信息科技審計(jì)分會(huì)年會(huì)召開,基調(diào)聽云安全事業(yè)部總經(jīng)理盧中陽受邀演講
2024年12月18日,由中國計(jì)算機(jī)用戶協(xié)會(huì)指導(dǎo),中國計(jì)算機(jī)用戶協(xié)會(huì)信息科技審計(jì)分會(huì)主辦的“信息科技審計(jì)分會(huì)2024年會(huì)暨信息科技風(fēng)險(xiǎn)管理與審計(jì)(ITGRA)論壇”在北京召開。
為了針對(duì)當(dāng)前金融行業(yè)面臨的安全挑戰(zhàn),提供一個(gè)高層次的溝通與合作平臺(tái)。通過行業(yè)內(nèi)頂尖機(jī)構(gòu)的深度交流與合作,推動(dòng)金融應(yīng)用系統(tǒng)安全管理水平的提升,保障金融業(yè)務(wù)的安全穩(wěn)定運(yùn)行,維護(hù)金融市場的健康發(fā)展,大會(huì)設(shè)置了金融應(yīng)用系統(tǒng)安全管理論壇(2024)。
中國農(nóng)業(yè)銀行、中國建設(shè)銀行、光大銀行、恒豐銀行、江蘇銀行、銀河證券、泰康保險(xiǎn)集團(tuán)等金融行業(yè)翹楚的信息化代表齊聚一堂。
基調(diào)聽云安全事業(yè)部總經(jīng)理盧中陽以“下一代運(yùn)行時(shí)安全技術(shù)方案探討——ASPM應(yīng)用安全態(tài)勢管理平臺(tái)”為題,發(fā)表了精彩演講,與現(xiàn)場與會(huì)嘉賓就技術(shù)、產(chǎn)品相關(guān)問題展開深入交流,獲得現(xiàn)場與會(huì)嘉賓的一致好評(píng)。
盧中陽,原烏云社區(qū)核心白帽黑客,在應(yīng)用安全、DevSecOps等領(lǐng)域擁有十年以上工作經(jīng)驗(yàn)。
2020年創(chuàng)立火線安全,任聯(lián)合創(chuàng)始人兼CTO,主導(dǎo)研發(fā)并推出了全球首款開源的交互式應(yīng)用安全測試產(chǎn)品洞態(tài)IAST,已在全球20多個(gè)國家實(shí)現(xiàn)實(shí)際落地部署應(yīng)用。現(xiàn)任基調(diào)聽云安全事業(yè)部總經(jīng)理,全面負(fù)責(zé)基調(diào)聽云安全產(chǎn)品的研發(fā)與產(chǎn)品工作,主導(dǎo)推出了國內(nèi)首款應(yīng)用安全態(tài)勢管理產(chǎn)品安云ASPM。
盧中陽首先分析了當(dāng)前應(yīng)用安全領(lǐng)域面臨的挑戰(zhàn):
1. 漏洞數(shù)量激增:從2014年到2024年,應(yīng)用相關(guān)的漏洞占比接近80%,主要原因包括應(yīng)用更新頻繁、組件復(fù)雜度增加、以及底層系統(tǒng)升級(jí)導(dǎo)致的新漏洞不斷出現(xiàn)。
2. 0-day 漏洞威脅:未知漏洞在未修復(fù)前對(duì)企業(yè)系統(tǒng)構(gòu)成巨大風(fēng)險(xiǎn),傳統(tǒng)安全設(shè)備難以及時(shí)識(shí)別和應(yīng)對(duì)。
3. 傳統(tǒng)安全產(chǎn)品的局限性:
WAF(網(wǎng)絡(luò)應(yīng)用防火墻):
雖然能檢測已知攻擊,但對(duì)未知攻擊和細(xì)粒度防護(hù)能力不足。
RASP(運(yùn)行時(shí)應(yīng)用自我保護(hù)):
部署和維護(hù)成本高,對(duì)業(yè)務(wù)性能有影響,且需要深度依賴開發(fā)團(tuán)隊(duì)支持。
為了有效應(yīng)對(duì)以上挑戰(zhàn),基調(diào)聽云推出了全新的 ASPM(應(yīng)用安全態(tài)勢管理)理念,即通過可觀測性、應(yīng)用性能管理與應(yīng)用安全相結(jié)合,實(shí)現(xiàn)深層次的應(yīng)用運(yùn)行時(shí)安全防護(hù)。
● 結(jié)合可觀測性平臺(tái)的優(yōu)勢:通過擴(kuò)展現(xiàn)有的可觀測性 Agent,無需額外部署安全 Agent,實(shí)現(xiàn)對(duì)安全數(shù)據(jù)的采集和分析,降低成本和維護(hù)難度。
● 多階段威脅識(shí)別:
· 攻擊探測階段:識(shí)別異常請(qǐng)求、惡意掃描等行為,捕獲攻擊前兆。
· 攻擊執(zhí)行階段:檢測惡意代碼執(zhí)行、SQL 注入、內(nèi)存泄露等實(shí)際攻擊行為。
· 數(shù)據(jù)泄露階段:監(jiān)控敏感數(shù)據(jù)訪問和傳輸,防止數(shù)據(jù)外泄。
● API 資產(chǎn)梳理:通過 Agent 在應(yīng)用啟動(dòng)階段一次性采集全量 API 資產(chǎn),解決傳統(tǒng)基于流量和網(wǎng)關(guān)無法準(zhǔn)確覆蓋 API 資產(chǎn)的盲點(diǎn)。
● 快速溯源與響應(yīng):利用可觀測性平臺(tái)的實(shí)時(shí)數(shù)據(jù)和上下文信息,幫助安全團(tuán)隊(duì)快速定位問題源頭,提升響應(yīng)效率。
● 業(yè)務(wù)風(fēng)險(xiǎn)監(jiān)測:基于聽云可觀測平臺(tái)精準(zhǔn)的用戶和用戶行為數(shù)據(jù),ASPM 可實(shí)現(xiàn)入撞庫、爬蟲、越權(quán)訪問敏感信息等業(yè)務(wù)風(fēng)險(xiǎn)監(jiān)測。
一家位于上海的公司在完成了整個(gè)安全防護(hù)體系的建設(shè)后,在攻防演練過程中發(fā)現(xiàn)類似內(nèi)存馬等無文件攻擊可輕松繞過現(xiàn)有防護(hù)體系,這種攻擊在流量層和主機(jī)層均不會(huì)被察覺。但 ASPM 可基于運(yùn)行時(shí)代碼堆棧數(shù)據(jù)進(jìn)行入侵檢測,這類攻擊行動(dòng)也無所遁形。
在一個(gè)實(shí)際落地案例中,基調(diào)聽云在客戶的生產(chǎn)環(huán)境中復(fù)用現(xiàn)有的 APM Agent,快速啟用安全能力,無論是核心業(yè)務(wù)系統(tǒng)還是邊緣業(yè)務(wù)系統(tǒng),全部迅速被賦能安全能力。通過這一部署,聽云 ASPM 成功檢測到了幾起攻擊者利用漏洞繞過 WAF 后進(jìn)入應(yīng)用內(nèi)部的攻擊行為。得益于聽云 ASPM 的 Agent 部署在應(yīng)用內(nèi)部,因此具備深度的發(fā)現(xiàn)能力,能夠發(fā)現(xiàn)這些隱蔽的安全威脅。
ASPM 借助可觀測性平臺(tái)的統(tǒng)一 Agent,不僅減少了額外部署和維護(hù)的成本,還提升了系統(tǒng)的穩(wěn)定性和安全性,實(shí)現(xiàn)了對(duì)應(yīng)用安全的高效觀測與防護(hù)。可觀測性與應(yīng)用安全的融合,為企業(yè)提供了一種高效、低成本的安全防護(hù)新模式。通過 ASPM,企業(yè)可以在現(xiàn)有的可觀測性平臺(tái)上拓展安全能力,及時(shí)發(fā)現(xiàn)并應(yīng)對(duì)應(yīng)用層面的安全威脅,促進(jìn)業(yè)務(wù)的安全穩(wěn)定運(yùn)行。
會(huì)議現(xiàn)場,基調(diào)聽云在展臺(tái)為參會(huì)嘉賓帶來了精彩的展臺(tái)活動(dòng)與精美禮品,基調(diào)聽云的技術(shù)專家在展臺(tái)為參會(huì)嘉賓詳細(xì)介紹了基調(diào)聽云在可觀測性與應(yīng)用安全領(lǐng)域的最新創(chuàng)新與實(shí)踐。
此次會(huì)議的圓滿落幕,不僅為金融行業(yè)的信息科技風(fēng)險(xiǎn)管理與金融應(yīng)用系統(tǒng)安全管理提供了高水平的交流平臺(tái),也彰顯了行業(yè)對(duì)未來安全發(fā)展的共同期待。
基調(diào)聽云安全事業(yè)部總經(jīng)理盧中陽的精彩演講,深入探討了下一代運(yùn)行時(shí)安全技術(shù)方案,啟發(fā)了與會(huì)嘉賓對(duì)應(yīng)用安全態(tài)勢管理的新思考。
展望未來,隨著科技的不斷進(jìn)步和數(shù)字化轉(zhuǎn)型的深入推進(jìn),金融應(yīng)用系統(tǒng)的安全管理將迎來新的機(jī)遇與挑戰(zhàn)。各金融機(jī)構(gòu)和科技企業(yè)唯有攜手合作,持續(xù)創(chuàng)新,共同構(gòu)建完善的安全防護(hù)體系,才能有效應(yīng)對(duì)風(fēng)險(xiǎn),推動(dòng)金融行業(yè)的高質(zhì)量發(fā)展。
