应对新兴威胁：应用安全的新变革

关键要点

近年来，应用程序的复杂性增加了安全监控的难度。传统的安全工具在新的技术环境中难以适应。应用检测和响应ADR工具为解决应用安全问题提供了新的解决方案。ADR工具能够实时监控应用程序流动，提升了对安全事件的响应能力。

随着技术的不断演进，安全威胁与攻击手法也在不断升级，这使得安全专家面临着越来越多的挑战。作为一名资深安全从业者，我见证了许多新兴威胁和攻击方法的出现，以及安全供应商由于需要跟上新产品的普遍忙碌。然而，随着技术的进步，风险也在不断演变，许多急迫且持续存在的痛点依然没有得到解决。过去20年以来，安全社区一直受到应用安全盲点的困扰，这一问题至今尚未得到根本性的解决。

不论组织的规模、行业或商业模式如何，内部应用程序的技术栈已从单一的变为多样化，伴随而来的是日益增加的复杂性和减弱的可见性。传统应用程序是单一的、独立的单位，通常运行在单个服务器上，依靠防火墙和周边防御就能有效防御。然而，现代软件环境中微服务的爆炸性发展和分布式开发，从根本上重塑了这些服务的通信方式及其对应用环境的影响。尽管这种变化对可扩展性、灵活性和弹性都有利，但在不同位置分散的组件数量的增加，带来了大量新的安全挑战，而现有的安全工具却始终无法有效应对。

SC Media Perspectives专栏由SC Media网络安全领域的可信社区专家撰写。可在此处阅读更多观点

在运行时和实时环境中，这些问号和盲点导致情况更加严重。安全从业者在面对可能影响我们应用程序的漏洞时，常常会面临各种问题：相关日志在哪里？我们是否看到了全部情况？我如何知道这个漏洞是否恶意，它会移动到哪里？关于上下文、关键信息、日志和执行情况等方面存在许多未知数。虽然日志记录有所帮助，但无法提供调查所需的全面上下文，可能会遗漏重要特性，从而增加复杂性。

这些障碍使得我们很难确定漏洞执行发生在哪个应用程序组件中，基础设施的哪个部分没有受到影响，以及应该从何处开始缓解。更糟糕的是，安全团队往往被整合到不同的产品组中，缺乏工具和全面的理解，无法看到整个应用程序栈，这使得制定一致的调查和评估策略变得格外艰难，更不用说修复漏洞了。在处理大型和复杂应用程序时，这些团队之间几乎不会沟通。一个团队的变更可能会影响其他团队，但没有一个全局视角，观察应用程序栈的高影响变更就变得无从谈起。

应用检测和响应ADR作为一个新兴的AppSec类别，旨在填补其他检测和响应产品留下的空白，通过更深入应用程序本身来解决安全问题，而不仅仅是外部保护。

网络应用防火墙WAF主要关注通过网络接口进入应用程序的流量，但对于分布式应用程序中各种微服务之间的内部通信却没有洞察力。

小火箭shadowsock购买

虽然WAF对于阻止已知攻击特征很有效，但对未知风险和异常现象却完全失明。通常依赖静态分析流入流量，WAF很容易被更复杂的攻击者绕过。运行时应用程序自我保护RASP产品提供强大的应用程序级安全，但范围有限，只能保护应用程序代码中的特定漏洞。针对小型用例和特定设计的技术栈，RASP工具的部署往往繁琐，与现有开发和安全工具集成复杂，且维护成本高。

ADR工具的引入彻底改变了现有的AppSec格局。可以将