(fā)產(chǎn)品。但后面在對(duì)一些目標(biāo)用戶的走訪中才發(fā)現(xiàn),,這一個(gè)思路并不是那么正確,,很多用戶也認(rèn)為未來(lái)云安全應(yīng)該是由云廠商來(lái)提供的能力,一家初創(chuàng)企業(yè)很難在云安全中找到機(jī)會(huì),?!?/p>
陳佩文被用戶說(shuō)服了,那邊界無(wú)限的未來(lái)方向在哪里呢,?沉默了一段時(shí)間后,,他決定帶著團(tuán)隊(duì)一起扎到攻防演練活動(dòng)中,通過(guò)一場(chǎng)場(chǎng)硬仗來(lái)讓用戶看到邊界無(wú)限的技術(shù)能力,,同時(shí)去到用戶一線看一看,,從解決一個(gè)剛需和痛點(diǎn)問(wèn)題角度去尋找公司未來(lái)的方向。
三個(gè)月后,,RASP技術(shù),、云原生安全和應(yīng)用安全幾個(gè)標(biāo)簽與邊界無(wú)限牢牢綁定在了一起。
在用戶的攻防實(shí)例中陳佩文看到,,大量的漏洞未修復(fù)甚至無(wú)法修復(fù),、內(nèi)存馬攻擊無(wú)法檢測(cè)防御、第三方軟件供應(yīng)鏈調(diào)用關(guān)系復(fù)雜仍然是最普遍的問(wèn)題,。這些安全問(wèn)題都發(fā)生于應(yīng)用內(nèi)部,,但廣大政企用戶仍然在采用傳統(tǒng)邊界防御的手段,應(yīng)用內(nèi)生安全的基因并未被激發(fā),,因此邊界無(wú)限很堅(jiān)定地選擇了應(yīng)用安全與云原生安全的賽道,。
他談到,“我們的核心洞察是,,應(yīng)用是云原生的未來(lái),,那么應(yīng)用安全的重要性自然不言而喻。當(dāng)前IT基礎(chǔ)架構(gòu)在持續(xù)迭代,,唯有應(yīng)用從始至終貫穿整個(gè)架構(gòu)變革,,對(duì)應(yīng)用的防護(hù)不但不會(huì)停滯,還會(huì)迅猛增長(zhǎng),,因此應(yīng)用或?qū)⒊蔀槲磥?lái)用戶唯一需要自行保護(hù)的內(nèi)容,。這也意味著,應(yīng)用安全將成為云原生時(shí)代的重要需求,。作為運(yùn)行時(shí)安全技術(shù)的典型代表,,RASP技術(shù)有著天然的優(yōu)勢(shì),,是云原生時(shí)代加強(qiáng)應(yīng)用安全防護(hù)的創(chuàng)新解決方案,甚至可能帶來(lái)顛覆性的影響,。所以我們雖然也會(huì)覺(jué)得RASP實(shí)現(xiàn)的難度很高,,但最后我們還是堅(jiān)持認(rèn)為,RASP是真正能夠解決問(wèn)題的路徑,?!?/p>
革 新
以RASP技術(shù)為應(yīng)用注入“免疫血清”
當(dāng)前,多數(shù)應(yīng)用都依賴于像入侵防護(hù)系統(tǒng)(IPS)和 Web 應(yīng)用防火墻(WAF)等外部防護(hù),。WAF部署在Web應(yīng)用前線,,通過(guò)對(duì)HTTP/HTTPS的有目的性的策略來(lái)達(dá)到對(duì)Web應(yīng)用的保護(hù),在HTTP流量到達(dá)應(yīng)用服務(wù)器之前對(duì)其進(jìn)行分析,,但是基于流量的檢測(cè)分析手段容易被繞過(guò),。相比于傳統(tǒng)基于邊界的防護(hù)產(chǎn)品,RASP不需要依賴規(guī)則,。
陳佩文介紹,,RASP 以安全插件的形式,將保護(hù)引擎注入到應(yīng)用服務(wù)中,,就像“免疫血清”一樣,,隨應(yīng)用程序在本地、云,、虛擬環(huán)境或容器中進(jìn)行部署,,全面掌握應(yīng)用內(nèi)部上下文之間的聯(lián)系,這樣可以構(gòu)建應(yīng)用安全程序的深度防御體系,,尤其是在面臨未知漏洞的前提下,,也將是較優(yōu)的選擇,彌補(bǔ)了當(dāng)前市場(chǎng)在產(chǎn)品應(yīng)用層的空白,。
針對(duì)性防護(hù)應(yīng)用行為上的攻擊,,RASP可以做到以下幾點(diǎn):
一是應(yīng)用資產(chǎn)梳理。幫助用戶從安全角度構(gòu)建細(xì)粒度的應(yīng)用資產(chǎn)信息,,讓被保護(hù)的應(yīng)用資產(chǎn)清晰可見(jiàn),。提供數(shù)十種應(yīng)用中間件的自動(dòng)識(shí)別,并主動(dòng)發(fā)現(xiàn),、上報(bào)應(yīng)用的第三方庫(kù)信息,實(shí)現(xiàn)對(duì)應(yīng)用安全性的內(nèi)透,。
二是應(yīng)用內(nèi)存馬防御,。通過(guò)建立內(nèi)存馬檢測(cè)模型,以Java語(yǔ)言為例,,利用安全插件周期性地對(duì) JVM 內(nèi)存中的 API 進(jìn)行風(fēng)險(xiǎn)篩查,,并及時(shí)上報(bào)存在風(fēng)險(xiǎn)的信息,,幫助用戶解決掉埋藏內(nèi)存中的“定時(shí)炸彈”。
三是應(yīng)用漏洞管理,。幫助用戶精準(zhǔn)發(fā)現(xiàn)應(yīng)用漏洞風(fēng)險(xiǎn),,幫助安全團(tuán)隊(duì)快速、有效地定位和解決安全風(fēng)險(xiǎn),。主動(dòng)采集第三方依賴庫(kù)庫(kù)信息,,并與云端漏洞庫(kù)進(jìn)行比對(duì)、分析,,識(shí)別出應(yīng)用存在的安全隱患,,從而縮減應(yīng)用攻擊面,提升應(yīng)用安全等級(jí),。
四是應(yīng)用入侵防御,。幫助用戶防御無(wú)處不在的應(yīng)用漏洞與網(wǎng)絡(luò)威脅。結(jié)合應(yīng)用漏洞攻擊免疫算法,、安全切面算法及縱深流量學(xué)習(xí)算法等關(guān)鍵技術(shù),,將安全防御能力嵌入到應(yīng)用自身當(dāng)中,為應(yīng)用程序提供全生命周期的動(dòng)態(tài)安全保護(hù),,顯著地提升企業(yè)的安全運(yùn)營(yíng)工作效率,。
時(shí) 機(jī)
Log4j漏洞爆發(fā)推動(dòng)RASP持續(xù)升溫
2021年12月,Apache Log4j 開(kāi)源組件在業(yè)內(nèi)被曝出嚴(yán)重漏洞,,被認(rèn)為是“2021年最重要的安全威脅之一”,;2022年4月,Spring 開(kāi)源應(yīng)用開(kāi)發(fā)框架也被爆出了一個(gè)嚴(yán)重高危漏洞,,其波及范圍之廣再次引發(fā)各界對(duì)開(kāi)源組件0Day漏洞的擔(dān)憂,。多個(gè)0Day漏洞的相繼爆發(fā)讓RASP技術(shù)迅速成為了網(wǎng)絡(luò)安全行業(yè)的熱議技話題,RASP技術(shù)的市場(chǎng)關(guān)注度也得以持續(xù)升溫,。
談及對(duì)Log4j漏洞事件對(duì)RASP市場(chǎng)的影響,,陳佩文表示,“在剛決定做RASP的時(shí)候我們就認(rèn)為,,未來(lái)一定會(huì)出現(xiàn)一些通過(guò)WAF無(wú)法解決,,但RASP能夠有效解決的0Day漏洞。Log4j漏洞事件的爆發(fā)比我們的預(yù)期來(lái)的要更早了一些,,但恰好我們的靖云甲產(chǎn)品已經(jīng)在一部分用戶的系統(tǒng)中上線并證明了它的實(shí)際價(jià)值,,這也讓業(yè)界將目光轉(zhuǎn)移到了邊界無(wú)限的身上?!?/p>
但他同時(shí)也強(qiáng)調(diào),,邊界無(wú)限最終的使命并不滿足于使用RASP技術(shù)幫助用戶實(shí)現(xiàn)防御0Day漏洞攻擊這件事情上。RASP技術(shù)只是一個(gè)起點(diǎn),,最終邊界無(wú)限的目標(biāo)是構(gòu)建云原生時(shí)代的安全基礎(chǔ)設(shè)施體系,,解決云上應(yīng)用運(yùn)行時(shí)安全的整體問(wèn)題,,讓用戶無(wú)論是面對(duì)0Day漏洞攻擊、內(nèi)存馬注入攻擊類的已知和未知安全威脅,,還是API安全,,數(shù)據(jù)安全問(wèn)題都能夠高枕無(wú)憂。
針對(duì)未來(lái)RASP發(fā)展趨勢(shì),,陳佩文也談到了自己的看法,。他表示,從甲方的視角去看待安全建設(shè)過(guò)程的時(shí)候能夠發(fā)現(xiàn),,從物理安全,、機(jī)房安全、硬件安全到主機(jī)安全,,安全建設(shè)較早的用戶基本上已經(jīng)做完了,,但應(yīng)用安全仍然是擺在甲方用戶面前的一個(gè)“黑盒”。現(xiàn)實(shí)告訴我們,,這個(gè)黑盒子必須在下一次0Day漏洞大規(guī)模爆發(fā)前被打破,,否則勢(shì)必會(huì)引起整個(gè)IT行業(yè)的又一次震蕩。
所有安全技術(shù)的興起其實(shí)背后都是有一些安全事件在推動(dòng),,值得慶幸的是,,Log4j已經(jīng)為大家拉響了警報(bào),讓用戶們看到了RASP的價(jià)值所在,。
“在Log4j漏洞爆發(fā)后,,頭部的一些公司和行業(yè)已經(jīng)表現(xiàn)出了他們敏銳的嗅覺(jué)和前瞻性,提前規(guī)劃和布局RASP技術(shù),。我們能看到包括四大行都在開(kāi)始落地RASP技術(shù),,頭部的互聯(lián)網(wǎng)企業(yè)像阿里、華為也都在自研RASP,,這已經(jīng)足以說(shuō)明這項(xiàng)技術(shù)的實(shí)用性,。如果下一次0Day漏洞爆發(fā)時(shí),大家會(huì)突然發(fā)現(xiàn),,走在前面的人已經(jīng)通過(guò)RASP的技術(shù)手段攔下攻擊,,腰部的公司就會(huì)快速跟進(jìn)。所以我們相信,,RASP市場(chǎng)的繁榮只是一個(gè)時(shí)間問(wèn)題,,應(yīng)用安全是所有企業(yè)無(wú)法繞過(guò)的一個(gè)難點(diǎn)?!?/p>
前 瞻
RASP逐漸成熟 ADR需求正在被激發(fā)
誠(chéng)如上文,,Log4j2等0Day漏洞的爆發(fā)讓RASP技術(shù)成為網(wǎng)絡(luò)安全行業(yè)的新晉網(wǎng)紅,而隨著網(wǎng)絡(luò)攻防實(shí)戰(zhàn)化,、常態(tài)化的深入,,RASP技術(shù)的市場(chǎng)關(guān)注度持續(xù)升溫,同時(shí)基于RASP技術(shù)的ADR應(yīng)運(yùn)而生并迅速被市場(chǎng)側(cè)關(guān)注甚至認(rèn)可,。
基于多年的攻防實(shí)戰(zhàn)經(jīng)驗(yàn)與對(duì)技術(shù)創(chuàng)新的執(zhí)著,,邊界無(wú)限率先實(shí)現(xiàn)了基于RASP技術(shù)的靖云甲ADR(Application Detection & Response)產(chǎn)品的落地,并在功能和性能上領(lǐng)先于其他競(jìng)爭(zhēng)對(duì)手,,可以說(shuō)是在這場(chǎng)競(jìng)賽中搶到了桿位,。“桿位這個(gè)詞是F1賽車(chē)領(lǐng)域的術(shù)語(yǔ),,是指在方程式賽車(chē)比賽前,,排位賽成績(jī)最好者(單圈最快)獲得排在全部賽車(chē)最前面的位置,這就是桿位,?!标惻逦谋硎荆安皇亲钕劝l(fā)力的注定成為最終的勝利者,,一款產(chǎn)品的成功,,技術(shù)實(shí)力和時(shí)機(jī)都很重要。在RASP技術(shù)提出到成熟的周期中,,邊界無(wú)限雖是后發(fā)但卻先至,,在RASP技術(shù)成熟度上獨(dú)樹(shù)一幟。一系列0Day漏洞的爆發(fā),,網(wǎng)絡(luò)攻防實(shí)戰(zhàn)化,、常態(tài)化的趨勢(shì),邊界無(wú)限在攻防領(lǐng)域的深厚積淀以及廣大政企客戶的逐步認(rèn)可,,讓邊界無(wú)限推出靖云甲ADR擁有了天時(shí),、地利、人和的優(yōu)勢(shì),?!?/p>
除了對(duì)RASP技術(shù)的需求,安全業(yè)界也樂(lè)見(jiàn)對(duì)應(yīng)用安全的防護(hù)加強(qiáng)檢測(cè)與響應(yīng)能力,,ADR這一新的安全賽道也水到渠成,。將安全插件加載到應(yīng)用中,可以抓取到更精細(xì)的應(yīng)用數(shù)據(jù),,不單單包括完整的通信數(shù)據(jù),,還包括應(yīng)用程序具體內(nèi)部執(zhí)行的行為。既然擁有這一特性,,陳佩文表示,,隨著云場(chǎng)景的細(xì)化要求,和客戶方對(duì)此類技術(shù)接受度的提高,植入應(yīng)用的安全插件也應(yīng)該幫助甲方解決更多問(wèn)題,,這給靖云甲ADR帶來(lái)了廣闊的施展空間,。
對(duì)比國(guó)際廠商,邊界無(wú)限靖云甲ADR擁有精準(zhǔn)細(xì)化的資產(chǎn)清點(diǎn),、緊跟形式的安全研究,、海量可靠的漏洞運(yùn)營(yíng)、輕量無(wú)感的性能損耗等優(yōu)點(diǎn),,尤其是在應(yīng)用資產(chǎn)管理,、供應(yīng)鏈安全、API資產(chǎn)學(xué)習(xí)層面,,其表現(xiàn)優(yōu)異,。靖云甲ADR跨IT架構(gòu)統(tǒng)計(jì)應(yīng)用資產(chǎn),實(shí)現(xiàn)安全能力同步管控,,為應(yīng)用提供安全風(fēng)險(xiǎn)評(píng)估,;動(dòng)態(tài)采集應(yīng)用運(yùn)行過(guò)程中的組件加載情況,快速感知資產(chǎn)動(dòng)態(tài),,全面有效獲知供應(yīng)鏈資產(chǎn)信息,;自主學(xué)習(xí)流量+應(yīng)用框架,具體來(lái)說(shuō),,靖云甲ADR會(huì)通過(guò)插樁對(duì)應(yīng)用內(nèi)部框架定義的API方法以及應(yīng)用流量進(jìn)行API全量采集,,同時(shí)利用AI 檢測(cè)引擎請(qǐng)求流量進(jìn)行持續(xù)分析,自動(dòng)分析暴露陳舊,、敏感數(shù)據(jù)等關(guān)鍵問(wèn)題,。
以廣大政企客戶十分關(guān)注的API資產(chǎn)管理為例,邊界無(wú)限靖云甲ADR的優(yōu)勢(shì)凸顯,。
API作為業(yè)務(wù)資產(chǎn)具體的承載,,通常將成為安全團(tuán)隊(duì)重點(diǎn)關(guān)注的關(guān)鍵資產(chǎn)。靖云甲ADR通過(guò)插樁對(duì)應(yīng)用流量進(jìn)行全量采集,,利用AI 檢測(cè)引擎對(duì)請(qǐng)求流量進(jìn)行持續(xù)分析,,從而實(shí)現(xiàn)對(duì)API資產(chǎn)的自動(dòng)發(fā)現(xiàn),實(shí)現(xiàn)API資產(chǎn)的可觀測(cè)性,。同時(shí),,靖云甲ADR AI檢測(cè)引擎會(huì)對(duì)API的參數(shù)及請(qǐng)求頭等關(guān)鍵內(nèi)容進(jìn)行風(fēng)險(xiǎn)評(píng)估,為API安全優(yōu)化提供輔助性的策略,。此外,,靖云甲ADR通過(guò)建立自主學(xué)習(xí)模型,實(shí)現(xiàn)API的自動(dòng)發(fā)現(xiàn),,漏洞挖掘,;自動(dòng)生成API訪問(wèn)策略,,通過(guò)調(diào)用追蹤的方式建立可視化的API風(fēng)險(xiǎn)見(jiàn)解,為API提供實(shí)時(shí)防御,。
內(nèi)存馬是無(wú)文件攻擊的一種技術(shù)手段,,攻擊者通過(guò)應(yīng)用漏洞結(jié)合語(yǔ)言特性在Web系統(tǒng)注冊(cè)包含后門(mén)功能的API,并且此類API在植入之后并不會(huì)在磁盤(pán)上寫(xiě)入文件,,代碼數(shù)據(jù)只寄存在內(nèi)存中,,給傳統(tǒng)的安全設(shè)備檢測(cè)帶來(lái)巨大難度,。這令廣大政企用戶在網(wǎng)絡(luò)攻防演練及實(shí)際網(wǎng)絡(luò)攻擊中倍感頭疼,。攻擊者利用無(wú)文件的特性可以很好的隱藏后門(mén),利用包含后門(mén)代碼的Web API來(lái)長(zhǎng)期控制業(yè)務(wù)系統(tǒng)以及作為進(jìn)入企業(yè)內(nèi)部的網(wǎng)絡(luò)跳板,。
邊界無(wú)限靖云甲ADR采用“主被動(dòng)結(jié)合”雙重防御機(jī)制,,對(duì)外基于RASP能力對(duì)內(nèi)存馬的注入行為進(jìn)行有效防御,對(duì)內(nèi)通過(guò)建立內(nèi)存馬檢測(cè)模型,,通過(guò)持續(xù)分析內(nèi)存中存在的惡意代碼,,幫助用戶解決掉埋藏內(nèi)存中的“定時(shí)炸彈”。針對(duì)內(nèi)存中潛藏的內(nèi)存馬,,靖云甲ADR提供了一鍵清除功能,,可以直接將內(nèi)存馬清除,實(shí)現(xiàn)對(duì)內(nèi)存馬威脅的快速處理,。靖云甲ADR還可以通過(guò)主動(dòng)攔截+被動(dòng)掃描,,有效阻斷內(nèi)存馬的注入;對(duì)已經(jīng)被注入的內(nèi)存馬提供源碼和特征檢測(cè)信息,,無(wú)需重啟應(yīng)用即可一鍵清除,。這些都在業(yè)界處于領(lǐng)先水平。
軟件供應(yīng)鏈管理是廣大政企客戶關(guān)心又一重要課題,,尤其是之前DevSecOps的火爆,,業(yè)界投來(lái)了更多關(guān)注的目光。然而,,在DevOps領(lǐng)域,,一旦進(jìn)入運(yùn)行時(shí)安全防護(hù),傳統(tǒng)技術(shù)幾乎無(wú)能為力,,這就迫切需要基于RASP的ADR方案,。靖云甲ADR基于動(dòng)態(tài)捕獲技術(shù),自動(dòng)收集并展示應(yīng)用運(yùn)行過(guò)程中所加載的組件庫(kù),,并提供組件庫(kù)路徑等細(xì)粒度信息,。在供應(yīng)鏈出現(xiàn)嚴(yán)重的漏洞時(shí),靖云甲ADR可在龐大的資產(chǎn)中快速定位到組件使用情況,,從而加強(qiáng)對(duì)供應(yīng)鏈管理能力,,并賦予軟件供應(yīng)鏈以運(yùn)行時(shí)安全能力。
“隨著應(yīng)用安全與云原生安全市場(chǎng)需求的釋放,以及人才梯隊(duì)的建立,,邊界無(wú)限將以RASP為起點(diǎn),,以ADR為里程碑,堅(jiān)定地向CNAPP邁進(jìn),?!标惻逦谋硎尽?/p>
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<