专访OneASP何迪生:通过RASP+WAF,构建应用层安全纵深防御体系

2018 年 2 月 27 日2280

2016年即将过去,回顾今年的网络安全领域比较新的技术词,笔者首先想到了自适应安全。一直以来,笔者对自适应安全一知半解,总想弄个明白。目前,我国在自适应安全方面才刚刚起步,笔者了解到现在专注自适应安全的厂商主要有青藤云安全、OneASP、睿石网络等网络安全厂商。于是,近日笔者采访了OneASP首席安全顾问何迪生。

OneASP首席安全顾问何迪生

采访地点约到了OneASP公司会议室,会议室的整体布局桌椅摆放很像一个课堂。特别是当采访正式开始之后,笔者的这种感觉更为强烈。在会议室等了几分钟后,我见到了何迪生。与我所猜想的不同,他并没有我想象中的那种严肃,很是和蔼可亲。互换名片自我介绍之后,我们自然而然的就聊了起来。

何迪生是谁?

何迪生毕业于加拿大滑铁卢大学,拥有统计学/计算机科学学士以及精算学硕士学位。毕业后的十几年,他基本都在北美洲工作。后因家庭原因回到国内发展,先后担任香港警署“防犯罪技术部”安全咨询顾问,信息系统安全协会(ISSA)香港分会总裁,国际信息系统审计和控制协会(ISACA)北京事务委员会主席,WTO第六次部长会议的首席安全咨询师。并于2008年,担任北京奥运会奥运城市运行指挥平台的安全顾问,也正是这次机遇让他和北京结下了不解之缘。

何迪生说自己的事业一直没有离开安全,OneASP是他的另外一个起点。曾经他思考过在未来的十年,二十年后自己会在哪里,答案是中国。在希望将自己的知识和能力服务于中国的网际安全,为中国的本地安全体系建设贡献自己的一份力量。

之所以选择进入OneASP,源于好友OneAPM副总裁林元宏的邀请。通过与OneAPM董事长何晓阳的接触,以及后期的对公司的深入了解。对于未来应用层安全未来防御体系建设的看法,何迪生心中的想法与OneASP的发展规划高度一致。

他是这样介绍为建立下一代安全体系所做的事情的

聊到为建立下一代安全体系所做的事情,专注的那些安全技术。何迪生走向写字板,开始从自适应安全,到OneASP选择做应用层安全防护的初衷,再到产品技术细节,耐心地为我讲解起来。

首先,对于自适应安全这个概念,他解释到,自适应安全 (Adaptive Security) 是Gartner于2014年提出的面向下一代的安全体系,其最突出的特点就是“智能、自动化”,该理念认为云时代的安全服务应以持续监控和行为识别为核心引擎,覆盖预测、防御、监控、回溯四个周期,可自适应于不同基础架构和业务变化并形成统一安全策略,从而应对未来更隐秘、专业的高级攻击。自适应安全在国内还是一个比较新的概念,需要业界共同努力才能达到”安全自适应”应该达到的标准.

其次,他指出,一方面,棱镜门事件之后,我国信息安全已经上升至国家战略高度。然而政府在信息安全方面的投入主要集中在网络层和主机层的防护上,诸如:防火墙、IDS/IPS、AV、主机加固及补丁管理等。然而,与网络层和主机层安全相比,如今更多的入侵者选择应用层为突破口,攻击手段隐秘且防不胜防。SQL注入、跨站脚本攻击 (XSS)、跨站请求伪造(Cross-site request forgery )都是攻击者常采用的攻击方式,他们通过SQL注入盗取用户数据,通过“HTML注入”篡改网页、插入恶意的脚本控制用户浏览器……

另一方面,目前传统的处理应用层的安全问题的产品和方案都是以WAF(Web Application Firewall)为主,但是WAF对于管理人员的技术水平要求较高。而我国甚至全球的安全人才极为稀缺。有关调查显示,我国每年对于安全人才的需求达到100万,但实际人才输出仅有2万,有高达98% 的缺口。因此,由于策略配置的不妥当带来的误杀误报现象也就十分严重。

据Gartner 报告显示,超过80%的网络攻击都发生在应用层。然而国内现有的安全防护方案,大多是基于数据流做防护,无法深入应用内部,由此带来的误杀误报率很高。

所以,OneASP选择了RASP(RuntimeApplication Self-Protection,实时应用自我保护)这个细分领域探索。OneASP也是国内第一家做RASP的创业公司。

紧接着,他解释说,RASP是由Gartner 分析师Feiman在2014年9月提出的一种全新概念,它能够与应用一起运行,结合应用的逻辑和数据流,在运行时对访问应用的代码进行检测;对于已知漏洞打虚拟补丁,起到补偿控制的作用。该技术已成为目前业界已知的对SQL注入防护最高的一种手段,国外的厂商有Prevoty, Waratek等。例如:针对XSS攻击,RASP定制了针对XSS攻击的规则集和防护类,然后采用Java字节码技术,在被保护的类被加载进虚拟机之前,根据规则对被保护的类进行修改,将防护类织入到被保护的类中,从而有效地抵御 XSS 这种攻击。

最后,他介绍说,基于RASP的OneASP安全平台集成了预测、预防、检测和响应的能力为用户提供精准、持续、可视化的安全防护。目前,OneASP 能够提供 SaaS 模式和本地化部署模式,客户主要集中在电商、金融、互联网金融等领域。OneRASP的优势主要体现在:一是,传统的安全产品无法进入应用内部及时发现并阻止攻击,误杀误报率高,而RASP 探针像一剂疫苗注入到应用中,以虚拟补丁的形式存在,赋予其自身免疫能力,在应用被完全修复前降低应用被攻击的可能。二是,OneRASP操作简单,降低了对运维管理人员的技术水平要求。相对于传统的安全解决方案,还可帮助用户节省其在安全层面的费用支出。

那么,未来RASP是否会替代WAF呢?他表示,RASP技术并不会完全取代WAF。并提议,在应用层采用 Defense-In-Depth (DID)安全纵深防御体系这个概念,即应用层安全纵深防御体系 (AppSec DID),分成应用层周边与内部两个部分,周边用WAF,内部用RASP,将两者结合集成起来将会把监控与防御做得更好。

采访结束,笔者问及2017年OneAsp的发展目标与规划。

何迪生回答说:“2017年,我们不仅会把RASP技术运用好,还计划针对应用层做一个轻量级自动化的整体防护架构,力求帮助用户更好的把控应用层的不同安全风险。最主要的是,我们会以服务的态度帮助客户解决安全问题,获取客户认同是我们的发展动力。我们也一直在用踏实的行动,努力打造一家‘绝对可信赖’的安全服务企业形象,以提供易用可靠的安全服务为主的企业,而不是只卖安全产品的公司。”

附:OneASP与OneAPM的关系

OneAPM,即北京蓝海讯通科技股份有限公司,是中国基础软件领域的新兴领军企业。专注于提供新一代 ITOM(IT 运维管理)软件和服务。2016年8月15日,正式挂牌新三板(股票代码 838699)。OneAPM 是全球首家可以同时从系统服务层、应用层、用户体验层、业务交易层提供性能管理服务的公司。经过8年的技术与产品积累与沉淀,已经能够提供本地化部署和 SaaS 部署模式,支持所有主流的编程语言和框架。

OneASP 是北京蓝海讯通科技股份有限公司旗下的独立公司。OneRASP属于OneASP应用安全的一个产品线。

标签:云安全

0 0