【51CTO.com原創(chuàng)稿件】2016年即將過去，回顧今年的網(wǎng)絡(luò)安全領(lǐng)域比較新的技術(shù)詞，筆者首先想到了自適應(yīng)安全。一直以來，筆者對(duì)自適應(yīng)安全一知半解，總想弄個(gè)明白。目前，我國在自適應(yīng)安全方面才剛剛起步，筆者了解到現(xiàn)在專注自適應(yīng)安全的廠商主要有青藤云安全、OneASP、睿石網(wǎng)絡(luò)等網(wǎng)絡(luò)安全廠商。于是，近日筆者采訪了OneASP首席安全顧問何迪生。

[[180561]]

OneASP首席安全顧問何迪生

采訪地點(diǎn)約到了OneASP公司會(huì)議室，會(huì)議室的整體布局桌椅擺放很像一個(gè)課堂。特別是當(dāng)采訪正式開始之后，筆者的這種感覺更為強(qiáng)烈。在會(huì)議室等了幾分鐘后，我見到了何迪生。與我所猜想的不同，他并沒有我想象中的那種嚴(yán)肅，很是和藹可親。互換名片自我介紹之后，我們自然而然的就聊了起來。

何迪生是誰?

何迪生畢業(yè)于加拿大滑鐵盧大學(xué)，擁有統(tǒng)計(jì)學(xué)/計(jì)算機(jī)科學(xué)學(xué)士以及精算學(xué)碩士學(xué)位。畢業(yè)后的十幾年，他基本都在北美洲工作。后因家庭原因回到國內(nèi)發(fā)展，先后擔(dān)任香港警署“防犯罪技術(shù)部”安全咨詢顧問，信息系統(tǒng)安全協(xié)會(huì)(ISSA)香港分會(huì)總裁，國際信息系統(tǒng)審計(jì)和控制協(xié)會(huì)(ISACA)北京事務(wù)委員會(huì)主席，WTO第六次部長會(huì)議的首席安全咨詢師。并于2008年，擔(dān)任北京奧運(yùn)會(huì)奧運(yùn)城市運(yùn)行指揮平臺(tái)的安全顧問，也正是這次機(jī)遇讓他和北京結(jié)下了不解之緣。

何迪生說自己的事業(yè)一直沒有離開安全，OneASP是他的另外一個(gè)起點(diǎn)。曾經(jīng)他思考過在未來的十年，二十年后自己會(huì)在哪里，答案是中國。在希望將自己的知識(shí)和能力服務(wù)于中國的網(wǎng)際安全，為中國的本地安全體系建設(shè)貢獻(xiàn)自己的一份力量。

之所以選擇進(jìn)入OneASP，源于好友OneAPM副總裁林元宏的邀請。通過與OneAPM董事長何曉陽的接觸，以及后期的對(duì)公司的深入了解。對(duì)于未來應(yīng)用層安全未來防御體系建設(shè)的看法，何迪生心中的想法與OneASP的發(fā)展規(guī)劃高度一致。

他是這樣介紹為建立下一代安全體系所做的事情的

聊到為建立下一代安全體系所做的事情，專注的那些安全技術(shù)。何迪生走向?qū)懽职?，開始從自適應(yīng)安全，到OneASP選擇做應(yīng)用層安全防護(hù)的初衷，再到產(chǎn)品技術(shù)細(xì)節(jié)，耐心地為我講解起來。

首先，對(duì)于自適應(yīng)安全這個(gè)概念，他解釋到，自適應(yīng)安全 (Adaptive Security) 是Gartner于2014年提出的面向下一代的安全體系，其最突出的特點(diǎn)就是“智能、自動(dòng)化”，該理念認(rèn)為云時(shí)代的安全服務(wù)應(yīng)以持續(xù)監(jiān)控和行為識(shí)別為核心引擎，覆蓋預(yù)測、防御、監(jiān)控、回溯四個(gè)周期，可自適應(yīng)于不同基礎(chǔ)架構(gòu)和業(yè)務(wù)變化并形成統(tǒng)一安全策略，從而應(yīng)對(duì)未來更隱秘、專業(yè)的高級(jí)攻擊。自適應(yīng)安全在國內(nèi)還是一個(gè)比較新的概念,需要業(yè)界共同努力才能達(dá)到”安全自適應(yīng)”應(yīng)該達(dá)到的標(biāo)準(zhǔn).

其次，他指出，一方面，棱鏡門事件之后，我國信息安全已經(jīng)上升至國家戰(zhàn)略高度。然而政府在信息安全方面的投入主要集中在網(wǎng)絡(luò)層和主機(jī)層的防護(hù)上，諸如：防火墻、IDS/IPS、AV、主機(jī)加固及補(bǔ)丁管理等。然而，與網(wǎng)絡(luò)層和主機(jī)層安全相比，如今更多的入侵者選擇應(yīng)用層為突破口，攻擊手段隱秘且防不勝防。SQL注入、跨站腳本攻擊 (XSS)、跨站請求偽造(Cross-site request forgery )都是攻擊者常采用的攻擊方式，他們通過SQL注入盜取用戶數(shù)據(jù)，通過“HTML注入”篡改網(wǎng)頁、插入惡意的腳本控制用戶瀏覽器……

另一方面，目前傳統(tǒng)的處理應(yīng)用層的安全問題的產(chǎn)品和方案都是以WAF(Web Application Firewall)為主，但是WAF對(duì)于管理人員的技術(shù)水平要求較高。而我國甚至全球的安全人才極為稀缺。有關(guān)調(diào)查顯示，我國每年對(duì)于安全人才的需求達(dá)到100萬，但實(shí)際人才輸出僅有2萬，有高達(dá)98% 的缺口。因此，由于策略配置的不妥當(dāng)帶來的誤殺誤報(bào)現(xiàn)象也就十分嚴(yán)重。

據(jù)Gartner 報(bào)告顯示，超過80%的網(wǎng)絡(luò)攻擊都發(fā)生在應(yīng)用層。然而國內(nèi)現(xiàn)有的安全防護(hù)方案，大多是基于數(shù)據(jù)流做防護(hù)，無法深入應(yīng)用內(nèi)部，由此帶來的誤殺誤報(bào)率很高。

所以，OneASP選擇了RASP(RuntimeApplication Self-Protection，實(shí)時(shí)應(yīng)用自我保護(hù))這個(gè)細(xì)分領(lǐng)域探索。OneASP也是國內(nèi)第一家做RASP的創(chuàng)業(yè)公司。

緊接著，他解釋說，RASP是由Gartner 分析師Feiman在2014年9月提出的一種全新概念，它能夠與應(yīng)用一起運(yùn)行，結(jié)合應(yīng)用的邏輯和數(shù)據(jù)流，在運(yùn)行時(shí)對(duì)訪問應(yīng)用的代碼進(jìn)行檢測;對(duì)于已知漏洞打虛擬補(bǔ)丁，起到補(bǔ)償控制的作用。該技術(shù)已成為目前業(yè)界已知的對(duì)SQL注入防護(hù)最高的一種手段，國外的廠商有Prevoty, Waratek等。例如：針對(duì)XSS攻擊，RASP定制了針對(duì)XSS攻擊的規(guī)則集和防護(hù)類，然后采用Java字節(jié)碼技術(shù)，在被保護(hù)的類被加載進(jìn)虛擬機(jī)之前，根據(jù)規(guī)則對(duì)被保護(hù)的類進(jìn)行修改，將防護(hù)類織入到被保護(hù)的類中，從而有效地抵御 XSS 這種攻擊。

最后，他介紹說，基于RASP的OneASP安全平臺(tái)集成了預(yù)測、預(yù)防、檢測和響應(yīng)的能力為用戶提供精準(zhǔn)、持續(xù)、可視化的安全防護(hù)。目前，OneASP 能夠提供 SaaS 模式和本地化部署模式，客戶主要集中在電商、金融、互聯(lián)網(wǎng)金融等領(lǐng)域。OneRASP的優(yōu)勢主要體現(xiàn)在：一是，傳統(tǒng)的安全產(chǎn)品無法進(jìn)入應(yīng)用內(nèi)部及時(shí)發(fā)現(xiàn)并阻止攻擊，誤殺誤報(bào)率高，而RASP 探針像一劑疫苗注入到應(yīng)用中，以虛擬補(bǔ)丁的形式存在，賦予其自身免疫能力，在應(yīng)用被完全修復(fù)前降低應(yīng)用被攻擊的可能。二是，OneRASP操作簡單，降低了對(duì)運(yùn)維管理人員的技術(shù)水平要求。相對(duì)于傳統(tǒng)的安全解決方案，還可幫助用戶節(jié)省其在安全層面的費(fèi)用支出。

那么，未來RASP是否會(huì)替代WAF呢?他表示，RASP技術(shù)并不會(huì)完全取代WAF。并提議，在應(yīng)用層采用 Defense-In-Depth (DID)安全縱深防御體系這個(gè)概念，即應(yīng)用層安全縱深防御體系 (AppSec DID)，分成應(yīng)用層周邊與內(nèi)部兩個(gè)部分，周邊用WAF，內(nèi)部用RASP，將兩者結(jié)合集成起來將會(huì)把監(jiān)控與防御做得更好。

采訪結(jié)束，筆者問及2017年OneAsp的發(fā)展目標(biāo)與規(guī)劃。

何迪生回答說：“2017年，我們不僅會(huì)把RASP技術(shù)運(yùn)用好，還計(jì)劃針對(duì)應(yīng)用層做一個(gè)輕量級(jí)自動(dòng)化的整體防護(hù)架構(gòu)，力求幫助用戶更好的把控應(yīng)用層的不同安全風(fēng)險(xiǎn)。最主要的是，我們會(huì)以服務(wù)的態(tài)度幫助客戶解決安全問題，獲取客戶認(rèn)同是我們的發(fā)展動(dòng)力。我們也一直在用踏實(shí)的行動(dòng)，努力打造一家‘絕對(duì)可信賴’的安全服務(wù)企業(yè)形象，以提供易用可靠的安全服務(wù)為主的企業(yè)，而不是只賣安全產(chǎn)品的公司。”

附：OneASP與OneAPM的關(guān)系

OneAPM，即北京藍(lán)海訊通科技股份有限公司，是中國基礎(chǔ)軟件領(lǐng)域的新興領(lǐng)軍企業(yè)。專注于提供新一代 ITOM(IT 運(yùn)維管理)軟件和服務(wù)。2016年8月15日，正式掛牌新三板(股票代碼 838699)。OneAPM 是全球首家可以同時(shí)從系統(tǒng)服務(wù)層、應(yīng)用層、用戶體驗(yàn)層、業(yè)務(wù)交易層提供性能管理服務(wù)的公司。經(jīng)過8年的技術(shù)與產(chǎn)品積累與沉淀，已經(jīng)能夠提供本地化部署和 SaaS 部署模式，支持所有主流的編程語言和框架。

OneASP 是北京藍(lán)海訊通科技股份有限公司旗下的獨(dú)立公司。OneRASP屬于OneASP應(yīng)用安全的一個(gè)產(chǎn)品線。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處為51CTO.com】