访谈嘉宾：王佳宁 边界无限联合创始人、CTO

分析师：徐晓丽

记者：石益凡

云计算技术的广泛应用打破了企业传统的边界防御体系，保障应用系统可靠运行正在成为云时代组织网络安全建设的重要诉求。尽管新一代的网络安全防御体系提倡“安全左移和关口前置”的防护理念，但智能化、平台化的攻击新模式仍然会让应用系统安全防不胜防，特别是对云上应用系统而言，正在面临着风险暴露面持续扩大的严峻挑战。

云时代的软件应用安全具有哪些新的挑战与需求？企业将如何有效应对云应用带来的业务安全风险？带着以上问题，安全牛日前邀请到应用安全创新厂商边界无限联合创始人、CTO王佳宁，围绕新一代应用安全技术ADR（应用安全威胁检测与响应）的应用价值与未来发展进行了研讨。

王佳宁认为：无论企业的IT基础架构如何迭代演进，业务系统应用都会始终贯穿于整个数字化的变革进程之中。因此，企业组织对应用系统的安全防护需求注定会迅猛增长，而ADR作为一种创新的应用安全防护技术，能够激发应用软件系统的内生安全基因，提供更多维度的运行时安全检测和数据保护能力，必将开启云计算时代用户对软件应用安全的无限想象。

王佳宁边界无限联合创始人、CTO

多年安全攻防经验，长期从事应用软件安全漏洞挖掘与研究工作，多次在被誉为黑客技术领域“奥斯卡”的Defcon、HITB等顶级会议上发表演讲，其研究成果多次获得微软、谷歌等知名互联网公司和行业相关主管部门致谢。曾任长亭科技创始团队成员，腾讯安全玄武实验室安全研究员，在玄武实验室工作期间参与腾讯云私有云安全能力建设。

01

安全牛

随着数字化转型的深入发展和云计算技术的广泛应用，企业组织的软件应用安全态势出现了哪些新的变化和挑战？

王佳宁

我们看到，现在越来越多的应用软件都在往云上迁移，并逐渐云原生化，这已经成为数字化时代不可阻挡的应用发展趋势。因此，我认为云原生应用安全将成为未来一个重要的发展趋势。它与传统环境应用程序所面临的风险严重程度有明显不同：

首先，云应用都是部署在容器集群中，应用程序被统一收敛到云计算平台内部；

其次，随着云基础设施安全的完善，基于基础设施的安全风险会变得更小，但由于应用程序暴露面的扩大，黑客在攻击的时候会更多聚焦到云原生应用安全，比如它是否存在反序列化漏洞、代码RCE漏洞或者权限漏洞等等。

我们可以认为，云原生应用安全将是实现云原生安全的重要组成部分，其安全能力应包含以下几个方面：

• 云原生应用安全应具备强大的威胁检测和响应能力，覆盖当前主流应用安全风险和漏洞；
• 随着高级威胁（如，隐蔽漏洞或者内存马攻击）攻击越来越多，传统机遇规则比对的WAF技术在应对这类攻击时的能力明显不足，因此，云原生安全应包含应对高级威胁的主动式检测和响应能力；
• 云计算有很强可伸缩性，特别是在负载很高的时候，会自动扩展出很多资源。因此，云原生安全应具备较好的弹性和应用灵活性。

02

安全牛

ADR是一种什么样的安全技术？对企业应对软件应用安全中的挑战会有哪些帮助？

王佳宁

ADR是一种创新的应用程序运行时风险检测和防御解决方案，它的能力实现主要是基于应用程序运行时防护（RASP）技术，同时结合攻防专家的经验算法和业务数据行为模型。通过比对运行时的程序行为（如文件读写、网络请求、程序执行等）与预定义的程序行为模型，可以更准确地识别软件运行异常和威胁行为，同时还可以根据分析结果进行风险的响应和处置。当ADR技术实际应用并在企业的生产环境部署上线之后， 可以像“免疫血清”一样伴随软件系统的整个应用生命周期，在攻击行为发生时进行防护，直到应用程序使命周期结束。

在实际应用时，ADR技术方案通常包括分析平台和安全插件（Agent）两部分，前者提供安全分析人员进行分析和决策；安全插件会植入应用程序中，负责将应用程序中的数据采集上来，同时执行平台的处置决策。

03

安全牛

您认为ADR技术与传统应用安全防护产品的主要区别是什么？

王佳宁

ADR技术与传统应用安全防护产品相比，其核心能力主要包括以下三点：

第一、具有对各种应用资产的发现能力，能够帮助用户发现所有应用的资产信息，并把应用的组成剖析清楚，其中的重点包括：

• 对API资产的发现，识别程序中的僵尸API和影子API。ADR通过嵌入应用的安全探针可以检测出应用程序里定义好的所有API，给到云端和安全运营人员，结合专家算法，可以看到这类API是否会经常被访问到。如果从未被访问过，就会被怀疑是不是僵尸API或者影子API，辅助管理员去做风险决策。
• 对组件库资产的发现，可用于对组件漏洞快速响应。当一个新的漏洞情报信息对接到ADR系统后，通过组件库的发现和响应能力，可以自动化的把受影响的应用全部排查出来，让运维或者研发去把这个漏洞修复掉。

第二、实时的攻防对抗能力。ADR技术可以有效应对0day、内存马类的未知威胁攻击，并通过联动应用端点数据、应用访问数据，高效准确防御0day漏洞利用；

第三、数据安全方面。ADR可以帮助判断敏感性数据。比如，当API接口传输未加密处理的手机号、身份证号等个人隐私信息时，要能够对这类不合规的行为进行监测、告警和阻断。

04

安全牛

RASP是实现ADR防护能力的重要支撑技术，其目前的应用成熟度如何？是否会对用户的业务系统运行造成影响？

王佳宁

目前对RASP技术应用成熟度的考量，主要聚焦于以下几个方面：

1. 稳定性。保证应用不出现非预期的结果。经过大量的内部测试和客户批量部署的验证，稳定性已经得到非常充分的验证，特别是在攻防演练中，企业不再需要关停业务就能对未知威胁进行响应处置；
2. 业务资源的占用问题。由于RASP跟业务绑在一起，可能抢占业务资源。目前可以通过一些降级措施和细粒度监控措施保障RASP在资源使用时避免这样的情况发生；
3. 实时性问题。RASP程序加载后务必要消耗一定的时间，这会对工业企业、制造行业等高实时性要求的用户产生一些影响。通过工具的调整，将响应处置要求不高的威胁分析转移到云端，减少分析能力对本地资源的占用，同时做好实时性和检测效率的平衡，目前也得到了很好的实现；
4. RASP插桩的有效性。插桩有效性主要取决于攻防人员对漏洞利用的认知能力，如漏洞被利用之后必然会落到哪些点上，只要这些点插桩了，就能在控制有限插桩数量的情况下使插桩效果最大化。

从整体上看，RASP技术目前已经被很多用户认可并接受。从2014年Gartner提出RASP概念之后，经过近10年的发展，该技术已经进入成熟期，很多甲方客户开始研究甚至尝试应用RASP及ADR，尤其是一些关基行业客户，比如金融、能源电力、电信运营商等具有高端示范性的行业。

05

安全牛

在实际应用中，企业组织应该如何部署应用ADR技术来实现更好的应用软件安全防护？

王佳宁

首先，企业不应期望于某个安全产品能够实现所有的安全需求；其次，在选择一项新的安全产品时，要找准新产品的能力价值，尽量与原有的安全能力互补形成合力，同时避免能力冗余。

ADR作为运行时防护，与传统应用防护、主机防护类产品的定位有明显的差异，在安全防御系统中，可以与传统边界防护系统组合形成更加体系化的纵深防护能力。

• 对于已有WAF产品的用户，采用ADR不但不与WAF重叠，还可以为WEB应用访问增强最后一道安全防线；同样，与云原生或云计算主机集成，也可以对传统主机防护能力进行增强；
• ADR与传统防护产品的处置方式和部署方式不同，无法与传统产品统一部署，但在态势分析和管理方面可以与其它风险采集系统统筹考虑，实现综合分析和联动处置；
• 此外，为了更顺利的应用ADR，建议应用前一般要在测试环境下验证，确保没有影响后再切换到生产环境；对于没有验证环境的，在安装过程中要做好回退机制，在安装失败时能保证恢复到插桩前的状态。

06

安全牛

您认为ADR技术未来的主要应用场景是什么？

王佳宁

ADR采用了运行时检测和防护的机制，理论上可以覆盖多种计算环境，但根据企业防护重点，目前应用以云计算或企业级应用服务器防护为主。

以边界无限推出的靖云甲ADR方案为例，其应用场景主要为供应链安全、实战攻防演练、业务上云安全和API治理。方案可以帮助企业用户更好修复开源组件安全问题，通过资产盘点、漏洞发现、POC验证等解决方案，健全开源技术问题发现、反馈、解决等闭环机制，防护供应链系统漏洞攻击，实现业务“零干扰”。

同时，应用ADR方案还可以有效防御0day攻击等未知漏洞威胁，避免攻防对抗信息不对等，快速研判内存马，应急响应业务“零关停”，保障业务”零影响”，提升企业安全运营工作效率，使用户的安全运营工作降本增效。

此外，通过ADR方案还能够精准构建API“全景图”，为业务成本优化与风险管控提供新视角，提供对API组件全生命周期的安全防护，实现高效的API安全管控和效能度量。

07

安全牛

您对ADR技术的未来发展有哪些预测，是否会对云原生应用安全能力的形成产生影响？

王佳宁

首先，攻击必然会不断演进，防御是必需重点解决的问题。因此，未来ADR在应对攻防对抗这种场景应用的机会会更多。但是随着业务云化和安全左移能力的增强，未来用户对应用程序的安全防护和应用层数据保护的要求会越来越强。同时，也会要求ADR提供更多维度的Detection和Response能力。

其次，ADR可以与诸多安全能力在不同场景下形成合力，如：

• 与SCA融合，可以形成运行时SCA检测能力。在应用程序上线后进行应用软件成分分析，检测那些开发环节不受控，成分不清晰的构建包、软件制品。这在一定程度上融合了SCA的能力，但从应用场景看，与开发阶段应用的SCA并不会冲突；
• 与WAAP融合，可以进一步检测遗留或长期潜伏的API。目前的WAAP多是通过网络侧流量进行API检测，对应用程序中潜伏的影子API无能为力。ADR可以在端侧为WAAP增强API检测能力。

最后，ADR与容器安全、云原生安全能力（如微隔离）的深度融合，未来将会推动ADR技术向云原生应用程序保护平台（CNAPP）的方向发展演进。

安全牛评

在0day漏洞利用、未知威胁常态化的时代，高级威胁检测能力的局限性在不断挑战应急响应的速度，迫使业务系统不断提高自身的风险对抗（免疫）能力。运行时检测和防护技术如同最锋利的武器站在了最核心的置上，可以同诸多边界防护能力形成合力，但我们也应看到运行时检测和防护能力的局限性，它无法对正常的非法为进行识别和阻断，如利用“社会工程学”发起的网络攻击行为。