应用安全是网络安全领域中的一个细分方向,这类安全产品的目的是确保Web应用程序在运行时的安全性。随着网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据Verizon 2019数据泄露调查报告,在全球范围内对Web应用程序的攻击占泄露总数的43%。
而当前网络安全的现状却是,绝大多数企业将大量的投资花费在网络和服务器的安全上,并未从真正意义上保证Web应用本身的安全。这也使得web应用安全事件频发。
36氪日前接触到的一家网络安全公司「安百科技」,目前主攻应用安全领域。该公司成立于2014年,目前主打三款产品,分别为基于RASP理念的灵蜥应用攻击自免疫平台、重明持续风险管理平台、鲲鹏安全大数据分析引擎,其中灵蜥应用攻击自免疫平台是公司的核心产品。
谈到应用安全长期以来未受到足够重视的原因,「安百科技」CEO王青龙认为,这和国内安全市场的认知问题相关。过去,国内相当一部分的企业会在合规需求下采购安全产品,以往在边界做防护的安全硬件类产品可以满足合规需求,也比较便于运维部门等员工直接操作。但随着企业业务上云的变化,网络边界的概念也随之产生变化,传统的防护手段已经无法满足现有的网络安全需求,企业也需要新的技术手段满足新的网络安全要求。
具体到产品端,WAF(Web Application Firewall)是典型的Web应用安全产品,是通过执行一系列针对HTTP的安全策略来专门为Web应用提供保护的一款产品。企业一般会采用防火墙作为安全保障体系的第一道防线,而WAF被用来解决防火墙等产品无法解决的Web应用安全问题。
不过在王青龙看来,WAF所采用的方式还是在网络层、系统层去解决应用层的安全问题,这类产品面临的困境有以下几点:防护能力滞后于攻击技术;无法快速有效拦截新型 Web 攻击;发生Web攻击事件无法第一时间知晓;无法有效的结合Web应用实现精准拦截还有可能造成大量的误拦截操作;高频攻击下影响WAF的最佳防护效果;无法及时更新规则,防御能力较低。
而「安百科技」所采用的基于RASP的方案,可以运行在应用程序的内部,安全保护控制点通常放在应用程序和其他系统的交互连接点上,包括和用户、数据库、网络以及文件系统的连接点,从而达到实时监测并拦截漏洞攻击的效果。Gartner 在2014年将 RASP 定义为应用安全领域的关键趋势。
在具体实现上,这种技术可以和应用程序绑定在一起,像“疫苗”一样注入到应用程序里,使应用程序在运行时实现自我安全保护,能够帮助客户有效防护已知和未知攻击。并且产品安装过程无需修改任何应用程序自身代码,仅需简单配置即可实现自我防护机制。“由于灵蜥与应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力。当应用程序遭受到真正攻击请求时,就可以自动对其进行防御,而不需要进行人工干预。”王青龙解释。
由于这种技术和应用程序融为一体,而不同开发语言适配不同的防护逻辑及防护端,所以需要关心应用程序的开发语言。举例来说,如果一个应用程序使用的是Java开发语言,那么基于RASP的安全产品也需要使用Java开发语言进行防护端的开发。这样做的好处是可以和所防护的应用较深融合,通过增强Java语言底层的API来实现更加深层次的防御。
整体来看,RASP技术可以快速将安全防御功能整合到正在运行的应用程序中,它拦截从应用程序到系统的所有调用,确保它们是安全的,并直接在应用程序内验证数据请求。Web和非Web应用程序都可以通过RASP进行保护。并且该技术不会影响应用程序的设计,因为RASP的检测和保护功能是在应用程序运行的系统上运行。
RASP产品和其他系统之间的关系
目前,「安百科技」已经形成了基于RASP理念的灵蜥应用攻击自免疫平台、重明持续风险管理平台、鲲鹏安全大数据分析引擎三款产品构成的矩阵。重明主要提供漏洞扫描功能,鲲鹏主要负责数据分析。提及打造产品矩阵的初衷,王青龙认为,用户的安全不仅是防护,事前发现问题和事后分析也具备很大价值。而重明就对应了事前检测功能,灵蜥对应事中防护,鲲鹏对应事后分析。
根据介绍,重明持续风险发现和管理平台能够全方位识别客户所有在线系统的风险及脆弱性。在发现漏洞的同时,可自动进行漏洞验证,确保零误报。同时还集合了资产发现、资产监控、应用信息攫取、服务信息枚举,外部威胁关联,对风险状态进行持续追踪和管理,可根据用户需求对风险定向分配处理修复,让用户时刻掌握系统相关的最新的风险状态。
鲲鹏大数据安全分析平台是一款专业的数据分析产品,可对全网范围内的业务系统、应用程序、服务器、网络设备、数据库以及各种应用服务系统的结构化和非结构化数据、日志等进行采集聚合及精细化分析,同时提供压缩的、低耗高效和自管理的数据存储服务。
在「安百科技」未来的规划中,由于重明和鲲鹏两款产品目前已经处于成熟阶段,所以灵蜥会成为重点发力点。“我们的出发点是为了解决应用自身的安全漏洞,在真正的攻击发生时确保能真正阻断攻击。灵蜥的技术路线可以做到这样的效果。”王青龙认为。
谈及此类产品在国内较少出现的原因,王青龙觉得主要有两点,首先是研发这类产品不仅企业需要安全能力很强,而且还需要对应用的研发能力也很强,这对人才资源提出了挑战。再加上应用安全市场在国内的发展较慢,许多公司在评估之后会认为投入产出不成正比,从而放弃此类产品。
目前安百科技主要的销售方式是将产品输出给合作伙伴,借助后者的能力转化订单,此外一些客户也会通过主动调研的方式联系到公司。主要客户案例包括电信企业、国有银行、商业银行、证券、电网客户以及一些地方政企等,过往服务客户数量超过200家。
对客户方而言,对此类产品的考量标准主要围绕其对业务系统的影响、防护端是否可控。具体来说,前者可能会要求产品对CPU和内存的影响不超过5-8%,对请求延迟的影响在毫秒级等,后者是因为此类产品需要安装在业务系统上,对客户来说不能接受完全黑盒的方式。
团队方面,公司的目前员工约为60人左右,基本上都为产研人员。公司核心团队大多具备乌云网背景,深耕网络安全领域多年。此外,联合创始人兼CEO王青龙也曾是乌云网及智士软件(ThinkSNS),的联合创始人,对研发及安全都有较深的认知。
据了解,在国外市场上的类似公司有Contrast Security、 Signal Sciences 等,其中前者于2019年获得 6500 万美元的D轮融资, 后者此前也已获得C轮3500万美元融资。在国内市场上,百度也有类似开源产品提供。