基于可观测性平台的统一数据采集与治理,应用安全态势管理(Application Security Posture Management,ASPM)成为了新一代应用运行时安全的解决方案。ASPM利用可观测性实时采集的生产环境数据,将可观测性与应用安全深度融合,为应用程序的运行状态和潜在安全威胁提供深度洞察,帮助企业及时识别并应对安全风险。ASPM填补了流量层与主机层安全产品之间的防护空白,实时分析应用运行时的安全态势,提供威胁感知、威胁分析、API资产梳理、安全事件阻断等运行时应用安全能力。
更重要的是,ASPM通过利用可观测性收集的数据,无需在生产环境中重新部署安全Agent,只需在现有可观测性平台上一键开启安全功能。这种方式为该大型证券行业客户节省了大量的部署和测试时间与成本,提升了安全能力的部署效率,同时也避免了重复部署Agent为生产环境引入新的风险,避免了部门间的摩擦。
ASPM检测原理:
① 恶意用户对应用发起入侵攻击行为
② Agent采集数据并由ASPM通过实时Hook监测进行安全风险分析
③ ASPM对访问请求进行追踪分析,精准发现威胁并告警
④ 采取相应阻断措施,及时中断应用与当前恶意用户的连接
基于可观测性构建的应用运行时安全解决方案ASPM,具备统一的数据采集、统一存储架构、数据的统一利用以及打破部门间数据孤岛等特点。
1.数据的统一采集
在ASPM中,统一的数据采集是核心基础,而此处数据采集的来源是成熟的APM Agent。APM已经是非常成熟的运维产品,经历了多年生产环境的真实考验,其探针技术具备极强的先进性、稳定性,在企业中已有广泛部署。通过数据的统一采集,安全、运维等各部门可以基于同一份数据进行分析,避免了数据重复采集带来的流量、存储和计算上的资源浪费。ASPM通过整合多渠道的数据源,如应用日志、Trace、指标和络流量数据等,让安全能力全面覆盖应用程序运行的各个环节。通过采用高效的数据采集工具和技术,确保数据的实时性和准确性,并通过数据标准化,统一数据格式与规范,提升了数据的可用性和一致性。
2.统一存储架构
统一的存储架构是实现数据整合与高效管理的重要保障。数据湖仓结合了数据湖的灵活性和数据仓库的高性能分析能力,为企业提供一个统一的数据存储与查询平台,支持对各类异构的可观测性及安全数据提供统一存储和查询接口。在低成本的前提下,实现了海量数据的高效存储与快速检索,确保数据具备良好的可扩展性和可靠性;同时,支持大规模并发访问及实时查询,可满足运行时安全对数据处理的高要求。
3.数据的统一利用
基于数据的统一利用,安全团队能够迅速识别并响应潜在威胁。通过实时数据显示分析,运用流式处理及实时分析技术,对收集的数据进行即时处理,及时发现异常情况和潜在威胁;利用仪表盘等可视化工具,将复杂的数据及分析结果以直观的形式呈现,帮助安全团队快速理解信息并作出决策;整合自动化响应机制,在检测到安全威胁时,能够自动触发防护措施,减少响应时间和人为错误的发生率。
4.打破部门间的数据孤岛
基于全量可观测性数据建立的统一可观测性平台有效打破了部门间的数据孤岛,实现了信息共享与协同工作。安全团队、开发团队和运营团队可以在同一平台上访问并分析相关数据,促进信息共享和协作效率提升;通过细粒度的访问控制策略,确保不同团队在共享数据的同时,有效保护敏感信息不被泄露;通过建立跨部门的协同工作流程,提升对安全事件的响应速度和处置效率,形成闭环式、完整的安全保障体系。
基于可观测性的运行态应用安全能力
基于可观测性提供的全量、准确、实时的生产环境应用运行态数据,ASPM实现了全新的运行态应用安全能力,其中,威胁感知、API资产梳理、安全事件自动阻断等能力表现优异。
1.威胁感知
威胁感知是基于可观测性的运行时安全解决方案的核心功能之一,通过实时监控和分析应用运行中的各种数据,识别潜在的安全威胁。具体包括:
① 异常行为检测
利用自研的AI和精细的行为分析技术,精确地识别出偏离常规操作运行模式的异常行为,从而在庞大的数据集中有效甄别出授权用户中潜藏的恶意或非正常活动迹象,利用用户行为散点图清晰可视化地展示用户的异常行为。
② 漏洞感知预警
实时感知并预警应用和系统面临的各类攻击行为,包括但不限于SQL注入攻击、远程命令执行漏洞利用、反序列化漏洞攻击、内存马以及WebShell等,通过高度敏感的感知与预警机制,能够迅速洞察并揭示应用系统中的薄弱环节与潜在安全缺陷,确保在第一时间发现并响应安全威胁。
③ 漏洞自动阻断
自动化漏洞防御机制能够针对应用系统存在的漏洞进行深度监控,一旦检测到有攻击者试图利用这些漏洞进行权限提升等恶意行为,系统会立即触发自动化的阻断与处置流程,有效遏制攻击进程。同时,该机制还具备组件漏洞的自动化修复能力,能够迅速部署热补丁,无需人工干预即可对漏洞进行修补,从而显著降低应用系统遭受成功攻击的风险,确保系统的持续安全与稳定运行。
④ 0-day防护
ASPM在不修改原有应用程序、不引入新的漏洞的前提下,通过动态加载应用探针,与应用系统融为一体,保障系统的安全性。平台通过Agent获取到程序执行堆栈信息、代码上下文相关的危险函数,可以识别相关的攻击行为,进行自动化处置响应。针对变型的0-day漏洞,在不需要业务停摆的状态下就可以实现安全补丁的自动升级,保证业务系统正常的生产稳定。
2.API资产梳理
① 主动API资产梳理
在证券应用中,API(应用程序编程接口)扮演着连接内部系统和外部服务的关键角色。现有的针对应用API梳理方法主要是通过分析请求日志、爆破的方式获取梳理未知的API资产,这种方法梳理API主要依赖于请求和字典的强度,未请求到的API接口,包括后门API接口及管理API接口可能会泄露大量的敏感信息。API主动资产梳理是通过在业务系统启动时,利用Hook机制植入到Servlet容器中,可以截获所有被加载的Servlet和关联的API信息,包括请求路径(URL)、请求方法(GET、POST等)、请求参数、返回数据类型、异常处理机制以及所涉及的类和方法等详细信息。通过对这些数据的实时收集和整理,系统能够无侵入性地、实时地构建出完整的API清单,并以直观的方式进行展示。
② API调用监控
实时密切监控API的调用状况,全面记录其调用频率、调用链路及调用参数、API攻击行为等详细信息,识别不安全的接口和潜在的攻击向量,深度洞察API的使用情况。同时,通过智能分析迅速识别并响应任何异常的API调用行为。
③ API风险属性标签
监控API的活跃状态和敏感行为,并自动对其状态和行为打标签,如敏感信息泄露、未授权访问、异常登录、敏感文件读写删除操作、系统级命令执行等高危的API安全事件,让管理者快速理解API的行为,快速定位、分析处置API安全事件。
④ 接口安全评估
对API接口进行全面的安全检查和识别,以识别并消除API潜在的安全漏洞,如不安全的数据传输、敏感信息泄露、越权访问等。方便业务团队、安全团队清晰地进行API安全风险的整改和收敛。
⑤ 调用链分析
通过详细的函数级调用链分析,了解API的调用链路和依赖关系,以识别潜在的安全薄弱环节,优化API设计,增强整体安全性。
总结
在证券行业,业务的稳定性和连续性至关重要。为应对日益复杂的安全威胁,基于IT运维系统可观测性的应用安全防护方案已成为券商提升安全保障水平的关键举措。ASPM通过整合可观测性与应用安全,利用统一的Agent,不仅降低了部署和维护成本,还提升了系统的稳定性和安全性。
这种融合的安全防护新模式,使企业能够在现有的可观测性平台上拓展安全能力,及时发现并应对应用层面的安全威胁,保障业务的安全稳定运行。随着信息技术的飞速发展,基于可观测性的应用安全防护方案将在证券行业展现出更大的潜力。不仅能够有效发现和应对潜在的安全风险,还能在确保应用系统稳定性的同时,显著提升业务运营的连续性和可靠性。
探索和应用ASPM等创新技术,将在很大程度上协助券商构建更加坚实的安全防线,为业务的持续健康发展提供有力支撑。
北京基调络股份有限公司,卢中阳/刘洪峰/丁威