基調聽云如何利用ASPM在大型證券企業實現應用運行態安全觀測
背景
證券行業作為金融體系的核心組成部分,擁有獨特且復雜的業務系統,包括交易、清算與結算、風險管理等。這些系統直接支撐著證券公司的核心業務運作,其高頻率、低延遲、復雜的IT架構和廣泛的業務分布,形成了與其他行業明顯不同的特殊性。隨著數字化轉型和金融科技的快速發展,證券公司在提升業務能力和客戶體驗的同時,也面臨著前所未有的網絡安全挑戰。
復雜的系統架構和開放的業務環境增加了潛在的安全漏洞,尤其是各業務系統之間的交互和數據共享,可能成為攻擊者的突破口。高級持續性威脅(APT)等黑客組織利用先進的技術和手段,對證券公司的核心系統進行長期、有針對性的攻擊,傳統的安全措施難以及時發現和防御。與此同時,業務的實時性要求安全防護同樣具備實時監測和響應能力,避免因安全事件導致的業務中斷和客戶信任的流失。
某大型證券企業意識到,傳統安全措施已無法滿足其對應用運行態安全的嚴苛要求,亟需一種能夠深入應用程序運行時,提供實時安全監測和防護的解決方案。在保障系統高性能的同時,提升運行時的安全防護能力,成為該證券企業的核心需求。
證券公司的業務特性決定了其對安全防護的高要求,通過對證券行業業務系統的深入理解,基調聽云認識到運行時安全觀測對于證券公司的重要性和必要性。近年來,國外可觀測領域的廠商基于在應用運行時的數據采集與治理優勢,開始大力涉足安全領域,特別是運行時安全領域。例如,Datadog收購Hdiv后推出了應用程序安全監控(ASM)產品,Dynatrace、New Relic也相繼推出運行時應用程序保護產品。這些產品能夠深入應用運行時,實時監測應用程序的內部行為,識別異常活動和潛在威脅,如SQL注入等,提供精準的威脅檢測,并在對應用性能影響最小的情況下,提供強大的安全防護能力。
可觀測性與運行時安全的結合,為證券行業提供了一條提升安全能力的創新之路,有助于證券企業在激烈的市場競爭中保持競爭優勢,保障業務的連續性和客戶的信任。基調聽云與某大型證券行業客戶合作,探索基于可觀測性的運行時安全方案。通過統一的數據采集和處理方案,為運維、研發、安全、業務等多個部門提供一致的數據視圖,實現降本增效的同時,有效提升業務系統的穩定性。期望通過實時的運行時監測和安全防護,降低系統故障和安全事件的發生概率,促進各部門的協同效率。
本文將深入探討可觀測性運行時安全方案在證券行業的應用與實踐,分析其在大型證券企業中的具體落地過程,包括面臨的挑戰和解決思路,旨在為證券行業的數字化安全轉型提供參考和借鑒。
國內應用運行態安全現狀
該大型證券行業客戶傳統的應用安全措施主要依賴于流量層的WAF、主機安全產品和防病毒軟件等靜態防護手段,然而這些方法在應對現代復雜多變的網絡攻擊時顯得力不從心。隨著攻防對抗的逐步深入,防守方開始在端側使用私有的加密協議,這雖然在一定程度上增加了入侵難度,但也將標準的安全產品如WAF致盲。與此同時,攻擊方開始重點關注如內存馬等傳統安全產品無法覆蓋的無文件攻擊場景,應用運行態安全威脅在持續上升。
面對應用運行態的安全挑戰,該大型證券行業客戶最初采用了RASP類型的產品來彌補應用運行時防護能力的不足,但RASP產品的Agent自身的資源占用、Agent穩定性,以及在生產環境出現穩定性故障時如何自證清白等問題成了RASP遲遲不能大規模落地的攔路虎。最終,客戶只敢在攻防演練期間,在最外圍的部分節點中部署RASP Agent,這成為了RASP類型產品在國內最常見,也是最終的使用形態。
RASP類型的產品在國內出現已經有十余年時間,其主要面臨的問題如下:
1.技術壁壘高,行業資源投入不足:
生產環境的Agent需要運行在客戶最核心的生產環境系統中,直接入侵到進程中,采集運行時的代碼堆棧信息,有較強的入侵性。Agent從開發、測試、配合客戶灰度等等環節,都需要投入巨大的技術和售后人力支持。Datadog和Dynatrace是國外基于Agent技術從事可觀測性的典型公司,其員工人數在5000人上下。國內可觀測性廠商中,僅圍繞Agent的產品研發和技術支持的人力少則兩三百,多則四五百人。而反觀國內RASP產品線,產研團隊形態基本以安全廠商的子部門為主,人力投入完全不在一個量級。
2.兼容性差,難以融入現有IT體系:
由于人員投入不足,RASP Agent的兼容性難以保證。RASP的Agent沒有經過廣泛的部署驗證,難以保證與客戶原有系統框架完美兼容、難以保證與SkyWalking、Jacoco、EDR等系統的的Agent完美兼容。難以實現相關類的增強,預期的安全防護效果也無法顯現。
3.高聳的部門墻難以突破:
在生產環境中部署RASP Agent,除安全部門外,還需要測試、運維部門進行緊密的跨部門協作,然而,RASP的產出卻只對安全部門產生價值。如何說服測試部門投入額外的資源進行全面而深入的測試?如何證明Agent的資源消耗在穩定、合理的范圍內?如何說服運維部門把侵入性的Agent部署到生產環境中?這其實非常困難,即便在領導推動下進行了第一次測試,后續的應用更新也很難保證能夠按時按量進行測試。
更令人擔憂的是,這還不是成本最高的環節,Agent成功運行后,生產環境在出現穩定性故障、資源異常占用等問題時,產研、運維部門每次都要多排查一個維度,這往往會要求安全部門及Agent廠商自證清白。久而久之,各部門陷入內耗,部門墻越來越高。
再加上經過成體系的安全防護方案的過濾,進入應用深層的攻擊次數較少,RASP的產出比較隨機,如果半年時間都沒有遇到一次深度的攻擊,各部門會逐漸達成共識,并迎來打破部門墻的事件:把RASP下線。
因此,RASP類產品的實際應用效果難以言喻:
1.核心系統部署無望:客戶只能接受在特殊攻防演練期間的部分外圍節點打開,內部大量的核心系統不會啟用。
2.部署難度、溝通阻力大:在生產環境中部署安全Agent,投入資源多、業務風險大,運維、測試部門配合積極性不高。
3.安全能力受限:在各種妥協下,RASP最終只能采集到部分應用的部分運行時數據,不完整、不準確的數據直接影響到了安全產品的安全能力。
基于可觀測性的運行時安全解決方案
可觀測性(Observability)是指通過系統的外部輸出來度量系統內部運行狀態的能力,是傳統的應用性能監控(APM)演進的下一階段。可觀測性通過五大信號幫助工程師深入了解系統的運行狀態、性能和潛在問題,它們包括:指標(Metrics)、追蹤(Traces)、日志(Logs)、剖析(Profiles)和轉儲(Dumps)。該大型證券行業客戶與基調聽云一起,在APM的能力基礎之上,構建了一套完整的可觀測性平臺,通過一體化的數據采集、數據分析、數據呈現等能力,為應用性能監控、用戶體驗監控、業務連續性與可用性,以及應用安全提供深度的應用運行時數據。
通過可觀測性平臺的UniAgent進行統一數據采集與治理,僅需在主機上部署一個UniAgent,無需區分開發語言,該大型證券行業客戶實現了自動化的主機、應用程序、組件、服務、數據庫等監控對象的指標采集,避免了安全與運維部門重復采集、重復處理數據。通過統一的數據采集、治理、分析平臺,大家可以共用一份數據,打破數據孤島,最終實現跨部門的協同合作,避免了不同部門根據不完整且不同維度的數據分析出完全不一樣的結論。在避免了計算資源浪費的同時,也避免了對組織人力資源的浪費。
圖:統一可觀測性平臺全景圖
基于可觀測性平臺的統一數據采集與治理,應用安全態勢管理(Application Security Posture Management,ASPM)成為了新一代應用運行時安全的解決方案。ASPM利用可觀測性實時采集的生產環境數據,將可觀測性與應用安全深度融合,為應用程序的運行狀態和潛在安全威脅提供深度洞察,幫助企業及時識別并應對安全風險。ASPM填補了流量層與主機層安全產品之間的防護空白,實時分析應用運行時的安全態勢,提供威脅感知、威脅分析、API資產梳理、安全事件阻斷等運行時應用安全能力。
更重要的是,ASPM通過利用可觀測性收集的數據,無需在生產環境中重新部署安全Agent,只需在現有可觀測性平臺上一鍵開啟安全功能。這種方式為該大型證券行業客戶節省了大量的部署和測試時間與成本,提升了安全能力的部署效率,同時也避免了重復部署Agent為生產環境引入新的風險,避免了部門間的摩擦。
圖:ASPM與流量層、主機層安全產品共同構建縱深防御體系
圖:ASPM檢測原理
ASPM檢測原理:
① 惡意用戶對應用發起入侵攻擊行為
② Agent采集數據并由ASPM通過實時Hook監測進行安全風險分析
③ ASPM對訪問請求進行追蹤分析,精準發現威脅并告警
④ 采取相應阻斷措施,及時中斷應用與當前惡意用戶的連接
基于可觀測性構建的應用運行時安全解決方案ASPM,具備統一的數據采集、統一存儲架構、數據的統一利用以及打破部門間數據孤島等特點。
1.數據的統一采集
在ASPM中,統一的數據采集是核心基礎,而此處數據采集的來源是成熟的APM Agent。APM已經是非常成熟的運維產品,經歷了多年生產環境的真實考驗,其探針技術具備極強的先進性、穩定性,在企業中已有廣泛部署。通過數據的統一采集,安全、運維等各部門可以基于同一份數據進行分析,避免了數據重復采集帶來的流量、存儲和計算上的資源浪費。ASPM通過整合多渠道的數據源,如應用日志、Trace、指標和網絡流量數據等,讓安全能力全面覆蓋應用程序運行的各個環節。通過采用高效的數據采集工具和技術,確保數據的實時性和準確性,并通過數據標準化,統一數據格式與規范,提升了數據的可用性和一致性。
2.統一存儲架構
統一的存儲架構是實現數據整合與高效管理的重要保障。數據湖倉結合了數據湖的靈活性和數據倉庫的高性能分析能力,為企業提供一個統一的數據存儲與查詢平臺,支持對各類異構的可觀測性及安全數據提供統一存儲和查詢接口。在低成本的前提下,實現了海量數據的高效存儲與快速檢索,確保數據具備良好的可擴展性和可靠性;同時,支持大規模并發訪問及實時查詢,可滿足運行時安全對數據處理的高要求。
3.數據的統一利用
基于數據的統一利用,安全團隊能夠迅速識別并響應潛在威脅。通過實時數據顯示分析,運用流式處理及實時分析技術,對收集的數據進行即時處理,及時發現異常情況和潛在威脅;利用儀表盤等可視化工具,將復雜的數據及分析結果以直觀的形式呈現,幫助安全團隊快速理解信息并作出決策;整合自動化響應機制,在檢測到安全威脅時,能夠自動觸發防護措施,減少響應時間和人為錯誤的發生率。
4.打破部門間的數據孤島
基于全量可觀測性數據建立的統一可觀測性平臺有效打破了部門間的數據孤島,實現了信息共享與協同工作。安全團隊、開發團隊和運營團隊可以在同一平臺上訪問并分析相關數據,促進信息共享和協作效率提升;通過細粒度的訪問控制策略,確保不同團隊在共享數據的同時,有效保護敏感信息不被泄露;通過建立跨部門的協同工作流程,提升對安全事件的響應速度和處置效率,形成閉環式、完整的安全保障體系。
基于可觀測性的運行態應用安全能力
基于可觀測性提供的全量、準確、實時的生產環境應用運行態數據,ASPM實現了全新的運行態應用安全能力,其中,威脅感知、API資產梳理、安全事件自動阻斷等能力表現優異。
1.威脅感知
威脅感知是基于可觀測性的運行時安全解決方案的核心功能之一,通過實時監控和分析應用運行中的各種數據,識別潛在的安全威脅。具體包括:
① 異常行為檢測
利用自研的AI和精細的行為分析技術,精確地識別出偏離常規操作運行模式的異常行為,從而在龐大的數據集中有效甄別出授權用戶中潛藏的惡意或非正常活動跡象,利用用戶行為散點圖清晰可視化地展示用戶的異常行為。
② 漏洞感知預警
實時感知并預警應用和系統面臨的各類攻擊行為,包括但不限于SQL注入攻擊、遠程命令執行漏洞利用、反序列化漏洞攻擊、內存馬以及WebShell等,通過高度敏感的感知與預警機制,能夠迅速洞察并揭示應用系統中的薄弱環節與潛在安全缺陷,確保在第一時間發現并響應安全威脅。
③ 漏洞自動阻斷
自動化漏洞防御機制能夠針對應用系統存在的漏洞進行深度監控,一旦檢測到有攻擊者試圖利用這些漏洞進行權限提升等惡意行為,系統會立即觸發自動化的阻斷與處置流程,有效遏制攻擊進程。同時,該機制還具備組件漏洞的自動化修復能力,能夠迅速部署熱補丁,無需人工干預即可對漏洞進行修補,從而顯著降低應用系統遭受成功攻擊的風險,確保系統的持續安全與穩定運行。
④ 0-day防護
ASPM在不修改原有應用程序、不引入新的漏洞的前提下,通過動態加載應用探針,與應用系統融為一體,保障系統的安全性。平臺通過Agent獲取到程序執行堆棧信息、代碼上下文相關的危險函數,可以識別相關的攻擊行為,進行自動化處置響應。針對變型的0-day漏洞,在不需要業務停擺的狀態下就可以實現安全補丁的自動升級,保證業務系統正常的生產穩定。
2.API資產梳理
① 主動API資產梳理
在證券應用中,API(應用程序編程接口)扮演著連接內部系統和外部服務的關鍵角色。現有的針對應用API梳理方法主要是通過分析請求日志、爆破的方式獲取梳理未知的API資產,這種方法梳理API主要依賴于請求和字典的強度,未請求到的API接口,包括后門API接口及管理API接口可能會泄露大量的敏感信息。API主動資產梳理是通過在業務系統啟動時,利用Hook機制植入到Servlet容器中,可以截獲所有被加載的Servlet和關聯的API信息,包括請求路徑(URL)、請求方法(GET、POST等)、請求參數、返回數據類型、異常處理機制以及所涉及的類和方法等詳細信息。通過對這些數據的實時收集和整理,系統能夠無侵入性地、實時地構建出完整的API清單,并以直觀的方式進行展示。
② API調用監控
實時密切監控API的調用狀況,全面記錄其調用頻率、調用鏈路及調用參數、API攻擊行為等詳細信息,識別不安全的接口和潛在的攻擊向量,深度洞察API的使用情況。同時,通過智能分析迅速識別并響應任何異常的API調用行為。
③ API風險屬性標簽
監控API的活躍狀態和敏感行為,并自動對其狀態和行為打標簽,如敏感信息泄露、未授權訪問、異常登錄、敏感文件讀寫刪除操作、系統級命令執行等高危的API安全事件,讓管理者快速理解API的行為,快速定位、分析處置API安全事件。
圖:ASPM的API風險屬性標簽
④ 接口安全評估
對API接口進行全面的安全檢查和識別,以識別并消除API潛在的安全漏洞,如不安全的數據傳輸、敏感信息泄露、越權訪問等。方便業務團隊、安全團隊清晰地進行API安全風險的整改和收斂。
⑤ 調用鏈分析
通過詳細的函數級調用鏈分析,了解API的調用鏈路和依賴關系,以識別潛在的安全薄弱環節,優化API設計,增強整體安全性。
總結
在證券行業,業務的穩定性和連續性至關重要。為應對日益復雜的安全威脅,基于IT運維系統可觀測性的應用安全防護方案已成為券商提升安全保障水平的關鍵舉措。ASPM通過整合可觀測性與應用安全,利用統一的Agent,不僅降低了部署和維護成本,還提升了系統的穩定性和安全性。
這種融合的安全防護新模式,使企業能夠在現有的可觀測性平臺上拓展安全能力,及時發現并應對應用層面的安全威脅,保障業務的安全穩定運行。隨著信息技術的飛速發展,基于可觀測性的應用安全防護方案將在證券行業展現出更大的潛力。不僅能夠有效發現和應對潛在的安全風險,還能在確保應用系統穩定性的同時,顯著提升業務運營的連續性和可靠性。
探索和應用ASPM等創新技術,將在很大程度上協助券商構建更加堅實的安全防線,為業務的持續健康發展提供有力支撐。
北京基調網絡股份有限公司,盧中陽/劉洪峰/丁威
