2025年业务应用与数据安全防护指南报告
AI智能总结
前言01 02数字化发展带来的变化01 1.1 数字化业务应用倍增1.2 安全也逐步适应变化1.3 应用数据安全受关注020204 05应用数据安全困境风险02 2.1 应用数据安全面临的困境2.2 应用面临的十大安全风险0506 08应用数据安全防护方案03 09113.1 RASP具体方案3.2 RASP vs WAF 12应用数据安全具体能力04 4.1 应用“攻击”威胁防护4.2 应用“业务”安全治理4.3 应用“数据”全景防护121415 17应用数据安全场景案例05 1718195.1 某金融企业提升应用侧攻击防护能力5.2 某企业完善数据链成功发现0day攻击5.3 某运营商解决外采商业软件安全问题 前言 应用程序是数字时代的业务基础。业务应用不仅仅是企业运营的工具,更是企业与客户互动、数据交换的平台。对于攻击者来说,应用就好比金库,其中包含重要的业务和用户数据,虽然金库使用了最坚固的材料和武装齐全的安保,但是只要正常开展业务,就一定会出现安全漏洞。在巨大的收益诱惑下,攻击者会不惜一切代价去寻找抢劫金库的方法。据报道,84%的安全事件发生在应用程序层。因此,保护业务应用和数据安全成为企业数字化过程中的重要任务。 数字化发展带来的变化 数字化发展正深刻改变着各行业企业的运营模式和业务流程,带来了业务应用的倍增,同时也使得应用数据安全成为关注的焦点。 1.1 数字化业务应用倍增 在当今数字化时代,不论开展怎样的工作、完成什么样的任务,都离不开数字化应用的支撑与实现,应用程序已经成为企业业务不可或缺的一部分。一项完善的数字化业务,通常是由多个不同功能的应用程序通过API来进行配合构成的。然而,随着应用程序规模的不断扩大和攻击手段的不断演化,应用安全问题愈发凸显,越来越多的攻击事件不断威胁企业业务运行和数据安全。整体来看,数字化发展给企业主要带来以下变化。 海量数据产生 运维形态变迁 应用数量暴增 企业上云与大量中间件产品的采用,管理对象呈现出类别多样、虚实融合的新现象。 根据咨询机构IDC预测,到2025年全球将创建7.5亿个云原生应用程序。 根据咨询机构IDC预测,2027年全球新产生的数据量将达到291ZB,近乎2022年的3倍。 随着云计算、移动互联网和物联网等新技术的发展,应用程序面临的攻击面也在不断扩大。此外,近年来恶意软件、零日漏洞等高级威胁的兴起,对应用程序安全提出了更高要求。国家互联网应急中心(CNCERT)发布《2021年上半年我国互联网网络安全监测数据分析报告》中的数据显示,2021年上半年,国家信息安全漏洞共享平台CNVD)收录通用型安全漏洞13083个,其中:“零日”漏洞数量占比54.3%,同比增长55.1%;Web应用漏洞的影响持续上升,占比达29.6%。 1.2 安全也逐步适应变化 随着数字化业务的快速发展,安全领域也在不断适应新的变化。企业通过综合运用多种安全技术并不断增加安全投入,构建了一个多层次、全方位的安全防护体系,以应对不断演变的安全威胁。 1.在安全技术方面 在安全技术方面,安全防御逐步从传统的网络边界安全,深入到终端设备安全和业务应用安全,确保了企业能够在数字化时代中安全地运营和发展。 终端设备安全 业务应用安全 网络边界安全 EDR、HIDS等产品提供了工作负载层面的安全指标监测。 RASP、IAST等产品补足了安全治理在业务层的视角缺失。 防火墙、IPS等产品构筑了网络网关侧的第一堵墙。 随着企业安全建设的不断深入,应用安全可以让企业更好的从业务视角看待安全问题,守护攻击者触及业务时的最后一道防线。 在整体安全架构中,应用安全是最贴近业务的安全,它直接关联到业务运营。应用安全不仅关注技术层面的防护,更注重从业务角度出发,识别和治理安全风险。它保护的是企业的核心资产⸺业务应用和数据,确保它们在遭受攻击时能够保持安全和稳定。因此,应用安全对于维护企业的整体安全运营至关重要。 2.在安全投入方面 在安全投入方面,市场提供了各种解决方案帮助企业提高其应用程序的安全性并确保其跟上不断变化的威胁形势。应用安全主要分为两个细分市场:应用程序安全扫描工具和运行时保护工具。统计发现,随着数字化发展,应用数量迅速增长,安全威胁不断演进,企业在应用安全支出方面也在不断上升。 据Gartner预测,到2025年生成式人工智能(GenAI)将促使企业网络安全投入激增,其中应用程序和数据安全支出将增加15%以上。 1.3 应用数据安全受关注 在数字化业务中,应用与数据安全的关系变得尤为紧密,它们共同构成了企业信息安全的核心。应用层面的安全措施直接关系到数据的安全与完整性,而数据层面的保护策略也影响着应用的稳定性与可靠性。 近年来,应用与数据安全备受关注,各种政策措施不断出台。2022年12月,《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(简称“数据二十条”)对外发布。2023年10月国家数据局正式揭牌,这标志着我国对于数据的重视与保护进入全新阶段,数据要素市场制度进一步完善,是中国数据领域的一项重大改革。2024年4月1日召开的首次全国数据工作会议,强调了数据标准化实施的重要性。会议提出了数据标准化的流程和方法,旨在解决标准从制定到落地的全过程管理。这不仅包括标准的制定和发布,更重要的是确保这些标准能够在实际工作中得到有效执行。 应用与数据安全的关系是相辅相成的。应用层面的防护是确保数据安全的关键,而数据安全的政策和标准则为应用防护提供了指导和支持。确保应用安全不仅能够保护企业和个人的数据资产,还能够促进数字经济的健康发展。 应用数据安全困境风险 行业研究报告表明,攻击者经常利用应用程序中的弱点和软件漏洞作为入侵的突破口。这是因为应用程序通常直接处理敏感数据,如个人信息、财务数据和知识产权,使其成为有价值数据的宝库。此外,应用程序的复杂性和不断变化的更新增加了漏洞风险,这些漏洞可能被攻击者利用来窃取数据、破坏服务或执行恶意操作。 随着现代Web应用程序的发展,攻击者用来破坏应用程序安全性的技术也在不断演进。这无疑给企业安全防御带来更大的挑战。 2.1 应用数据安全面临的困境 在当今技术环境中,确保应用安全变得越来越具有挑战性。一方面,应用依然潜藏风险。无论是外部威胁的不断增加,还是内部业务缺陷的持续积累,都在时刻让运行的应用处于风险态。无法打补丁的老旧系统持续暴露攻击面,不规范的业务调用也随时可能成为数据泄露的诱因。另一方面,数据治理缺乏抓手。应用作为数据产生和流转的中心,将成为数据治理关注的核心焦点。不知道数据在业务中如何产生、如何流转,就无法将数据安全合规落地到业务实处。整体来看,应用数据安全困境主要表现在以下几个方面。 传统安全更多架设在边界,云环境下边界的概念模糊,传统安全无法发挥作用。需要将安全深入到应用层级,为应用程序提供全生命周期的动态安全保护,为云时代应用安全提供安全保障。 云环境业务增多 大部分 Web 应用都走 HTTPS,因此应用侧的流量往往都是加密流量,检测攻击效果差。需要在应用侧也有获取流量的手段,避免因为加密导致的无法有效检测问题,并获取东西向的流量补充数据资产信息。 加密流量难检测 传统工具基于已有规则库进行对抗,无法有效应对 0Day 攻击,同样对内存马也无法防护。应用内部作为最后一道防线,需要监控应用中的行为,从攻击诱发的行为进行检测和拦截,才能摆脱传统对抗的困境。 高级威胁无防护 数据链路不完整 2.2 应用面临的十大安全风险 随着应用程序的发展和新形式的出现,攻击者也不断适应新技术和新环境。开放式Web应用程序安全项目(OWASP)十大威胁列表,展示了最有可能影响应用程序安全的风险。 1. 失效的访问控制 2.加密失败 失效的访问控制,也叫越权,指的是在未对通过身份验证的用户,实施恰当的访问控制。攻击者可以利用这一漏洞,访问未经授权的功能或数据。 加密失败(以前称为“敏感数据泄露”)是指数据在传输和静止时未得到适当保护。它可能会泄露密码、敏感信息和个人数据。 3.注入 4.不安全的设计 注入漏洞使攻击者能够向应用程序解释器发送恶意数据,导致这些数据在服务器上被编译和执行。SQL 注入是一种常见的注入形式。 不安全的设计涵盖了许多由于安全控制无效或缺失而导致的应用程序漏洞。没有基本安全控制的应用程序无法抵御关键威胁。 5.安全配置错误 6.易受攻击和过时的组件 常见的安全配置错误包括云服务权限配置不当、启用或安装不需要的功能、使用默认密码或管理员账户、XML 外部实体 (XXE) 漏洞等。 易受攻击和过时的组件(以前称为“使用具有已知漏洞的组件”)包括使用任何过时或不受支持的软件而导致的漏洞。 7.认证和授权失败 8.软件和数据完整性故障 软件和数据完整性故障可能发生在软件更新、敏 感 数 据 修 改 以 及 任 何 未 经 验 证 的CI/CD 管道更改期间。 认证和授权失败(以前称为“身份验证失败”)包括与用户身份相关的任何安全问题。通俗地说,该漏洞会导致攻击者使用用户的用户名和密码进行填充,从而入侵系统。 9.安全日志记录和监控失败 10.服务器端请求伪造 安全日志记录和监控失败(以前称为“日志记录和监控不足”)指的是在没有日志记录和监控时,将无法检测到漏洞,此类故障会直接影响可见性、事件报警和取证。 当应用在从远程资源提取数据并未验证用户输入的 URL 时,就会发生服务器端请求伪造(SSRF) 漏洞。 应用数据安全防护方案 当前市场上已经有不少应用安全工具,主要分为安全测试工具和运行时保护工具,它们在应用程序生命周期的不同阶段发挥不同作用。安全测试工具的目标是预防,用于在应用程序开发时修复漏洞,主要工具包括SAST(静态应用程序安全测试)、DAST(动态应用程序安全测试)、IAST(交互式应用程序安全测试)、SCA(软件组成分析)。运行时保护工具是在应用程序运行时执行保护功能,这些工具会实时做出反应以防御攻击。运行时保护工具主要包括WAF(Web应用程序防火墙)和RASP(运行时应用程序自我保护)。 需要强调的是,运行时保护工具不是安全测试工具的替代品,而是针对运行时应用程序提供的额外保护层。这些应用安全工具中的每一种都有自己的特点和功能,以及各自的优缺点。没有一种工具可以成为对抗恶意攻击者的灵丹妙药。企业需要分析其特定需求,并选择最能支持其应用程序安全策略和战略的工具。 随着应用程序和软件开发日益复杂化,在软件开发和部署的整个生命周期中,构建一个全方位的解决方案,保护应用程序免受安全威胁至关重要。企业在软件开发部署阶段,可以通过各种安全测试工具减少漏洞,同时在运行时通过RASP保护应用安全,避免运行时的安全威胁。 3.1 RASP具体方案 随着企业数字化业务的快速发展,应用和数据面临的安全挑战也日益增多。RASP作为新一代应用安全技术,因其高度的可观察性、精确的威胁检测与阻断能力、便捷部署方式、良好扩展性,以及能够很好满足监管合规要求,成为了应用安全不可缺少的防护产品。 1.RASP的重要性 传统的网络边界安全措施,如防火墙、IPS等,只从外部来检测漏洞。然而,外部视角并不能提供足够的上下文信息,帮助精准地识别漏洞。因此,传统边界安全措施已不能完全满足当前的安全需求。RASP通过插桩技术直接嵌入到应用程序内部,从内部视角监控应用程序更深入、更精确,实现了对软件代码的实时保护。与传统的边界防御不同,RASP能够在应用程序运行时提供高度精确的事件监控和分析,无需依赖于可能存在误差的模型预测,因此RASP提供的准确性和主动性是传统工具和解决方案无法比拟的。 通过插桩技术从内部保护应用安全的产品主要有RASP和IAST。但两者适用的阶段和目标不同。IAST主要在开发测试阶段发挥作用,它能够自动地发现应用和API的漏洞,这样可以在开发过程早期就进行修复,成本不会
