摘要：應用安全防護最優解

近日，國內數字化產業第三方調研與咨詢機構數世咨詢和CIO時代聯合主辦的第四屆數字安全大會在北京隆重召開，大會中重磅發布了由數世咨詢牽頭聯合產業、學術、政府部門等智慧編制的國內首本《數字安全藍皮書》。

《數字安全藍皮書》對數字安全技術與產業的現狀，以及數字安全的理念定義、本質特征作出了梳理和闡述，旨在探討數字安全內涵、明晰數字安全的重要性并凝聚產業共識的著作，構建溝通與探討的語言，統一產業思想、集中技術資源，使數字安全發展不偏航、不出軌，穩定、持續地助力數字中國建設。北京邊界無限科技有限公司（邊界無限，BoundaryX）憑借深厚技術積淀以及在應用運行時自保護（RASP）領域的銳意創新，獲評RASP賽道領航者。

《數字安全藍皮書》明確了運行時應用自保護（RASP）的定義、核心能力、應用場景等內容。

RASP定義

RASP（Runtime Application Self-Protection，運行時應用自保護）指一種安全技術，能被構建或連接到應用程序或應用程序的運行環境中，并能夠控制應用程序的執行并實時檢測和防止攻擊。

核心能力

探針：根據不同計算機語言開發相對應的探針，如常見的 Java、Golang、Python、PHP(頁面超文本預處理器)等計算機語言。在不同語言中使用的探針是不同的，RASP依賴于向應用程序注入的探針，利用探針對不同語言虛擬機敏感方法進行插樁，在進行插樁之后就能獲取應用程序執行上下文及參數信息。

高級威脅檢測：具備對0day漏洞、內存馬等高級威脅的檢測技術和能力。針對0day漏洞，RASP對應用程序中的關鍵執行函數進行監聽，同時結合上下文信息進行判斷，因此能夠更加全面地覆蓋攻擊路徑，進而從行為模式層面，對0day漏洞進行有效感知，彌補傳統流量規則檢測方案無法實現的未知漏洞攻擊防御。針對內存馬，RASP首先可通過建立內存馬檢測模型，持續檢測內存中可能存在的惡意代碼，覆蓋大部分特征已知的內存馬。其次，RASP可以對內存馬注入可能利用到的關鍵函數進行實時監測，從行為模式層面以“主被動結合”的方式發現內存馬，以此覆蓋剩余的特征未知的內存馬。

響應阻斷與修復：在應用內部，基于應用訪問關系，梳理應用的拓撲關系與數據流，逐步形成應用的安全運行基線，降低在不同應用區域間潛在的攻擊者橫向移動風險。

應用場景

攻防實戰演練

伴隨著演習經驗的不斷豐富，攻擊隊更加專注于應用安全的研究，在演習中經常使用供應鏈攻擊等迂回手法來挖掘出特定0day漏洞，由于攻防對抗技術不對等，導致防守方經常處于被動劣勢。此時，用戶可通過部署和運營RASP，搶占對抗先機。

演練前，可梳理應用資產，收斂潛在攻擊暴露面。RASP可進行應用資產梳理，形成應用資產清單，明確應用中間件的類型、運行環境、版本信息等關鍵信息。同時，通過漏洞發現、基線安全等檢測功能，結合修復加固手段對問題逐一整改，消除應用安全隱患，使應用安全風險維持在可控范圍。

演練中，可持續檢測與分析，實現有效防御與溯源。RASP通過探針對應用程序的訪問請求進行持續監控和分析，結合應用上下文和攻擊檢測引擎，使得應用程序在遭受攻擊，特別是0day、內存馬等高級別攻擊時能夠實現有效的自我防御。另外，RASP可以從多維度捕獲攻擊者信息，聚合形成攻擊者畫像，同時溯源整個攻擊到防御的閉環過程。

演練后，結合上下文信息，全面提高應用安全等級。RASP不僅關注攻擊行為中的指令和代碼本身，還關注涉及到的上下文。因此安全人員可以通過RASP提供的調用堆棧信息等內容，推動研發人員進行代碼級漏洞修復，調整安全策略，進行整體加固，全面提高應用安全等級。同時，RASP支持攻擊事件統計分析和日志功能，幫助安全人員快速整理安全匯報材料，顯著地提升安全運營工作效率。

業務在線修復

研發團隊會引入第三方組件庫來加速軟件開發過程，且在已知代碼存在安全風險的情況下，推入生產環境，造成更多漏洞積壓，且上線后安全訴求因排期等問題無法修復。企業可部署RASP，設定符合組件漏洞特征的專屬漏洞補丁，無需業務重啟即可實現在線修復。

邊界無限明星產品靖云甲ADR應用檢測與響應系統基于RASP技術，以云原生為場景，以數據鏈路為核心，以流量安全、API安全和數據安全作為安全能力切入點，引入多項前瞻性的技術理念，通過對應用風險的持續檢測和安全風險快速響應，幫助企業應對來自業務增長、技術革新和基礎設施環境變化所產生的等諸多應用安全新挑戰，獲評RASP領航者的稱號可謂是實至名歸。

靖云甲ADR核心能力：

0day漏洞無規則防御，采用RASP技術，無需任何規則即可實現0day漏洞攔截，可天然免疫業界90%以上0day漏洞。

內存馬免重啟查殺：應用內存級別的內存馬查殺，有效提高檢測效率和準確性，無需重啟業務一鍵清除內存馬。

組件庫動態采集管理：采用動態捕獲技術，在應用運行過程中自動收集并展示第三方組件信息及調用情況，實現供應鏈資產的清點和管理。

API和敏感數據清點：采用“流量+框架”的雙層檢測機制，更細顆粒度地采集API資產，并內置敏感數據檢測模型。

靖云甲ADR典型應用場景：

攻防演練：在HW或實戰，靖云甲ADR可視為RASP2.0，以探針形式注入應用，對內存馬、0Day漏洞這兩個最令人頭疼的問題，ADR的防護作用獨樹一幟。在演練場景或是實際攻防，如被內存馬注入，靖云甲ADR還可以作為清除內存馬的應急手段。

供應鏈風險治理：不僅可以幫助用戶防護OA、財務系統、報表、應用集權和研發系統、中間件等（如泛微、致遠、用友等）容易被攻擊的系統，還可以加強開源組件庫風險治理，洞悉應用運行時的組件調用關系，將組件漏洞分類分級，為研發及第三方修補提供依據。

云上應用安全防護：適應復雜IT環境，實現統一管控策略，打破云邊界，提高安全水平，應用發布即可免疫0day漏洞，確保發布即安全。

老舊業務風險治理：不需要任何代碼改動的情況下將安全防護能力注入老舊業務中，消除由于老舊代碼無人維護，需要長期“負傷”運行的安全風險，特別是早期采購的業務系統，往往出現沒有源碼難以自行維護的情況，ADR可以采用虛擬補丁技術，保障老舊業務平穩運行。

API安全水位提升：ADR嵌入應用內部，可全量盤點API資產，發現影子API、僵尸API，提高安全防護水平。

整體應用安全能力增強：已經部署WAF、SOC、HIDS等的客戶，可與ADR聯防聯控、內外結合、縱深防御，補足短板。

在實戰演練長常態化的今天，RASP作為應用0day漏洞防御、內存馬注入防御等高危風險的領防技術，已經被客戶廣泛認可，邊界無限連續中標三大金融客戶及核心能源央企RASP建設項目便是最有力的證明。