曾幾何時，黑客攻擊大多通過網絡層進行，但隨著基于網絡層的基礎安全防護措施趨于嚴密，防火墻、入侵防御、防病毒等安全軟硬件構建起了相對完善的防護體系，想再從網絡層鉆空子的難度增大。如今，黑客攻擊從網絡層轉入Web為主，傳統安全體系越來越捉襟見肘。當前很多政企客戶的安全關注點就在于應用安全，迫切需要針對Web應用層提供更新的解決辦法，這是安全業界新的課題。

應用安全不可忽視

隨著新興技術的快速發展，網絡應用類別越來越多，應用復雜度也越來越高，單純解決網絡層的安全已經無法防御黑客的新型攻擊，必須高度重視維護關鍵應用的安全。這是因為Web應用程序無處不在，在大多數情況下是公司的核心組件。由于各種原因，它們經常獲取、處理、存儲和傳輸敏感數據（如機密業務信息、員工信息、客戶個人數據、財務信息等）。Web應用程序成為網絡犯罪分子獲取敏感信息，入侵您的組織的最簡單的途徑之一。因此，對于Web應用安全的關注度更加熱切。

隨著越來越多的企業將核心業務系統轉移到網絡上，Web瀏覽器成為業務系統的主要入口。在這種背景下，如何保障企業的應用安全，尤其是Web應用安全，成為信息安全保障的關鍵所在。一份來自某國際知名咨詢公司的分析報告指出，在調查的企業數據中心中，92%的Web應用存在安全缺陷，80%存在跨站攻擊的風險，而高達62%存在SQL注入漏洞。同時，專門針對應用層進行攻擊的手段也日益增多，防范起來越來越困難。值得注意的是，網絡應用之所以不安全，其中一個關鍵因素是應用程序本身的安全性問題，給黑客攻擊留下了可乘之機。

北京邊界無限科技有限公司（邊界無限，BoundaryX）聯合創始人、CTO王佳寧表示，未來，更多的業務將以Web應用方式呈現，信息安全也必將從以邊界防護為主向應用自身安全防護為主過渡，同時眾多政企客戶將加強各個應用安全防護產品的聯防聯控，形成整體應用防護的縱深防御體系。

WAF獨木難支

對Web應用的攻擊不曾停止，應用安全防護技術的進化也一直在持續。從傳統的IPS防火墻，再到WAF(Web應用防火墻)的橫空出世，引領技術趨勢若干年，這一階段可以稱為應用安全防護1.0時代。尤其是WAF作為一款成熟的網站防護產品，一度成為企業為Web應用提供安全防護的必備利器。它能夠抵御定向的Web技術攻擊、部分業務邏輯攻擊以及海量肉雞的惡意訪問。通過對Web應用的深入解析和檢測， 能夠阻攔SQL注入、跨站腳本攻擊，阻止惡意掃描等常見Web攻擊并提供修補漏洞的能力。

近年來，隨著云計算市場的火熱，WAF有了一種新的接入方式：云部署。通過簡單的DNS記錄變更，將流量引入到云端防護集群，經過安全防護檢測后，將安全流量回源到服務器。相比于硬件WAF，云WAF擁有零部署、零安裝、快速穩定等優勢，并可將防護能力自動擴展、與云上網站共享、集群彈性擴容、輕松應對海量業務下的防護。越來越多的企業開始考慮購買云WAF產品。除了專業WAF廠商外，目前主要的云供應商都通過收購或者研發豐富了自己的WAF產品，它們與服務商自己的負載均衡器很好地集成在一起。但根據最新的調查報告，WAF產品的有效性和客戶滿意度的表現越來越令人失望。雖然WAF目前是企業應用安全策略的主力產品，但事實是，大多數企業都難以充分利用此類產品。

擁有WAF并不意味著應用安全防護可以一勞永逸。WAF的優點是可以進行流量告警，通常的安裝方式是將WAF串行部署在Web服務器前端，用于檢測、阻斷異常流量，對全流量進行分析。但是WAF的缺點更讓企業頭痛，易被繞過、誤報率高、維護成本高、需要不斷更新規則庫、出現0day不能及時防御等都讓安全部門極為苦惱。

由于傳統WAF基于規則構建安全策略，只要針對Web服務器、Web應用對協議解析、字符解析、文件名解析、編碼解析以及SQL語法解析的差異進行變形，就可能達到繞過WAF的效果。同時，傳統WAF無法對新型的攻擊進行有效的識別和阻斷。目前市面上大多數的WAF都是基于規則匹配的，但規則的更新往往是滯后于攻擊發生，例如：0day漏洞攻擊，沒有預配置的規則，只能在漏洞披露后，依據漏洞特征建立防護規則。此外，傳統WAF對攻擊的識別來自于已經設定好的規則庫，對于看似“正?！钡臉I務邏輯漏洞卻無能為力。例如越權操作，入侵者可以用低權限賬號登陸系統后，通過攔截并修改用戶參數，以達到查看或者修改其它權限賬號的目的，而傳統WAF并不能識別這一看似正常的操作。

可以這么說，WAF代表了應用安全防護1.0時代的最高水平，但隨著攻擊手段的不斷更新，應用安全防護應該具備檢測與響應能力，并契合內生安全理念，實現應用程序的自我防護，尤其是業務上云之后。

ADR應運而生

隨著企業深度用云以及云原生應用的快速普及，云上復雜性提升，導致網絡攻擊面倍增，也伴生出新的安全風險。既然WAF在防護范圍和防護能力上存在局限，難以應對復雜的網絡攻擊形勢，于是很多廠商極力倡導WAAP成為革新必然。WAAP核心功能包括Web應用防火墻、API保護、Bot防護和七層DDoS攻擊防護，進一步擴展了云上應用安全防護范圍和安全深度。但WAAP目前仍存在一個很大的問題，那就是Web應用防護仍主要依靠邊界防護手段，并未形成應用的自我防護機制。

大家對WAF、Bot防護、DDoS攻擊防護已經比較熟悉，在此不多贅述。以API防護為例，隨著API廣泛應用于各個在線業務，涉及交易、賬號敏感相關的環節都備受灰黑產關注，在線業務欺詐風險驟升。黑灰產已高度成熟，通過大量自動化、流程化的方式進行業務欺詐，并貫穿于整個在線業務場景。在注冊、登錄、營銷場景下，自動化攻擊占比均在50%以上。絕大多數企業對自身API資產現狀不清，大量僵尸API、影子API存在，使敏感數據暴露在API之上，給攻擊者留下了突破口。同時API沒有上下文，攻擊成本較低，攻擊者通過簡單的網絡請求即可獲取數據或者進行攻擊。但目前，廣大客戶的API防護還是依靠API網關等設備，并未真正解決API防護的“最后一公里”問題。

那如何從應用自身加強防護，從而跟邊界防護產品形成互動與聯防，真正做到內外兼顧，縱深防御呢？Gartner引領的關鍵技術趨勢可以給我們一定的借鑒意義。早在2014年，Gartner引入了“RASP-Runtime application self-protection”這一概念，它是一種新型應用安全保護技術，它將保護程序像“免疫血清”一樣注入到應用程序中，與應用程序融為一體，能實時檢測和阻斷安全攻擊，使應用程序具備自我保護能力。Log4j2等“核彈級漏洞”的爆發，使RASP技術迅速升溫，填補了市場在應用層防護的空白，但技術的演進并未停止。

2022年12月，在國內知名安全咨詢公司數世咨詢發布的行業首份《ADR能力白皮書》中首次提出ADR這一新賽道，通過系統研究ADR的關鍵能力以及使用場景等，為廣大政企客戶構建整體應用防護體系提供參考和借鑒。ADR類產品基于RASP，并在其基礎上增加了開源風險治理、API資產梳理（可以從應用內部洞悉全量API資產）、中間件基線、應用基線等持續檢測和環境安全功能，可以視作RASP2.0，并可與WAF等傳統安全產品形成縱深防御體系，達到應用安全“內外兼顧”的效果。這代表了應用安全防護的最新趨勢，將應用安全由之前以邊界防護為主的1.0時代提升至內外結合、持續檢測與響應的2.0時代，打造了應用安全防護的新范式。

靖云甲ADR獨領風騷

當前，安全行業需要革新安全理念、技術和模式，將人工智能、云原生等新技術應用到網絡安全防護中，實現對網絡威脅的預先研判、智能防護和自動抵御，有效提升安全威脅檢測、應急處置和追蹤溯源能力，實現從事后補救到安全前置，從局部分割到全面防護，從被動安全到主動安全的轉變，以便構筑起主動、智能、全面的應用安全防護體系。結合敏銳的市場洞察力以及多年的攻防經驗積淀，邊界無限基于RASP和云原生技術推出了靖云甲ADR應用安全檢測與響應系統。

邊界無限靖云甲ADR基于RASP技術，以云原生為場景，以數據鏈路為核心，以流量安全、API安全和數據安全作為安全能力切入點，引入多項前瞻性的技術理念，通過對應用風險的持續檢測和安全風險快速響應，幫助企業應對來自業務增長、技術革新和基礎設施環境變化所產生的等諸多應用安全新挑戰。

在流量安全方面，靖云甲ADR基于網格化流量采集，通過聯動應用端點數據、應用訪問數據，高效準確防御0day漏洞利用、內存馬注入等各類安全威脅；在數據安全方面通過數據審計、治理、脫敏等安全技術，有效實現數據安全風險態勢的把控。在為企業提供全面的應用安全保障的同時，靖云甲ADR通過虛擬補丁、漏洞威脅情報、訪問控制等運營處置手段，有效提高安全運營的事件處置效率。這順應了時下流行的安全技術趨勢，也滿足了廣大政企客戶的現實安全需求。

靖云甲ADR擁有精準細化的資產清點、緊跟形式的安全研究、海量可靠的漏洞運營、輕量無感的性能損耗等優點，尤其是在應用資產管理、供應鏈安全、API資產學習層面，其表現優異。靖云甲ADR跨IT架構統計應用資產，實現安全能力同步管控，為應用提供安全風險評估；動態采集應用運行過程中的組件加載情況，快速感知資產動態，全面有效獲知供應鏈資產信息；自主學習流量加應用框架，具體來說，靖云甲ADR會通過插樁對應用內部框架定義的API方法以及應用流量進行API全量采集，同時利用AI檢測引擎請求流量進行持續分析，自動分析暴露陳舊、敏感數據等關鍵問題。

靖云甲ADR的技術領先優勢已經被業界廣泛認可。在客戶層面，廣大政企客戶均加大了對RASP技術的研究和引進力度，其中金融行業匹馬當先，運營商、能源電力、大型央企及互聯網企業等也在迅速跟進。在國產化層面，邊界無限靖云甲ADR也取得了不錯的進展，已經相繼完成在銀河麒麟和兆芯、龍芯、鯤鵬等CPU環境下的交叉測試，均可穩定高效運行。在國產中間件領域，靖云甲ADR已經相繼完成了針對寶藍德BES以及東方通Tongweb的兼容性測試，各項功能及防護能力均可穩定高效運行。

邊界無限憑借靖云甲ADR在國際領先的IT市場研究和咨詢公司IDC發布的《IDC Innovators：中國云原生安全技術，2023》報告中獲得云原生安全技術的創新者稱號；在國內知名研究機構數世咨詢發布的安全行業首份《ADR能力白皮書》中，成為唯一被推薦的國內代表廠商；也是順利通過信通院首批“運行時應用程序自我保護（RASP）工具能力評估”認證的廠商。近日，在數字咨詢舉辦的第三屆數字安全大會上，邊界無限獲得ADR賽道領航者的稱號。靖云甲ADR的整體實力已經受到國內外咨詢機構的權威認可，可以說是在行業內獨領風騷。

綜合而言，現在國內的Web應用安全仍在探索和實踐階段。傳統網絡安全防御體系剛剛完成閉環的安全周期，明確了以資產為保護核心的理念，而之后向Web應用安全轉化和發展是需要一個過程和周期。但黑客對Web應用的新型攻擊已經兵臨城下，這不僅需要廣大客戶在Web應用安全方面進行大力投入，還要充分了解未來Web應用防護的技術趨勢，在以ADR、WAAP等新技術加大Web應用安全方面防護措施投入的同時，結合原來的網絡層安全防御體系，達到更加理想的安全防護效果，將黑客對Web應用的攻擊損失減少到最小。

王佳寧表示，傳統邊界防護方案很容易被繞過，應用將成為用戶防護的“最后一道防線”，邊界無限引領應用安全新趨勢的靖云甲ADR主攻應用檢測與響應，可與WAF形成縱深防御體系，聯防聯控，動態防御，助力廣大客戶建設縱深防護體系和整體防護體系，從而實現真正的動態全方位防護，實現關基業務“零關?！?、“少關?！?。未來，邊界無限將持續加大在應用安全和云原生安全上的投入力度，為廣大客戶在云時代的應用安全防護升級和云原生安全體系建設添磚加瓦。