云的原生安全 云原生的安全

　　云原生時(shí)代，隨著現(xiàn)代數(shù)字化應(yīng)用的組成成分以開源為主、架構(gòu)模式向微服務(wù)轉(zhuǎn)變、開發(fā)流程向DevOps研運(yùn)一體化演進(jìn)、基礎(chǔ)設(shè)施環(huán)境向容器化變革，應(yīng)用安全防護(hù)面臨諸多挑戰(zhàn)。

　　01 非法攻擊愈發(fā)難以識別：每個(gè)應(yīng)用程序都有其獨(dú)特的漏洞，這些漏洞只能通過特定的攻擊加以利用。對某個(gè)應(yīng)用程序完全無害的HTTP請求可能對另一個(gè)應(yīng)用程序造成破壞，這使得傳統(tǒng)規(guī)則型防御產(chǎn)品難以完全匹配使用場景。

　　02 傳輸協(xié)議愈發(fā)多元：現(xiàn)代應(yīng)用程序使用的格式和協(xié)議復(fù)雜，如JSON、XML、序列化對象和自定義二進(jìn)制等格式。請求不僅使用HTTP，還使用各種包括WebSocket在內(nèi)的個(gè)性化協(xié)議，傳統(tǒng)WAF難以對傳輸協(xié)議做到完全支持。

　　03 傳統(tǒng)防御措施愈發(fā)無助：傳統(tǒng)WAF通過在網(wǎng)絡(luò)流量到達(dá)應(yīng)用程序服務(wù)器之前對其進(jìn)行分析，完全獨(dú)立于應(yīng)用程序進(jìn)行工作。在門外處理的方式，使其無法真正核實(shí)請求的合法性，漏殺錯殺成為常態(tài)，因此管理員只能使其處于“日志模式”。

　　04 應(yīng)用運(yùn)行場景愈發(fā)多樣：軟件行業(yè)發(fā)展迅速，容器、IaaS、PaaS、虛擬和彈性環(huán)境激增。在不同環(huán)境下，快速部署應(yīng)用程序和API成為了核心要求。DevOps的大行其道進(jìn)一步地加快了集成、部署和交付的速度，這使得需要獨(dú)立部署的WAF在靈活性上的欠缺成為其致命弱點(diǎn)。

　　05 業(yè)務(wù)邏輯漏洞愈發(fā)顯著：隨著各類框架的不斷成熟和完善，傳統(tǒng)的SQL注入、XSS等常規(guī)漏洞在Web系統(tǒng)中逐漸減少，而攻擊者更傾向于使用業(yè)務(wù)邏輯漏洞來進(jìn)行突破。所有應(yīng)用程序都是通過代碼邏輯來實(shí)現(xiàn)各種功能，即便是一個(gè)簡單的功能，都可能包含著復(fù)雜的業(yè)務(wù)邏輯操作，而這些邏輯就是一個(gè)攻擊面，但它通常會被忽略，這給攻擊者以可乘之機(jī)。

　　開啟應(yīng)用運(yùn)行時(shí)智能保護(hù)

　　引領(lǐng)下一代應(yīng)用安全防護(hù)

　　RASP（Runtime application self-protection，應(yīng)用運(yùn)行時(shí)自我保護(hù)）作為下一代應(yīng)用防護(hù)技術(shù)，在當(dāng)前應(yīng)用安全大環(huán)境下正大放異彩。RASP的出現(xiàn)，使應(yīng)用程序不依賴外部組件進(jìn)？運(yùn)？時(shí)保護(hù)，真正具備？我保護(hù)的能？，也即建？起應(yīng)？運(yùn)？時(shí)環(huán)境保護(hù)機(jī)制。面對應(yīng)用現(xiàn)代化，安全防護(hù)需要“左移”，推動安全戰(zhàn)略實(shí)現(xiàn)從“傳統(tǒng)基于邊界防護(hù)的安全”向“面向應(yīng)用現(xiàn)代化的內(nèi)生安全”模式轉(zhuǎn)變，RASP作為降低應(yīng)用風(fēng)險(xiǎn)的一項(xiàng)關(guān)鍵技術(shù)，必將加快企業(yè)數(shù)字化轉(zhuǎn)型，推動實(shí)現(xiàn)產(chǎn)品創(chuàng)新、供應(yīng)鏈優(yōu)化、業(yè)務(wù)模式創(chuàng)新和用戶體驗(yàn)的提升。

　　懸鏡安全在RASP技術(shù)原理的基礎(chǔ)上，結(jié)合自身獨(dú)有的專利級應(yīng)用漏洞免疫、運(yùn)行時(shí)安全切面調(diào)度、縱深流量學(xué)習(xí)等算法以及輕量級代碼疫苗技術(shù)，研發(fā)出基于運(yùn)行時(shí)情境感知技術(shù)的新一代應(yīng)用威脅免疫平臺——云鯊RASP自適應(yīng)威脅免疫平臺，并于2022年11月1日正式上線SaaS化版本，用戶無須部署、升級、維護(hù)，以零成本將主動防御能力“注入”到業(yè)務(wù)應(yīng)用中，借助強(qiáng)大的應(yīng)用上下文情景分析能力，可捕捉并防御各種繞過流量檢測的攻擊方式，提供兼具業(yè)務(wù)透視和功能解耦的內(nèi)生主動安全免疫能力，從而避免頻繁誤報(bào)造成防護(hù)無效，消減配置實(shí)現(xiàn)降本增效以及使應(yīng)用實(shí)時(shí)自我防護(hù)更加靈活高效。

　　以硬核科技堅(jiān)守長期主義

　　流水不爭先爭的是滔滔不絕

　　懸鏡首創(chuàng)的代碼疫苗技術(shù)，核心是把安全檢測和防護(hù)邏輯注入到運(yùn)行時(shí)的數(shù)字化應(yīng)用中，如同疫苗一般與應(yīng)用融為一體，使其實(shí)現(xiàn)對風(fēng)險(xiǎn)的自發(fā)現(xiàn)和對威脅的自免疫。作為智能代碼疫苗技術(shù)的核心，懸鏡函數(shù)級探針深鉤在應(yīng)用內(nèi)存上下文之中，僅需安裝一次，可支持IAST、RASP、SCA、API Fuzz、APM等應(yīng)用安全檢測響應(yīng)能力，真正實(shí)現(xiàn)All in one，One for all。作為國內(nèi)最早扎根在軟件供應(yīng)鏈安全領(lǐng)域的專精型廠商，懸鏡安全在DevSecOps理念誕生早期就已經(jīng)在探針技術(shù)的研發(fā)方面投入了大量的精力，至今已經(jīng)將探針技術(shù)發(fā)展成為了自身一大技術(shù)優(yōu)勢和壁壘。

　　正如近日，創(chuàng)始人子芽在受聘“騰訊云TVP技術(shù)專家”，接受采訪中提到的，懸鏡作為軟件供應(yīng)鏈安全領(lǐng)域的引領(lǐng)者，站在八周年的歷史新起點(diǎn)上，始終堅(jiān)定長期主義價(jià)值觀，堅(jiān)守PLG產(chǎn)品創(chuàng)新驅(qū)動價(jià)值增長的商業(yè)理念，擁抱變化，敏捷創(chuàng)新，在浩蕩奔涌的大變革環(huán)境下，穿越即將來臨的百年經(jīng)濟(jì)周期，將行業(yè)前沿性趨勢洞察、理論研究以及實(shí)踐成果積極與業(yè)界同仁分享，攜手更多生態(tài)伙伴，持續(xù)更好地為用戶提供基于下一代積極防御體系的軟件供應(yīng)鏈安全產(chǎn)品和服務(wù)。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<