ADR白皮書成應用安全建設指南 邊界無限為國內唯一被推薦廠商

隨著云原生時代的來臨，業(yè)務變得越來越開放和復雜，安全邊界越來越模糊，固定的防御邊界已經不復存在，僅僅依靠WAF這樣的邊界防護手段是顯然不夠的?；谡埱筇卣?規(guī)則策略的防御控制手段僅能將部分危險攔截在外，同時隨著實網攻防演練的常態(tài)化、實戰(zhàn)化，攻防對抗強度不斷升級，攻擊者可輕易繞過傳統(tǒng)邊界安全設備基于規(guī)則匹配的預防機制。

不僅如此，攻擊者還會利用供應鏈攻擊等迂回手法來挖掘出特定0day漏洞，實現(xiàn)對目標應用的精準打擊。類似的高級攻擊手段，讓越來越多的安全管理者，開始關注安全左移，例如將DevOps與Sec結合，嘗試實現(xiàn)DevSecOps，亦或是以運行時應用自我防護為手段，對運行時的應用安全進行更多投入。

然而，與云主機安全遇到的局限性類似，應用安全原有的安全能力是有缺失的。一方面，用戶在實戰(zhàn)化安全能力需求中，迫切需要一個專門針對應用的行之有效的解決方案，加入安全運營體系中，從而實現(xiàn)應用運行時的安全檢測與響應能力，另一方面，之前的應用安全技術能力，雖然從開發(fā)階段到生產運行階段都有涉及，但能力點是分散的，例如只關注應用的漏洞檢測(如IAST)，或是只關注應用攻防場景下的自我防護(如RASP)，很少將應用的安全檢測與事件響應結合起來，形成閉環(huán)。一個典型例證是，越來越多的企業(yè)開始向DevOps模式靠攏，快速和持續(xù)的交付正在加快業(yè)務的拓展，但隨之而來的安全訴求卻得不到及時響應。研發(fā)團隊經常在代碼可能存在安全風險的情況下，將其推入生產環(huán)境，結果造成更多漏洞積壓，且上線后安全訴求因排期等問題無法修復。同時伴隨著實網攻防演練的常態(tài)化趨勢，傳統(tǒng)以犧牲業(yè)務為代價的業(yè)務應用關停手段也逐漸遇到挑戰(zhàn)，在“零關停”或“少關停”的需求下，對應用生產環(huán)境風險的檢測與響應迫在眉睫?；诖?，數(shù)世咨詢提出應用檢測與響應(Application Detection and Response – ADR)這一新賽道，從而將用戶在這一領域的需求明晰化，同時將對應的安全能力解決方案化。

我們也看到，各大政企客戶紛紛將整體應用安全能力與體系建設提上日程，因此數(shù)世咨詢發(fā)布的業(yè)界首份《ADR應用檢測與響應能力白皮書》成為甲方客戶應用安全的指南，其中北京邊界無限科技有限公司(邊界無限)成為國內唯一被推薦的ADR廠商。隨附報告全文，供用戶與企業(yè)參考。

關鍵發(fā)現(xiàn)

• 應用檢測與響應(Application Detection and Response – ADR)是指以Web應用為主要對象，采集應用運行環(huán)境與應用內部中用戶輸入、上下文信息、訪問行為等流量數(shù)據(jù)并上傳至分析管理平臺，輔助威脅情報關聯(lián)分析后，以自動化策略或人工響應處置安全事件的解決方案。

• ADR以Web應用為核心，以RASP為主要安全能力切入點。

• 作為安全關鍵基礎設施，ADR能夠與WAF、HDR、IAST等多個安全能力形成有機配合。

• ADR 的五大關鍵技術能力：探針(Agent)、應用資產發(fā)現(xiàn)、高級威脅檢測、數(shù)據(jù)建模與分析、響應阻斷與修復。

• 對0day漏洞、無文件攻擊等高級攻擊威脅的檢測與響應已經成為ADR的關鍵能力之一。

• ADR廠商將與公有云廠商、各行業(yè)云廠商建立更加深入的合作關系，逐步加快ADR在各行業(yè)的集中部署。

ADR定義

應用檢測與響應(Application Detection and Response – ADR)是指以Web應用為主要對象，采集應用運行環(huán)境與應用內部中用戶輸入、上下文信息、訪問行為等流量數(shù)據(jù)并上傳至分析管理平臺，輔助威脅情報關聯(lián)分析后，以自動化策略或人工響應處置安全事件的解決方案。

若無特別說明，本報告中的應用主要指主機側的Web應用，不包含PC終端、移動終端、物聯(lián)網終端等端點側的應用。

ADR以Web應用為核心，以RASP為主要安全能力切入點，通過對應用流量數(shù)據(jù)中潛在威脅的持續(xù)檢測和快速響應，幫助用戶應對來自業(yè)務增長、技術革新和基礎設施環(huán)境變化所產生的諸多應用安全新挑戰(zhàn)。

在安全檢測方面，ADR基于網格化的流量采集，通過應用資產數(shù)據(jù)、應用訪問數(shù)據(jù)、上下文信息等，結合外部威脅情報數(shù)據(jù)，高效準確檢測0day漏洞利用、內存馬注入等各類安全威脅;、

在安全響應方面，ADR基于場景化的學習模型，實現(xiàn)應用資產的自動發(fā)現(xiàn)與適配，自動生成應用訪問策略，建立可視化的應用訪問基線，發(fā)現(xiàn)安全威脅時，通過虛擬補丁、訪問控制等安全運營處置手段，有效提高事件響應的處置效率。

圖：ADR應用檢測與響應

圖：應用檢測與響應ADR 部署示意圖

在數(shù)世咨詢發(fā)布的《中國數(shù)字安全能力圖譜2022》中，應用檢測與響應ADR位于“應用場景安全”方向的“開發(fā)與應用安全”分類中。

《中國數(shù)字安全能力圖譜2022》開發(fā)與應用安全，ADR

在2022年度數(shù)字安全成熟度階梯(應用場景)中，應用檢測與響應ADR位于“啟動區(qū)”，屬于前沿創(chuàng)新和概念市場階段，目前國內相關領域企業(yè)數(shù)量并不多，只有個別企業(yè)明確提出了ADR這一概念。

應用場景

關鍵安全基礎設施

與WAF等邊界產品配合，實現(xiàn)縱深防護體系

WAF部署在網絡邊界，ADR部署在應用層。WAF容易被繞過，而ADR是應用的最后一道防線。ADR不會取代WAF，兩者協(xié)同配合，相得益彰，共同組成縱深防御體系。

與主機側HDR配合，實現(xiàn)立體檢測與響應能力

雖然一定程度上HDR也能夠覆蓋應用層，但是基于主機側的HDR，重點還是關注服務器、虛擬機、容器等工作負載上主機層、系統(tǒng)層的安全檢測與響應，因此，不屬于應用運行環(huán)境內部的ADR，能夠與HDR相配合，形成由下至上、由外至內的立體檢測與響應能力。

與IAST配合，覆蓋應用的全生命周期

交互式應用程序安全測試(IAST)關注的是應用運行時的安全漏洞，目的是發(fā)現(xiàn)漏洞，用于開發(fā)測試階段。與IAST一樣，ADR也關注應用在運行時的安全問題，但目的是發(fā)現(xiàn)攻擊者利用漏洞的攻擊行為，用于應用的生產運行階段。兩者配合，能夠覆蓋應用的全生命周期，為DevOps提供持續(xù)有效的Sec能力。

實戰(zhàn)攻防演練

攻擊隊一般會利用已知或未知漏洞，繞過或突破網絡邊界，尋找核心資產，控制管理權限。伴隨著演習經驗的不斷豐富，攻擊隊更加專注于應用安全的研究，在演習中經常使用供應鏈攻擊等迂回手法來挖掘出特定0day漏洞，由于攻防對抗技術不對等，導致防守方經常處于被動劣勢。此時，用戶可通過部署和運營ADR，搶占對抗先機。

演練前梳理應用資產，收斂潛在攻擊暴露面

防守隊利用ADR可進行應用資產梳理，形成應用資產清單，明確應用中間件的類型、運行環(huán)境、版本信息等關鍵信息，為后續(xù)安全加固、防護做到有的放矢。同時，利用ADR的漏洞發(fā)現(xiàn)、基線安全等檢測功能，結合修復加固手段對發(fā)現(xiàn)的問題逐一整改，消除應用安全隱患，使應用安全風險維持在可控范圍。

演練中持續(xù)檢測與分析，實現(xiàn)有效防御與溯源

ADR通過Agent對應用程序的訪問請求進行持續(xù)監(jiān)控和分析，結合應用上下文和攻擊檢測引擎，使得應用程序在遭受攻擊——特別是0day、無文件等高級別攻擊手段時——能夠實現(xiàn)有效的自我防御。另外，ADR的溯源能力可以從多維度捕獲攻擊者信息，聚合形成攻擊者畫像，同時記錄整個攻擊到防御的閉環(huán)過程，為編寫報告提供依據(jù)。

演練后結合上下文，全面提高應用安全等級

ADR不僅關注攻擊行為中的指令和代碼本身，還關注涉及到的上下文。因此安全人員可以通過ADR提供的調用堆棧信息等內容，推動研發(fā)人員進行代碼級漏洞修復，調整安全策略，進行整體加固，全面提高應用安全等級。同時，ADR支持攻擊事件統(tǒng)計分析和日志功能，幫助安全人員快速整理安全匯報材料，顯著地提升安全運營工作效率。

數(shù)據(jù)治理安全

在數(shù)據(jù)生命周期中的采集、傳輸、存儲、處理、交換等各個環(huán)節(jié)中，“應用”是最高頻、最重要、最關鍵的數(shù)據(jù)安全場景。結合數(shù)世咨詢發(fā)布的《數(shù)據(jù)治理安全DGS》能力白皮書，ADR能夠有效支持數(shù)據(jù)治理安全的落地與實踐。

數(shù)據(jù)的輕量資產化

數(shù)據(jù)的輕量資產化只需將原始數(shù)據(jù)進行簡單處理，剔除劣質和無效數(shù)據(jù)后，將其制作成有效支持分析運算與業(yè)務應用的數(shù)據(jù)資產。 “應用”處于業(yè)務與數(shù)據(jù)關聯(lián)的核心，是數(shù)據(jù)輕量資產化的最佳位置。ADR基于安全視角的資產發(fā)現(xiàn)與管理能力，能夠為其持續(xù)提供“既懂數(shù)據(jù)、又懂業(yè)務”的輕量資產化數(shù)據(jù)。

數(shù)據(jù)的分類分級

ADR的應用安全運行基線能力，能夠基于對國家法律法規(guī)、行業(yè)監(jiān)管的理解和對業(yè)務數(shù)據(jù)的理解，極大地減少行業(yè)客戶數(shù)據(jù)分類分級初期咨詢的工作量，在日后需要匹配新的業(yè)務流轉或符合新的安全合規(guī)要求時，還能夠為AI/ML的深度應用持續(xù)提供最新的海量數(shù)據(jù)樣本。

配合安全能力的對接與編排調度

ADR基于RASP技術，具備檢測高準確率、告警低誤報率以及實時阻斷自動化響應等優(yōu)勢能力，因此可通過API的方式與數(shù)據(jù)安全能力接口進行對接，或結合實網攻防演練或安全運營等不同的業(yè)務場景與編排調度平臺進行配合，確保數(shù)據(jù)始終處于有效保護和合法利用的狀態(tài)。

除了上述主要場景，用戶在類似的安全重保、應用加固、供應鏈安全以及集團應用安全體系建設等場景下，都可以采用ADR這塊重要拼圖。

關鍵技術能力

RASP恰好處在應用訪問流量中東西向與南北向的交叉點，因此以RASP作為能力切入點，ADR 應當具備以下幾個關鍵技術能力：

• 探針(Agent)

• 應用資產發(fā)現(xiàn)

• 高級威脅檢測

• 數(shù)據(jù)調度與分析

• 響應阻斷與修復

探針(Agent)

在主機安全層面，探針技術已經開始被多數(shù)用戶接受。因此在應用安全領域，用戶對Agent的考量主要在于性能、兼容性、是否重啟等要點。

業(yè)務連續(xù)性

早期的RASP部署之后，需要重啟應用環(huán)境，對用戶的業(yè)務連續(xù)性會有較大影響。近年來，隨著技術發(fā)展，ADR已經有采用“attach”等方式注入Agent，無需重啟直接更新，以減少對業(yè)務運行的干擾。

對應用性能的影響

RASP技術實現(xiàn)的實質是在不接觸應用源碼的情況下，對函數(shù)進行Hook操作。因此不可避免的Agent對原有的應用性能會有影響。在PoC試用時查看Agent對性能的影響，用戶一般關注內存占用、RT(Response Time)等關鍵指標。

兼容性

首先是對多開發(fā)語言的支持，Java、Golang、PHP、Python、Nodejs等主流開發(fā)語言，Agent探針都應當支持。再就是除了對應用環(huán)境中典型中間件、第三方組件、通用類和框架類的函數(shù)等兼容外，還要能夠對自研代碼部分進行Hook。

應用資產發(fā)現(xiàn)與管理

ADR應當具備較強的應用資產發(fā)現(xiàn)與管理能力，這是后續(xù)檢測與響應的基礎。

持續(xù)資產發(fā)現(xiàn)

ADR所覆蓋的資產主要為應用資產、組件庫資產、API資產三大類。資產發(fā)現(xiàn)手段可采用第三方導入+持續(xù)發(fā)現(xiàn)相結合的方式。一方面導入已有的應用資產信息、第三方組件信息、所屬業(yè)務信息等資產數(shù)據(jù)，另一方面，通過具備資產信息更新的接口，便于隨時從自有的資產發(fā)現(xiàn)模塊，或EDR、HDR等外部端側資產信息，定期接入更新的應用資產數(shù)據(jù)。特別針對應用框架中大量的API資產，可通過插樁方式對應用流量進行全量采集并持續(xù)分析，持續(xù)發(fā)現(xiàn)API資產。

應用資產管理

ADR應針對應用的框架、組件、業(yè)務屬性、時間線等具備細粒度的資產管理能力、可視化的資產信息展示能力。除此之外，對于應用框架中的第三方組件庫，ADR應當具備動態(tài)采集加載組件庫信息的能力。也就是說，針對組件庫資產，要能區(qū)分在全量組件中哪些是應用已經加載的組件，以便后續(xù)環(huán)節(jié)中，對其能夠優(yōu)先進行檢測與響應。特別是當供應鏈出現(xiàn)嚴重漏洞的時候，可以快速定位到組件使用情況，加強對供應鏈管理能力。

形成運行基線

通過持續(xù)的資產發(fā)現(xiàn)與管理，結合應用、中間件的配置檢查能力，由此，ADR即可形成應用安全運行基線。無論是實網攻防演練，還是日常安全運營，結合不同的業(yè)務場景，安全團隊可對應用和中間件的資產完整性、策略配置、異常行為等進行針對性的監(jiān)測、檢測、響應。

ADR的能力建設到這一步，可以滿足大部分針對應用的攻擊檢測與響應需求。接下來，還需要對更高級別的攻擊行為構筑威脅檢測能力。

高級威脅檢測

基于RASP的技術實現(xiàn)特性，ADR應當具備對0day漏洞、內存馬等高級威脅的檢測能力。

0day漏洞

對nday漏洞的PoC檢測基于漏洞的已知特征實現(xiàn)。區(qū)別于此，ADR是對應用中關鍵執(zhí)行函數(shù)進行Hook監(jiān)聽，同時采集上下文信息結合判斷。因此能夠覆蓋更加全面的攻擊路徑，進而從行為模式的層面，對0day漏洞實現(xiàn)有效感知，彌補傳統(tǒng)流量規(guī)則檢測方案所無法實現(xiàn)的未知漏洞攻擊防御。

前段時間造成大范圍影響的Log4j漏洞事件中，就已經有ADR代表企業(yè)以上述思路成功阻斷了當時以0day身份出現(xiàn)的Log4j漏洞在客戶側的蔓延。因此，對0day漏洞的檢測與響應已經成為ADR的關鍵能力之一。

內存馬

應用內存馬的攻擊實現(xiàn)方式是，攻擊者通過應用漏洞結合語言特性在應用中注冊包含后門功能的API。此類API在植入之后并不會在磁盤上寫入文件，代碼數(shù)據(jù)只寄存在內存中，此類無文件攻擊特性可以很好的隱藏后門，攻擊者可長期控制業(yè)務系統(tǒng)或將其作為進入企業(yè)內部的網絡跳板。

針對應用內存馬，ADR首先可通過建立內存馬檢測模型，持續(xù)檢測內存中可能存在的惡意代碼，覆蓋大部分已知特征的內存馬;其次，基于RASP的技術特點，ADR可以對內存馬注入可能利用到的關鍵函數(shù)，進行實時監(jiān)測，從行為模式層面以“主被動結合”的方式發(fā)現(xiàn)內存馬，以此覆蓋剩余的未知特征的內存馬。

因為是在內存中進行檢測與判斷，因此，對內存馬的攻擊行為一經發(fā)現(xiàn)并結合上下文確認，就可以實時進行阻斷并清除，實現(xiàn)自動化的檢測與響應。相比之下，其他響應阻斷都會有一定的滯后性。因此可以說這是ADR的核心關鍵能力之一。

數(shù)據(jù)建模與分析

ADR需要具備較強的數(shù)據(jù)建模與分析能力。

鑒于Agent不能過高占用應用環(huán)境資源，ADR數(shù)據(jù)建模與分析應由專門的服務端引擎來承擔，將Agent采集數(shù)據(jù)、安全日志數(shù)據(jù)、外部威脅情報數(shù)據(jù)等有序調度匯總后，進行威脅建模與分析研判。

數(shù)據(jù)的建模與分析應當兼顧成本與效率，數(shù)據(jù)模型要考慮資產優(yōu)先級、業(yè)務場景等，原則是提高對常見威脅的分析效率與準確率，降低自動化響應的失誤率。

對于高級別威脅的數(shù)據(jù)分析，引擎中的場景劇本，要能夠隨時增加或更新，分析結果在管理平臺可視化呈現(xiàn)或以可編輯報告的形式導出，為高級別威脅所需的人工研判提供支持依據(jù)。

響應阻斷與修復

不同于邊界設備基于特征匹配檢測攻擊，對于掃描器的踩點、掃描行為，?般會產??量誤報，RASP 運?在應?內部，失敗的攻擊不會觸發(fā)檢測邏輯，所以每條告警都是真實正在發(fā)生的攻擊，這就為ADR自動化的阻斷響應提供了天然的技術基礎。

首先，基于應用訪問關系，梳理應用的拓撲關系與數(shù)據(jù)流，逐步形成應用的安全運行基線，然后利用微隔離，降低攻擊者在不同應用區(qū)域間潛在的橫向移動風險;然后在此基礎上，如前所述，針對0day漏洞、內存馬等高級威脅，結合上下文進行自動化的阻斷響應。最后，為避免再發(fā)生類似攻擊，ADR還應具備臨時修復加固功能。例如通過彈性補丁或虛擬補丁，對漏洞進行臨時修復，待將來某個時刻，應用升級或重啟時，再交由研發(fā)、運維等兄弟部門處置。

需要注意的是，雖然 RASP 幾乎沒有誤報，但自動化阻斷始終不能影響應用的業(yè)務連續(xù)性，應當具備一定的自查自保護機制。例如針對上述各響應各環(huán)節(jié)，在管理平臺側提供完備的隔離策略、阻斷控制、補丁分發(fā)等功能的完整日志記錄，從而為運營人員進一步的重放、分析、溯源、報告等操作提供支撐。

國內外代表企業(yè)

Araali Network

Araali Network 是今年RSAC2022的創(chuàng)新沙盒10強，關注云原生場景下的應用運行時安全。其安全理念、技術框架、產品功能與本文提出的ADR十分相符。

舉例來說，Araali首先會對應用的運行時環(huán)境進行持續(xù)掃描監(jiān)測，以評估固有風險并確定其優(yōu)先級。它會自動檢測最易受攻擊的應用程序、最有價值的應用程序，它還會查找具有過多特權、未使用的開放端口、磁盤上的密鑰、特權過高的IAM配置，以分析潛在的攻擊暴露面，逐步形成應用的安全運行基線。

在“檢測”環(huán)節(jié)，Araali使用基于eBPF的控件來創(chuàng)建基于身份的行為模型，對出站的請求進行檢測分析，并與外部威脅情報結合，在網絡流程層面對惡意連接進行分析阻斷。一旦發(fā)現(xiàn)可疑行為，Araali會將時間、客戶端、服務、狀態(tài)等完整上下文信息一同推送給安全運營團隊，功能上甚至允許運營團隊“重放”觸發(fā)告警的行為動作，方便團隊參考上下文順序進行進一步關聯(lián)分析。

在后續(xù)的“響應”部分，運營團隊除了對事件中的單點威脅進行阻斷外，還通過自動化、自適應的“彈性補丁”對風險點進行加固修復。這一部分能力，也是通過eBPF來實現(xiàn)。

基于上述能力，Araali實現(xiàn)了對0day漏洞的預防護。彈性補丁可以直接鞏固強化應用的行為，從而防止?jié)撛诘睦?day入侵的威脅。官方宣稱“一次響應，永久預防”。

針對0day等高級威脅的檢測能力，以及不中斷業(yè)務、彈性補丁等貼合用戶實際需求的優(yōu)勢，是數(shù)世咨詢將 Araali 列入代表企業(yè)的原因。

Reveal Security

同數(shù)世咨詢一樣，Reveal Security也明確提出了ADR應用檢測與響應的理念。

它認為，網絡、終端、操作系統(tǒng)以及用戶行為等維度，均已經有成型的安全檢測與響應技術，但在應用層仍缺少有效的檢測與響應手段，ADR應需而生。

Reveal 的核心技術理念，以分析用戶訪問應用的行為上下文為出發(fā)點，代替基于規(guī)則的應用安全檢測，目的是提升應用檢測的準確率，為之后的響應環(huán)節(jié)提供高效支撐。

在實現(xiàn)上，它放棄了之前只分析某個行為本身的做法，改為分析用戶在應用中的一系列行為。通過行為上下文，找出不同于正常訪問行為的異常特征session，進而發(fā)現(xiàn)潛在威脅。

Reveal強調并非要找到一個適用于所有用戶的通用性行為，而是要通過機器學習形成針對每個用戶的行為基線，因此，它會盡量多的獲取各類日志信息，以聚類數(shù)據(jù)引擎對各類分組數(shù)據(jù)進行調度與分析，逐步形成用戶的行為基線，進而發(fā)現(xiàn)異常威脅行為。

據(jù)Reveal宣稱，其檢測模型具有非常廣泛的適應性，不依賴于應用中某個具體的運行環(huán)境。同時它的聚類分析引擎并不需要準確集群數(shù)量的先驗知識，仍能保持準確性。

對應用行為數(shù)據(jù)的聚類分析，是RevealSecurity的亮點優(yōu)勢，也是ADR所需的關鍵能力之一，這也是數(shù)世咨詢將其列入代表企業(yè)的原因。

邊界無限

邊界無限作為國內新成立的安全創(chuàng)新企業(yè)，其團隊核心成員來自騰訊玄武實驗室和頭部安全公司，具備很高的攻防起點，因此，0day、內存馬等高級威脅檢測場景是其RASP產品的優(yōu)勢之一，據(jù)了解，Log4j、Spring4shell等高危漏洞爆發(fā)時，他們的RASP產品靖云甲都成功檢測并進行了攔截。

基于RASP技術，憑借攻防基因與技術優(yōu)勢，邊界無限完善了應用運行時全流程全周期的安全防護能力，加入了多場景業(yè)務適配、虛擬補丁、編排模式等檢測與響應能力。依托這些能力，用戶可以快速聚焦攻擊者，定位缺陷應用，進而提升團隊的MTTD/MTTR時效。

具體以應用資產盤點能力舉例來說，該能力以實戰(zhàn)攻防演練為主要場景、以攻擊面收斂為主要目的，除了常見的第三方組件庫等應用資產，對應用間的API資產也能夠持續(xù)發(fā)現(xiàn)與管理，對南北向之外的東西向流量，都可以做到覆蓋與識別，進而梳理清楚應用間的訪問關系。

今年，邊界無限也提出了應用檢測與響應ADR的理念，與數(shù)世咨詢不謀而合。作為國內少有的ADR代表企業(yè)之一，數(shù)世咨詢會對其持續(xù)關注。

行業(yè)展望

ADR在國內各行業(yè)將加快集中部署

隨著“業(yè)務上云”的普及，越來越多云原生場景下的應用檢測與響應需求需要得到滿足。同時，很多ADR廠商為了提升應用行為的聚類分析、威脅情報的更新推送、虛擬補丁的分發(fā)等操作的效果與ROI，自身也會利用云原生技術進行產品的部署與實施，如此一來，有實力的ADR廠商將與公有云廠商、各行業(yè)云廠商建立更加深入的合作關系，逐步加快ADR在各行業(yè)的集中部署。

ADR與持續(xù)應用安全(CAS)結合

持續(xù)應用安全(CAS)是基于我國軟件供應鏈安全現(xiàn)狀所誕生的一種理念，主要解決軟件供應鏈中數(shù)字化應用的開發(fā)以及運行方面的安全問題，覆蓋應用的源代碼開發(fā)、構建部署、上線運行等多個階段，保障數(shù)字化應用的全流程安全狀態(tài)，是安全能力原子化(離散式制造、集中式交付、統(tǒng)一式管理、智能式應用)在軟件供應鏈安全上的應用。因此在應用的運行階段，ADR能夠與CAS形成數(shù)據(jù)關聯(lián)和能力融合，并經由統(tǒng)一調度管理形成體系化的解決方案，以達到幫助用戶減少資源投入、整合安全能力和提升安全效率的目的。

繼NDR、EDR、HDR等檢測與響應能力之后，ADR將成為又一個必備能力

在實網攻防演練等場景中，大部分用戶已經在流量、終端、主機等維度逐漸形成了NDR、EDR乃至HDR(主機檢測與響應)等檢測與響應能力，有效提升了安全檢測的覆蓋度與應急響應時效。作為更加貼近業(yè)務側的檢測與響應能力，ADR的出現(xiàn)，能夠有效補全其他“DR”在業(yè)務側的不足。因此，數(shù)世咨詢認為，在未來2-3年內，將會有越來越多機構用戶將ADR作為必備能力之一，納入安全運營建設計劃，并與NDR、EDR、HDR等一起形成完備的安全檢測與響應體系。

以《關基保護要求》為綱，ADR將具備更加落地的指導要求

在筆者完稿之際，國家市場監(jiān)管總局批準發(fā)布了《關鍵信息基礎設施安全保護要求》( GB/T 39204-2022)(簡稱《關基保護要求》)國家標準文件。該標準作為《關基保護條例》發(fā)布一年后首個正式發(fā)布的關基標準，是為了落實《網絡安全法》《關基保護條例》中關于關鍵信息基礎設施運行安全的保護要求，借鑒重要行業(yè)和領域開展網絡安全保護工作的成熟經驗而制定的，將于2023年5月1日正式實施。它規(guī)定了關鍵信息基礎設施運營者在識別分析、安全防護、檢測評估、監(jiān)測預警、主動防御、事件處置等方面的安全要求。因此以《關基保護要求》為綱，ADR對關鍵信息基礎設施中的“Web應用”構筑安全保障體系時，將具備更加可落地的指導要求。

（免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）