边界无限入选行业首份 ADR 报告 比肩国际成唯一获推荐国内厂商

近日，中国数字产业领域第三方咨询机构数世咨询发布安全行业首份《ADR 能力白皮书》，通过系统研究 ADR 的关键能力以及使用场景等，为广大政企客户构建整体应用防护体系提供参考和借鉴。白皮书还推荐了 ADR 领域的代表性厂商，作为一家专注于技术创新突破的安全新锐公司，边界无限凭借其被喻为应用 "免疫血清" 的靖云甲 ADR 成为唯一被推荐的国内公司。该 ADR 能力白皮书在 CSA 大中华区组织的 CSA 研讨会上首次发布。

ADR 关键发现

应用检测与响应（Application Detection and Response-ADR）是指以 Web 应用为主要对象，采集应用运行环境与应用内部中用户输入、上下文信息、访问行为等流量数据并上传至分析管理平台，辅助威胁情报关联分析后，以自动化策略或人工响应处置安全事件的解决方案。

ADR 以 Web 应用为核心，以 RASP 为主要安全能力切入点。

作为安全关键基础设施，ADR 能够与 WAF、HDR、IAST 等多个安全能力形成有机配合。

ADR 的五大关键技术能力：探针（Agent）、应用资产发现、高级威胁检测、数据建模与分析、响应阻断与修复。

对 0day 漏洞、无文件攻击等高级攻击威胁的检测与响应已经成为 ADR 的关键能力之一。

ADR 厂商将与公有云厂商、各行业云厂商建立更加深入的合作关系，逐步加快 ADR 在各行业的集中部署。

ADR 赛道国内外代表企业

Araali Network

Araali Network 是今年 RSAC2022 的创新沙盒 10 强，关注云原生场景下的应用运行时安全。其安全理念、技术框架、产品功能与本文提出的 ADR 十分相符。

举例来说，Araali 首先会对应用的运行时环境进行持续扫描监测，以评估固有风险并确定其优先级。它会自动检测最易受攻击的应用程序、最有价值的应用程序，它还会查找具有过多特权、未使用的开放端口、磁盘上的密钥、特权过高的 IAM 配置，以分析潜在的攻击暴露面，逐步形成应用的安全运行基线。

在 "检测" 环节，Araali 使用基于 eBPF 的控件来创建基于身份的行为模型，对出站的请求进行检测分析，并与外部威胁情报结合，在网络流程层面对恶意连接进行分析阻断。一旦发现可疑行为，Araali 会将时间、客户端、服务、状态等完整上下文信息一同推送给安全运营团队，功能上甚至允许运营团队 "重放" 触发告警的行为动作，方便团队参考上下文顺序进行进一步关联分析。

在后续的 "响应" 部分，运营团队除了对事件中的单点威胁进行阻断外，还通过自动化、自适应的 "弹性补丁" 对风险点进行加固修复。这一部分能力，也是通过 eBPF 来实现。

基于上述能力，Araali 实现了对 0day 漏洞的预防护。弹性补丁可以直接巩固强化应用的行为，从而防止潜在的利用 0day 入侵的威胁。官方宣称 "一次响应，永久预防"。

针对 0day 等高级威胁的检测能力，以及不中断业务、弹性补丁等贴合用户实际需求的优势，是数世咨询将 Araali 列入代表企业的原因。

Reveal Security

同数世咨询一样，Reveal Security 也明确提出了 ADR 应用检测与响应的理念

它认为，网络、终端、操作系统以及用户行为等维度，均已经有成型的安全检测与响应技术，但在应用层仍缺少有效的检测与响应手段，ADR 应需而生。

Reveal 的核心技术理念，以分析用户访问应用的行为上下文为出发点，代替基于规则的应用安全检测，目的是提升应用检测的准确率，为之后的响应环节提供高效支撑。

在实现上，它放弃了之前只分析某个行为本身的做法，改为分析用户在应用中的一系列行为。通过行为上下文，找出不同于正常访问行为的异常特征 session，进而发现潜在威胁。

Reveal 强调并非要找到一个适用于所有用户的通用性行为，而是要通过机器学习形成针对每个用户的行为基线，因此，它会尽量多的获取各类日志信息，以聚类数据引擎对各类分组数据进行调度与分析，逐步形成用户的行为基线，进而发现异常威胁行为。

据 Reveal 宣称，其检测模型具有非常广泛的适应性，不依赖于应用中某个具体的运行环境。同时它的聚类分析引擎并不需要准确集群数量的先验知识，仍能保持准确性。

对应用行为数据的聚类分析，是 RevealSecurity 的亮点优势，也是 ADR 所需的关键能力之一，这也是数世咨询将其列入代表企业的原因。

边界无限（BoundaryX）

边界无限作为国内新成立的安全创新企业，其团队核心成员来自腾讯玄武实验室和头部安全公司，具备很高的攻防起点，因此，0day、内存马等高级威胁检测场景是其 RASP 产品的优势之一，据了解，Log4j、Spring4shell 等高危漏洞爆发时，他们的 RASP 产品靖云甲都成功检测并进行了拦截。

基于 RASP 技术，凭借攻防基因与技术优势，边界无限完善了应用运行时全流程全周期的安全防护能力，加入了多场景业务适配、虚拟补丁、编排模式等检测与响应能力。依托这些能力，用户可以快速聚焦攻击者，定位缺陷应用，进而提升团队的 MTTD / MTTR 时效。

具体以应用资产盘点能力举例来说，该能力以实战攻防演练为主要场景、以攻击面收敛为主要目的，除了常见的第三方组件库等应用资产，对应用间的 API 资产也能够持续发现与管理，对南北向之外的东西向流量，都可以做到覆盖与识别，进而梳理清楚应用间的访问关系。

今年，边界无限也提出了应用检测与响应 ADR 的理念，与数世咨询不谋而合。作为国内少有的 ADR 代表企业之一，数世咨询会对其持续关注。

边界无限靖云甲 ADR

诚如数世咨询 ADR 能力白皮书中所述，目前国内相关领域企业数量并不多，只有个别企业明确提出了 ADR 这一概念，而边界无限就是这么一家将 RASP 技术提升至 ADR 的安全新锐，并凭借超强的技术前瞻性和对 ADR 的专注而入选 ADR 能力白皮书，并且成为国内唯一被推荐的 ADR 代表厂商，其自主研创的靖云甲 ADR 更是被业界称为应用的 "免疫血清"。

边界无限副总裁、产品总负责人沈思源介绍说，靖云甲 ADR 基于 RASP 技术，以 Web 应用为核心，以 RASP 为主要安全能力切入点，打造 Web 应用全方位安全检测与响应的解决方案，是边界无限帮助用户构建云原生时代安全基础设施体系的起点和战略支点，更是 "灵动智御" 理念的实践。靖云甲 ADR 引入多项前瞻性的技术理念，通过对应用风险的持续检测和安全风险快速响应，帮助企业应对来自业务增长、技术革新和基础设施环境变化所产生的等诸多应用安全新挑战。

边界无限靖云甲 ADR 拥有资产管理、入侵检测、漏洞管理和内存马防御等核心功能，具备免重启、采样决策分离、IT 部署架构、性能全面领先等核心优势，其应用场景为业务在线修复、实战攻防演练、恶意应用攻击和集团应用安全建设能力等。

具体来说，在流量安全层面，边界无限靖云甲 ADR 基于网格化流量采集，通过联动应用端点数据、应用访问数据，高效准确防御 0day 漏洞利用、内存马注入等各类安全威胁；在数据安全方面通过数据审计、治理、脱敏等安全技术，有效实现数据安全风险态势的把控。在为企业提供全面的应用安全保障的同时，ADR 通过虚拟补丁、漏洞威胁情报、访问控制等运营处置手段，有效提高安全运营的事件处置效率。这顺应了时下流行的安全技术趋势，也满足了广大政企客户的现实安全需求。

边界无限靖云甲 ADR 拥有精准细化的资产清点、紧跟形式的安全研究、海量可靠的漏洞运营、轻量无感的性能损耗等优点，尤其是在应用资产管理、供应链安全、API 资产学习层面，表现优异。靖云甲 ADR 跨 IT 架构统计应用资产，实现安全能力同步管控，为应用提供安全风险评估；动态采集应用运行过程中的组件加载情况，快速感知资产动态，全面有效获知供应链资产信息；自主学习流量 + 应用框架，具体来说，靖云甲 ADR 会通过插桩对应用内部框架定义的 API 方法以及应用流量进行 API 全量采集，同时利用 AI 检测引擎请求流量进行持续分析，自动分析暴露陈旧、敏感数据等关键问题。

此外，边界无限靖云甲 ADR 采用 "主被动结合" 双重防御机制，对外基于 RASP 能力对内存马的注入行为进行有效防御，对内通过建立内存马检测模型，通过持续分析内存中存在的恶意代码，帮助用户解决掉埋藏内存中的 "定时炸弹"。针对内存中潜藏的内存马，靖云甲 ADR 提供了一键清除功能，可以直接将内存马清除，实现对内存马威胁的快速处理。靖云甲 ADR 还可以通过主动拦截 + 被动扫描，有效阻断内存马的注入；对已经被注入的内存马提供源码和特征检测信息，无需重启应用即可一键清除。另外，靖云甲 ADR 采用 "attach" 等方式注入 agent，无需重启直接更新，以减少对业务运行的干扰。

截至目前，边界无限已与关键基础设施重要行业和领域的数十家客户达成业务合作，相信随着 RASP 以及 ADR 技术的进一步成熟，边界无限将帮助各运营单位构建关键信息基础设施整体应用防控体系，不断提升关键信息基础设施安全应用防护能力。