2025年業(yè)務(wù)應(yīng)用與數(shù)據(jù)安全防護指南報告

業(yè)務(wù)應(yīng)用與防護指南CONTENTS前言 01數(shù)字化發(fā)展帶來的變化 02數(shù)字化業(yè)務(wù)應(yīng)用倍增 02安全也逐步適應(yīng)變化 02應(yīng)用數(shù)據(jù)安全受關(guān)注 04應(yīng)用數(shù)據(jù)安全困境風(fēng)險 05應(yīng)用數(shù)據(jù)安全面臨的困境 05應(yīng)用面臨的十大安全風(fēng)險 06應(yīng)用數(shù)據(jù)安全防護方案 08RASP具體方案 09RASPvsWAF 11應(yīng)用數(shù)據(jù)安全具體能力 12應(yīng)用“攻擊”威脅防護 12應(yīng)用“業(yè)務(wù)”安全治理 14應(yīng)用“數(shù)據(jù)”全景防護 15應(yīng)用數(shù)據(jù)安全場景案例 17某金融企業(yè)提升應(yīng)用側(cè)攻擊防護能力 17某企業(yè)完善數(shù)據(jù)鏈成功發(fā)現(xiàn)0day攻擊18 5.3某運營商解決外采商業(yè)軟件安全問題 19前言應(yīng)用程序是數(shù)字時代的業(yè)務(wù)基礎(chǔ)。業(yè)務(wù)應(yīng)用不僅僅是企業(yè)運營的工具，更是企業(yè)與客戶互動、數(shù)據(jù)交換的平臺。對于攻擊者來說，應(yīng)用就好比金庫，其中包含重要的業(yè)務(wù)和用戶數(shù)據(jù)，雖然金庫使用了最堅固的材料和武裝齊全的安保，但是只要正常開展業(yè)務(wù)，就一定會出現(xiàn)安全漏洞。在巨大的收益誘惑下，攻擊者會不惜一切代價去尋找搶劫金庫的方法。據(jù)報道，84%的安全事件發(fā)生在應(yīng)用程序?qū)?。因此，保護業(yè)務(wù)應(yīng)用和應(yīng)用程序是數(shù)字時代的業(yè)務(wù)基礎(chǔ)。業(yè)務(wù)應(yīng)用不僅僅是企業(yè)運營的工具，更是企業(yè)與客戶互動、數(shù)據(jù)交換的平臺。對于攻擊者來說，應(yīng)用就好比金庫，其中包含重要的業(yè)務(wù)和用戶數(shù)據(jù)，雖然金庫使用了最堅固的材料和武裝齊全的安保，但是只要正常開展業(yè)務(wù)，就一定會出現(xiàn)安全漏洞。在巨大的收益誘惑下，攻擊者會不惜一切代價去尋找搶劫金庫的方法。據(jù)報道，84%的安全事件發(fā)生在應(yīng)用程序?qū)?。因此，保護業(yè)務(wù)應(yīng)用和數(shù)據(jù)安全成為企業(yè)數(shù)字化過程中的重要任務(wù)。業(yè)務(wù)應(yīng)用與數(shù)據(jù)安全防護指南01帶來的變化01數(shù)字化發(fā)展正深刻改變著各行業(yè)企業(yè)的運營模式和業(yè)務(wù)流程，帶來了業(yè)務(wù)應(yīng)用的倍增，同時也使得應(yīng)用數(shù)據(jù)安全成為關(guān)注的焦點。數(shù)字化業(yè)務(wù)應(yīng)用倍增在當今數(shù)字化時代，不論開展怎樣的工作、完成什么樣的任務(wù)，都離不開數(shù)字化應(yīng)用的支撐與實現(xiàn)，應(yīng)用來進行配合構(gòu)成的。然而，隨著應(yīng)用程序規(guī)模的不斷擴大和攻擊手段的不斷演化，應(yīng)用安全問題愈發(fā)凸顯，越來越多的攻擊事件不斷威脅企業(yè)業(yè)務(wù)運行和數(shù)據(jù)安全。整體來看，數(shù)字化發(fā)展給企業(yè)主要帶來以下變化。根據(jù)咨詢機構(gòu)IDC預(yù)測，到應(yīng)用數(shù)量暴增2025年全球?qū)?chuàng)建7.5億個根據(jù)咨詢機構(gòu)IDC預(yù)測，到應(yīng)用數(shù)量暴增2025年全球?qū)?chuàng)建7.5億個云原生應(yīng)用程序。年全球新產(chǎn)生的數(shù)據(jù)量將達到根據(jù)咨詢機構(gòu)IDC預(yù)測，2027海量數(shù)據(jù)產(chǎn)生291ZB，近乎2022年的3倍。企業(yè)上云與大量中間件產(chǎn)品的運維形態(tài)變遷采用，管理對象呈現(xiàn)出類別多樣、虛實融合的新現(xiàn)象。隨著云計算、移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)等新技術(shù)的發(fā)展，應(yīng)用程序面臨的攻擊面也在不斷擴大。此外，近年來惡意軟件、零日漏洞等高級威脅的興起，對應(yīng)用程序安全提出了更高要求。國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）發(fā)布《2021年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報告》中的數(shù)據(jù)顯示，2021年上半年，國家信息安全漏洞共享平臺CNVD）收錄通用型安全漏洞13083個，其中：“零日”漏洞數(shù)量占比54.3%，同比增長55.1%；Web應(yīng)用漏洞的影響持續(xù)上升，占比達29.6%。安全也逐步適應(yīng)變化隨著數(shù)字化業(yè)務(wù)的快速發(fā)展，安全領(lǐng)域也在不斷適應(yīng)新的變化。企業(yè)通過綜合運用多種安全技術(shù)并不斷增加安全投入，構(gòu)建了一個多層次、全方位的安全防護體系，以應(yīng)對不斷演變的安全威脅。1.在安全技術(shù)方面在安全技術(shù)方面,安全防御逐步從傳統(tǒng)的網(wǎng)絡(luò)邊界安全，深入到終端設(shè)備安全和業(yè)務(wù)應(yīng)用安全，確保了企業(yè)能夠在數(shù)字化時代中安全地運營和發(fā)展。防火墻、IPS等產(chǎn)品構(gòu)筑了網(wǎng)網(wǎng)絡(luò)邊界安全絡(luò)網(wǎng)關(guān)側(cè)的第一堵墻。 EDR、HIDS等產(chǎn)品提供了工作防火墻、IPS等產(chǎn)品構(gòu)筑了網(wǎng)網(wǎng)絡(luò)邊界安全絡(luò)網(wǎng)關(guān)側(cè)的第一堵墻。EDR、HIDS等產(chǎn)品提供了工作終端設(shè)備安全負載層面的安全指標監(jiān)測。全治理在業(yè)務(wù)層的視角缺失。RASP、IAST等產(chǎn)品補足了安業(yè)務(wù)應(yīng)用安全隨著企業(yè)安全建設(shè)的不斷深入，應(yīng)用安全可以讓企業(yè)更好的從業(yè)務(wù)視角看待安全問題，守護攻擊者觸及業(yè)務(wù)時的最后一道防線。圖1：應(yīng)用安全在整體安全中的位置在整體安全架構(gòu)中，應(yīng)用安全是最貼近業(yè)務(wù)的安全，它直接關(guān)聯(lián)到業(yè)務(wù)運營。應(yīng)用安全不僅關(guān)注技術(shù)層面的防護，更注重從業(yè)務(wù)角度出發(fā)，識別和治理安全風(fēng)險。它保護的是企業(yè)的核心資產(chǎn)?2.在安全投入方面在安全投入方面，市場提供了各種解決方案幫助企業(yè)提高其應(yīng)用程序的安全性并確保其跟上不斷變化的威脅形勢。應(yīng)用安全主要分為兩個細分市場：應(yīng)用程序安全掃描工具和運行時保護工具。統(tǒng)計發(fā)現(xiàn)，隨著數(shù)字化發(fā)展，應(yīng)用數(shù)量迅速增長，安全威脅不斷演進，企業(yè)在應(yīng)用安全支出方面也在不斷上升。圖2：2017-2023年全球應(yīng)用安全投入據(jù)Gartner預(yù)測，到2025年生成式人工智能（GenAI）將促使企業(yè)網(wǎng)絡(luò)安全投入激增，其中應(yīng)用程序和數(shù)據(jù)安全支出將增加15%以上。應(yīng)用數(shù)據(jù)安全受關(guān)注在數(shù)字化業(yè)務(wù)中，應(yīng)用與數(shù)據(jù)安全的關(guān)系變得尤為緊密，它們共同構(gòu)成了企業(yè)信息安全的核心。應(yīng)用層面的安全措施直接關(guān)系到數(shù)據(jù)的安全與完整性，而數(shù)據(jù)層面的保護策略也影響著應(yīng)用的穩(wěn)定性與可靠性。圖3：應(yīng)用與數(shù)據(jù)安全的關(guān)系近年來，應(yīng)用與數(shù)據(jù)安全備受關(guān)注，各種政策措施不斷出臺。2022年12月，《中共中央國務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》（簡稱“數(shù)據(jù)二十條”）對外發(fā)布。2023年10月國家數(shù)據(jù)局正式揭牌，這標志著我國對于數(shù)據(jù)的重視與保護進入全新階段，數(shù)據(jù)要素市場制度進一步完善，是中國數(shù)據(jù)領(lǐng)域的一項重大改革。2024年4月1日召開的首次全國數(shù)據(jù)工作會議，強調(diào)了數(shù)據(jù)標準化實施的重要性。會議提出了數(shù)據(jù)標準化的流程和方法，旨在解決標準從制定到落地的全過程管理。這不僅包括標準的制定和發(fā)布，更重要的是確保這些標準能夠在實際工作中得到有效執(zhí)行。應(yīng)用與數(shù)據(jù)安全的關(guān)系是相輔相成的。應(yīng)用層面的防護是確保數(shù)據(jù)安全的關(guān)鍵，而數(shù)據(jù)安全的政策和標準則為應(yīng)用防護提供了指導(dǎo)和支持。確保應(yīng)用安全不僅能夠保護企業(yè)和個人的數(shù)據(jù)資產(chǎn)，還能夠促進數(shù)字經(jīng)濟的健康發(fā)展。02困境風(fēng)險安全02行業(yè)研究報告表明，攻擊者經(jīng)常利用應(yīng)用程序中的弱點和軟件漏洞作為入侵的突破口。這是因為應(yīng)用程序通常直接處理敏感數(shù)據(jù)，如個人信息、財務(wù)數(shù)據(jù)和知識產(chǎn)權(quán)，使其成為有價值數(shù)據(jù)的寶庫。此外，應(yīng)用程序的復(fù)雜性和不斷變化的更新增加了漏洞風(fēng)險，這些漏洞可能被攻擊者利用來竊取數(shù)據(jù)、破壞服務(wù)或執(zhí)行惡意操作。圖4：應(yīng)用程序是攻擊者最常用的入侵突破口隨著現(xiàn)代Web應(yīng)用程序的發(fā)展，攻擊者用來破壞應(yīng)用程序安全性的技術(shù)也在不斷演進。這無疑給企業(yè)安全防御帶來更大的挑戰(zhàn)。應(yīng)用數(shù)據(jù)安全面臨的困境在當今技術(shù)環(huán)境中，確保應(yīng)用安全變得越來越具有挑戰(zhàn)性。一方面，應(yīng)用依然潛藏風(fēng)險。無論是外部威脅的不斷增加，還是內(nèi)部業(yè)務(wù)缺陷的持續(xù)積累，都在時刻讓運行的應(yīng)用處于風(fēng)險態(tài)。無法打補丁的老舊系統(tǒng)持續(xù)暴露攻擊面，不規(guī)范的業(yè)務(wù)調(diào)用也隨時可能成為數(shù)據(jù)泄露的誘因。另一方面，數(shù)據(jù)治理缺乏抓手。應(yīng)用作為數(shù)據(jù)產(chǎn)生和流轉(zhuǎn)的中心，將成為數(shù)據(jù)治理關(guān)注的核心焦點。不知道數(shù)據(jù)在業(yè)務(wù)中如何產(chǎn)生、如何流轉(zhuǎn)，就無法將數(shù)據(jù)安全合規(guī)落地到業(yè)務(wù)實處。整體來看，應(yīng)用數(shù)據(jù)安全困境主要表現(xiàn)在以下幾個方面。1云環(huán)境業(yè)務(wù)增多2加密流量難檢測3高級威脅無防護4數(shù)據(jù)鏈路不完整5不安全的第三方

需要將安全深入到應(yīng)用層級，為應(yīng)用程序提供全生命周期的動態(tài)安全保護，為云時代應(yīng)用安全提供安全保障。WebHTTPS，因此應(yīng)用側(cè)的流量往往都是加密流量，檢測攻擊效果差。需要在應(yīng)用側(cè)也有獲取流量的手段，避免因為加密導(dǎo)致的無法有效檢測問題，并獲取東西向的流量補充數(shù)據(jù)資產(chǎn)信息。0Day也無法防護。應(yīng)用內(nèi)部作為最后一道防線，需要監(jiān)控應(yīng)用中的行為，從攻擊誘發(fā)的行為進行檢測和攔截，才能擺脫傳統(tǒng)對抗的困境。當前的數(shù)據(jù)監(jiān)控工具無法將數(shù)據(jù)的生產(chǎn)到使用過程完整追蹤，數(shù)據(jù)監(jiān)控只能流于表面。應(yīng)用最貼近業(yè)務(wù)，從應(yīng)用程序中監(jiān)控流量，可以有效補足業(yè)務(wù)側(cè)對數(shù)據(jù)調(diào)用流轉(zhuǎn)的視角，提供完整的數(shù)據(jù)鏈路全景。應(yīng)用程序編程接口（API）允許應(yīng)用程序相互通信和共享數(shù)據(jù)，因此，大量第三方API需要被集成到應(yīng)用程序中以提供更多功能的服務(wù)。不過，它們也是應(yīng)用數(shù)據(jù)安全泄露的主要途徑，因為它們包含了對敏感數(shù)據(jù)的訪問權(quán)限，很容易被黑客利用。因此，企業(yè)應(yīng)驗證API接口的安全措施是否有效，并確保其具備完善的身份驗證與控制措施。應(yīng)用面臨的十大安全風(fēng)險隨著應(yīng)用程序的發(fā)展和新形式的出現(xiàn)，攻擊者也不斷適應(yīng)新技術(shù)和新環(huán)境。開放式Web應(yīng)用程序安全項目(OWASP)十大威脅列表，展示了最有可能影響應(yīng)用程序安全的風(fēng)險。1.1.失效的訪問控制 擊者可以利用這一漏洞，訪問未經(jīng)授權(quán)的功能或數(shù)據(jù)。2.加密失敗 （是指數(shù)據(jù)在傳輸和靜止時未得到適當保護。它可能3.注入 注入漏洞使攻擊者能夠向應(yīng)用程序解釋器發(fā)送惡意數(shù)據(jù)，導(dǎo)致這些數(shù)據(jù)在服務(wù)器上被編SQL注入是一種常見的注入形式。4.不安全的設(shè)計 3.注入 注入漏洞使攻擊者能夠向應(yīng)用程序解釋器發(fā)送惡意數(shù)據(jù)，導(dǎo)致這些數(shù)據(jù)在服務(wù)器上被編SQL注入是一種常見的注入形式。4.不安全的設(shè)計 不安全的設(shè)計涵蓋了許多由于安全控制無效或缺失而導(dǎo)致的應(yīng)用程序漏洞。沒有基本安全控制的應(yīng)用程序無法抵御關(guān)鍵威脅。5.安全配置錯誤 常見的安全配置錯誤包括云服務(wù)權(quán)限配置不XML(XXE)6.易受攻擊和過時的組件 （包括使用任何過時或不受支持的軟件而導(dǎo)致的漏洞。7.認證和授權(quán)失敗 （）包括與用戶身份相關(guān)的任何安全問題。通俗地說，該漏洞會導(dǎo)致攻擊者使用用戶的用戶8.軟件和數(shù)據(jù)完整性故障 軟件和數(shù)據(jù)完整性故障可能發(fā)生在軟件更新、敏感數(shù)據(jù)修改以及任何未經(jīng)驗證的CI/CD管道更改期間。9.安全日志記錄和監(jiān)控失敗 （指的是在沒有日志記錄和監(jiān)10.服務(wù)器端請求偽造 當應(yīng)用在從遠程資源提取數(shù)據(jù)并未驗證用戶URL(SSRF)03防護方案安全03當前市場上已經(jīng)有不少應(yīng)用安全工具，主要分為安全測試工具和運行時保護工具，它們在應(yīng)用程序生命周期的不同階段發(fā)揮不同作用。安全測試工具的目標是預(yù)防，用于在應(yīng)用程序開發(fā)時修復(fù)漏洞，主要工具包括SAST（靜態(tài)應(yīng)用程序安全測試）、DAST（動態(tài)應(yīng)用程序安全測試）、IAST（交互式應(yīng)用程序安全測試）、SCA（軟件組成分析）。運行時保護工具是在應(yīng)用程序運行時執(zhí)行保護功能，這些工具會實時做出反應(yīng)以防御攻擊。運行時保護工具主要包括WAF（Web應(yīng)用程序防火墻)和RASP（運行時應(yīng)用程序自我保護）。 源代碼階段

構(gòu)建部署階段

上線運行階段 SCASAST IASTDAST RASPSCASASTIASTDASTRASPWAF圖5：應(yīng)用程序生命周期的不同階段的安全工具需要強調(diào)的是，運行時保護工具不是安全測試工具的替代品，而是針對運行時應(yīng)用程序提供的額外保護層。這些應(yīng)用安全工具中的每一種都有自己的特點和功能，以及各自的優(yōu)缺點。沒有一種工具可以成為對抗惡意攻擊者的靈丹妙藥。企業(yè)需要分析其特定需求，并選擇最能支持其應(yīng)用程序安全策略和戰(zhàn)略的工具。覆蓋率覆蓋率低誤報率 可利用性 代碼可見性 補救建議應(yīng)用安全測試SDLC集成 平臺支持掃 SAST描 DAST具 IAST時 WAFSCA全 BotMngmtRASP圖6：各種應(yīng)用安全工具對比隨著應(yīng)用程序和軟件開發(fā)日益復(fù)雜化，在軟件開發(fā)和部署的整個生命周期中，構(gòu)建一個全方位的解決方案，保護應(yīng)用程序免受安全威脅至關(guān)重要。企業(yè)在軟件開發(fā)部署階段，可以通過各種安全測試工具減少漏洞，同時在運行時通過RASP保護應(yīng)用安全，避免運行時的安全威脅。RASP具體方案隨著企業(yè)數(shù)字化業(yè)務(wù)的快速發(fā)展，應(yīng)用和數(shù)據(jù)面臨的安全挑戰(zhàn)也日益增多。RASP作為新一代應(yīng)用安全技術(shù)，因其高度的可觀察性、精確的威脅檢測與阻斷能力、便捷部署方式、良好擴展性，以及能夠很好滿足監(jiān)管合規(guī)要求，成為了應(yīng)用安全不可缺少的防護產(chǎn)品。1.RASP的重要性傳統(tǒng)的網(wǎng)絡(luò)邊界安全措施，如防火墻、IPS等，只從外部來檢測漏洞。然而，外部視角并不能提供足夠的上下文信息，幫助精準地識別漏洞。因此，傳統(tǒng)邊界安全措施已不能完全滿足當前的安全需求。RASP通過插樁技術(shù)直接嵌入到應(yīng)用程序內(nèi)部，從內(nèi)部視角監(jiān)控應(yīng)用程序更深入、更精確，實現(xiàn)了對軟件代碼的實時保護。與傳統(tǒng)的邊界防御不同，RASP能夠在應(yīng)用程序運行時提供高度精確的事件監(jiān)控和分析，無需依賴于可能存在誤差的模型預(yù)測，因此RASP提供的準確性和主動性是傳統(tǒng)工具和解決方案無法比擬的。圖7：RASP與傳統(tǒng)安全措施對比通過插樁技術(shù)從內(nèi)部保護應(yīng)用安全的產(chǎn)品主要有RASP和IAST。但兩者適用的階段和目標不同。IAST主要在開發(fā)測試階段發(fā)揮作用，它能夠自動地發(fā)現(xiàn)應(yīng)用和API的漏洞，這樣可以在開發(fā)過程早期就進行修復(fù)，成本不會那么高。RASP在運行時阻止漏洞被利用，其目的是發(fā)現(xiàn)危險的行為，發(fā)出告警并且及時阻斷，聯(lián)動其他安全能力進行實時防御。圖8：通過插樁技術(shù)從應(yīng)用程序內(nèi)部防護威脅各種AST測試工具保護開發(fā)階段的應(yīng)用安全，但是運行時的風(fēng)險是不可能剔除干凈的。RASP有效地彌補了應(yīng)用運行時的安全保障能力。因此，RASP不僅在其自身功能上很重要，通常情況下RASP是對其他工具的補充，甚至提高了其他工具的有效性。2.RASP方案架構(gòu)具體來說，RASP基于應(yīng)用程序插樁技術(shù)，提供了一個全面、多層面的安全防護解決方案，為應(yīng)用系統(tǒng)安全提供一站式服務(wù)，并分析其在攻擊層面、業(yè)務(wù)層面和數(shù)據(jù)層面的關(guān)鍵功能。該方案通過在多個技術(shù)位置點上布設(shè)探針采集數(shù)據(jù)，并接入應(yīng)用側(cè)的采集流量信息，形成完善的數(shù)據(jù)要素，并將采集到的數(shù)據(jù)匯聚到安全平臺側(cè)進行管理。圖9：RASP方案架構(gòu)RASP方案將主動防御能力融合至應(yīng)用程序運行環(huán)境中，捕捉并攔截各種繞過流量檢測的威脅攻擊，如內(nèi)存馬、SQL注入、0day攻擊等，讓應(yīng)用具備強大的自我防護能力，幫助企業(yè)發(fā)現(xiàn)和治理應(yīng)用風(fēng)險，保障應(yīng)用運行時的安全。RASPvsWAFRASP有時會與其同類產(chǎn)品WAF（Web應(yīng)用程序防火墻）混淆，因為兩者具有相同的目標，保護應(yīng)用程序免受攻擊威脅和數(shù)據(jù)泄露。但是，這兩種產(chǎn)品在實現(xiàn)目標的方式上是不同的。WAF使用基于已知攻擊形式的靜態(tài)規(guī)則，不斷分析外圍應(yīng)用程序流量，以查找潛在惡意活動。RASP是在應(yīng)用程序內(nèi)部嵌入安全防護模塊，實時監(jiān)控應(yīng)用程序的執(zhí)行過程。在具體實踐中，RASP提供了比傳統(tǒng)WAF更好的應(yīng)用保護。WAF容易被繞過，企業(yè)已經(jīng)意識到WAF這一嚴重的局限性，現(xiàn)在開始轉(zhuǎn)向RASP。為了更多地了解，下面進行了RASP和WAF之間的比較研究。類目 RASP WAF定位應(yīng)用威脅自體免疫漏洞利用緩解流量級過濾+防護原理應(yīng)用行為調(diào)用監(jiān)控結(jié)合內(nèi)部解析后的流量進行分析流量監(jiān)控性能影響應(yīng)用采集分析+部分云端分析基本無影響檢出率高，主要在應(yīng)用層面中，依賴特征庫誤報率低高使用成本低配置，低運營成本低配置，高運營成本告警內(nèi)容參數(shù)進程信息流量請求+參數(shù)溯源能力可定位到現(xiàn)代碼缺陷較難溯源漏洞修復(fù)擊通過流量特0day防護支持基本不支持內(nèi)存Webshell利用防護支持基本不支持供應(yīng)鏈威脅防護支持部分支持，可通過特征庫匹配表1：RASP和WAF之間的比較由于云計算的興起和移動設(shè)備的普及，企業(yè)網(wǎng)絡(luò)邊界變得更加脆弱，通用防火墻和Web應(yīng)用程序防火墻的有效性都已降低。這一限制凸顯了全面安全策略的重要性，該策略包括對所有基于云的資產(chǎn)（包括應(yīng)用程序）的保護。WAF和RASP是全面網(wǎng)絡(luò)安全策略的兩個重要組成部分。04具體能力安全04應(yīng)用與數(shù)據(jù)安全能力建設(shè)旨在通過業(yè)務(wù)流程的安全治理和數(shù)據(jù)的全面防護，構(gòu)建一個安全、可靠的應(yīng)用環(huán)圖10：應(yīng)用與數(shù)據(jù)安全防護能力的三個層面應(yīng)用與數(shù)據(jù)安全能力建設(shè)是一個復(fù)雜而多維的過程，它涉及到多個層面的策略和措施，以確保業(yè)務(wù)系統(tǒng)的安全性和數(shù)據(jù)的完整，并適應(yīng)不斷變化的安全威脅環(huán)境和業(yè)務(wù)發(fā)展需求。應(yīng)用“攻擊”威脅防護應(yīng)用“攻擊”威脅防護不僅能夠?qū)崟r檢測并攔截多種入侵攻擊，還能提供詳盡的攻擊信息和代碼堆棧。針對內(nèi)存馬、SQL注入等進行有效監(jiān)測和攔截，并阻斷0day攻擊，為企業(yè)應(yīng)用提供強大的威脅攻擊防護能力，保障應(yīng)用運行時的安全。1.入侵攻擊防護應(yīng)用“攻擊”威脅防護支持多項入侵攻擊檢測能力，覆蓋OWASPTOP10及其它常見類型攻擊的防護，實時監(jiān)控和攔截攻擊報警，快速發(fā)現(xiàn)應(yīng)用安全入侵威脅，協(xié)助處理響應(yīng)攻擊事件并在檢測到攻擊時立刻攔截，快速定位并從根源解決漏洞攻擊問題。2.內(nèi)存馬多重攔截

圖11：入侵攻擊防護種類內(nèi)存馬是一種惡意軟件，它通過注入到應(yīng)用程序的內(nèi)存中來執(zhí)行惡意操作，傳統(tǒng)的安全防護措施難以有效應(yīng)對。對于內(nèi)存馬這類棘手的安全攻擊，應(yīng)用數(shù)據(jù)安全能力提供了三道防護，從內(nèi)存馬注入前攔截、內(nèi)存馬注入檢測到運行時自動防護，層層攔截內(nèi)存馬的攻擊路徑，令黑客束手無策。3.0day感知攔截

圖12：內(nèi)存馬三重防護0day攻擊爆發(fā)通常沒有補丁可修復(fù)對應(yīng)漏洞，只能依賴已有安全規(guī)則進行安全對抗，一旦攻擊繞過已有安全檢測規(guī)則，就無法形成有效的防護。應(yīng)用“攻擊”威脅防護能力基于無規(guī)則的邏輯檢測，能夠接管并監(jiān)控應(yīng)用程序的底層調(diào)用，攻擊無法繞過底層調(diào)用實現(xiàn)其目的，因此不論對于已知的入侵攻擊，還是未知的0day攻擊，都能有效進行檢測和防護。4.豐富攻擊上下文

圖13：0day攻擊檢測能力應(yīng)用“攻擊”威脅防護能力不但可以有效檢測攔截真實攻擊，還可以在應(yīng)用底層的執(zhí)行函數(shù)中，直接獲取攻擊意圖執(zhí)行的真實信息，以白盒視角來檢測，能夠更加直觀反饋攻擊目的，無懼加密流量或混淆攻擊。應(yīng)用“業(yè)務(wù)”安全治理應(yīng)用“業(yè)務(wù)”安全治理利用綜合的策略和工具，通過對業(yè)務(wù)資產(chǎn)的全面梳理、風(fēng)險的實時檢測以及漏洞的有效治理，全方位收斂應(yīng)用業(yè)務(wù)安全風(fēng)險。1.組件庫清點應(yīng)用“業(yè)務(wù)”安全治理從應(yīng)用程序內(nèi)部真實調(diào)用出發(fā)，自動獲取應(yīng)用資產(chǎn)的信息，并完成風(fēng)險的識別檢測。應(yīng)用自動識別，建立以應(yīng)用為主視角的資產(chǎn)管理?？汕妩c應(yīng)用內(nèi)部調(diào)用的類庫信息，發(fā)現(xiàn)是否存在可疑類庫。提供“端到端”的視角，解決供應(yīng)鏈管理中組件不清的問題。2.弱密碼檢測弱密碼檢測技術(shù)通過登錄行為來監(jiān)控弱密碼登錄情況，并上報弱密碼信息，支持多類型弱密碼檢測。被動識別，無需主動掃描，不會引起賬號鎖定等問題。覆蓋中間件弱密碼，無視加密，可獲取明文直接檢測比對。應(yīng)用系統(tǒng)賬號弱密碼，內(nèi)置多項應(yīng)用的自動識別，同樣支持按照客戶需求定制識別。3.熱補丁解決專項漏洞

圖14：各種弱密碼有效識別利用應(yīng)用內(nèi)部的防護能力，提供漏洞專項的熱補丁修復(fù)，幫助企業(yè)0成本解決老舊漏洞和0day漏洞難題，形成專項防護。讓企業(yè)老舊系統(tǒng)修復(fù)無憂，新洞爆發(fā)快速應(yīng)急。無需應(yīng)用重啟，能力也支持熱更新，輕松修復(fù)漏洞。應(yīng)用“數(shù)據(jù)”全景防護應(yīng)用“數(shù)據(jù)”全景防護基于API的識別清點能力，構(gòu)建應(yīng)用的訪問全景圖，呈現(xiàn)應(yīng)用的訪問概覽，從宏觀視角發(fā)現(xiàn)應(yīng)用存在的訪問風(fēng)險。1.應(yīng)用訪問全景圖通過構(gòu)建應(yīng)用訪問全景圖，全面了解應(yīng)用的訪問情況，包括外網(wǎng)訪問、對外連接、數(shù)據(jù)庫訪問和關(guān)聯(lián)應(yīng)用等多個維度。這不僅有助于發(fā)現(xiàn)潛在的安全風(fēng)險，還能夠為安全策略的制定和優(yōu)化提供數(shù)據(jù)支持。圖15：應(yīng)用訪問全景圖2.API調(diào)用鏈路追蹤API調(diào)用鏈路追蹤是一種監(jiān)控技術(shù)，它能夠詳細記錄和展示API調(diào)用的完整路徑，從而幫助開發(fā)者和運維人員理解系統(tǒng)內(nèi)部的通信流程。通過追蹤API的調(diào)用鏈路，可以有效地定位代碼中的問題，優(yōu)化性能，并增強系統(tǒng)的可觀測性。例如，在復(fù)雜的微服務(wù)架構(gòu)中，一個用戶的請求可能經(jīng)過多個服務(wù)和組件的處理。調(diào)用鏈路追蹤能夠提供從起點到終點的完整路徑視圖，這對于診斷問題、理解系統(tǒng)行為和優(yōu)化性能至關(guān)重要。3.數(shù)據(jù)庫訪問監(jiān)測

圖16：API調(diào)用鏈路示例數(shù)據(jù)庫訪問監(jiān)測是確保數(shù)據(jù)安全和合規(guī)性的重要手段。其一，通過審計數(shù)據(jù)庫查詢語句，確保所有的數(shù)據(jù)庫訪問都是合法和安全的。其二，利用數(shù)據(jù)庫訪問監(jiān)測還可以展示應(yīng)用服務(wù)與數(shù)據(jù)庫之間的連接關(guān)系，包括數(shù)據(jù)庫的名稱、地址和端口。這種信息有助于理解數(shù)據(jù)流動，并保護這些流動數(shù)據(jù)免受未授權(quán)訪問。其三，數(shù)據(jù)庫返回的數(shù)據(jù)審查是另一個關(guān)鍵的安全措施。通過檢查返回的數(shù)據(jù)，確保敏感信息得到妥善處理。圖17：數(shù)據(jù)庫訪問監(jiān)測措施05場景案例安全05數(shù)字化時代，應(yīng)用安全對于各行業(yè)至關(guān)重要。下文將展示不同行業(yè)企業(yè)根據(jù)自身特點和需求，采取相應(yīng)的安全措施保護關(guān)鍵數(shù)據(jù)和應(yīng)用安全的場景案例。某金融企業(yè)提升應(yīng)用側(cè)攻擊防護能力某金融科技公司開發(fā)了一款在線理財管理平臺，允許用戶查看和管理個人的投資組合。由于處理敏感的金融數(shù)據(jù)，該平臺成為了潛在攻擊者的目標。1.案例介紹為了提升應(yīng)用程序的安全性，公司決定建設(shè)應(yīng)用安全防護能力，考慮到業(yè)務(wù)的高敏感性和高連續(xù)性要求，建設(shè)過程中不允許對應(yīng)用進行變更和重啟，最終決定實施RASP方案，實時監(jiān)控和防護各種可能的安全威脅。圖18：RASP能力具體部署方案方案通過RASP的動態(tài)插樁模式，利用JVMInstrumentationAPI，采用Attach動態(tài)注入的方式，在自動識別到的程序內(nèi)部，植入安全防護模塊，無需應(yīng)用重啟。2.實施情況該方案覆蓋企業(yè)測試及生成環(huán)境的2000+機器，已經(jīng)穩(wěn)定運行超過12個月的時間，為企業(yè)提供針對業(yè)務(wù)的行為管控和漏洞治理能力，并建立起以業(yè)務(wù)為視角的應(yīng)用攻擊威脅防護能力。3.建設(shè)價值以前企業(yè)利用WAF進行應(yīng)用攻擊防護，現(xiàn)在通過RASP方案建設(shè)，很好地補充了WAF能力的短板，提高了針對應(yīng)用攻擊的檢測上限，完善應(yīng)用側(cè)抵御攻擊的安全防線，同時打通了流量和主機告警的橋梁。某企業(yè)完善數(shù)據(jù)鏈成功發(fā)現(xiàn)0day攻擊某公司需要以管理資產(chǎn)的理念開展數(shù)據(jù)管理，并且已經(jīng)有防火墻、流量采集