2024年12月18日,由中国计算机用户协会指导,中国计算机用户协会信息科技审计分会主办的“信息科技审计分会2024年会暨信息科技风险管理与审计(ITGRA)论坛”在北京召开。
为了针对当前金融行业面临的安全挑战,提供一个高层次的沟通与合作平台。通过行业内顶尖机构的深度交流与合作,推动金融应用系统安全管理水平的提升,保障金融业务的安全稳定运行,维护金融市场的健康发展,大会设置了金融应用系统安全管理论坛(2024)。
中国农业银行、中国建设银行、光大银行、恒丰银行、江苏银行、银河证券、泰康保险集团等金融行业翘楚的信息化代表齐聚一堂。
基调听云安全事业部总经理卢中阳以“下一代运行时安全技术方案探讨——ASPM应用安全态势管理平台”为题,发表了精彩演讲,与现场与会嘉宾就技术、产品相关问题展开深入交流,获得现场与会嘉宾的一致好评。
卢中阳,原乌云社区核心白帽黑客,在应用安全、DevSecOps等领域拥有十年以上工作经验。
2020年创立火线安全,任联合创始人兼CTO,主导研发并推出了全球首款开源的交互式应用安全测试产品洞态IAST,已在全球20多个国家实现实际落地部署应用。现任基调听云安全事业部总经理,全面负责基调听云安全产品的研发与产品工作,主导推出了国内首款应用安全态势管理产品安云ASPM。
卢中阳首先分析了当前应用安全领域面临的挑战:
1. 漏洞数量激增:从2014年到2024年,应用相关的漏洞占比接近80%,主要原因包括应用更新频繁、组件复杂度增加、以及底层系统升级导致的新漏洞不断出现。
2. 0-day 漏洞威胁:未知漏洞在未修复前对企业系统构成巨大风险,传统安全设备难以及时识别和应对。
3. 传统安全产品的局限性:
WAF(网络应用防火墙):
虽然能检测已知攻击,但对未知攻击和细粒度防护能力不足。
RASP(运行时应用自我保护):
部署和维护成本高,对业务性能有影响,且需要深度依赖开发团队支持。
为了有效应对以上挑战,基调听云推出了全新的 ASPM(应用安全态势管理)理念,即通过可观测性、应用性能管理与应用安全相结合,实现深层次的应用运行时安全防护。
● 结合可观测性平台的优势:通过扩展现有的可观测性 Agent,无需额外部署安全 Agent,实现对安全数据的采集和分析,降低成本和维护难度。
● 多阶段威胁识别:
· 攻击探测阶段:识别异常请求、恶意扫描等行为,捕获攻击前兆。
· 攻击执行阶段:检测恶意代码执行、SQL 注入、内存泄露等实际攻击行为。
· 数据泄露阶段:监控敏感数据访问和传输,防止数据外泄。
● API 资产梳理:通过 Agent 在应用启动阶段一次性采集全量 API 资产,解决传统基于流量和网关无法准确覆盖 API 资产的盲点。
● 快速溯源与响应:利用可观测性平台的实时数据和上下文信息,帮助安全团队快速定位问题源头,提升响应效率。
● 业务风险监测:基于听云可观测平台精准的用户和用户行为数据,ASPM 可实现入撞库、爬虫、越权访问敏感信息等业务风险监测。
一家位于上海的公司在完成了整个安全防护体系的建设后,在攻防演练过程中发现类似内存马等无文件攻击可轻松绕过现有防护体系,这种攻击在流量层和主机层均不会被察觉。但 ASPM 可基于运行时代码堆栈数据进行入侵检测,这类攻击行动也无所遁形。
在一个实际落地案例中,基调听云在客户的生产环境中复用现有的 APM Agent,快速启用安全能力,无论是核心业务系统还是边缘业务系统,全部迅速被赋能安全能力。通过这一部署,听云 ASPM 成功检测到了几起攻击者利用漏洞绕过 WAF 后进入应用内部的攻击行为。得益于听云 ASPM 的 Agent 部署在应用内部,因此具备深度的发现能力,能够发现这些隐蔽的安全威胁。
ASPM 借助可观测性平台的统一 Agent,不仅减少了额外部署和维护的成本,还提升了系统的稳定性和安全性,实现了对应用安全的高效观测与防护。可观测性与应用安全的融合,为企业提供了一种高效、低成本的安全防护新模式。通过 ASPM,企业可以在现有的可观测性平台上拓展安全能力,及时发现并应对应用层面的安全威胁,促进业务的安全稳定运行。
会议现场,基调听云在展台为参会嘉宾带来了精彩的展台活动与精美礼品,基调听云的技术专家在展台为参会嘉宾详细介绍了基调听云在可观测性与应用安全领域的最新创新与实践。
此次会议的圆满落幕,不仅为金融行业的信息科技风险管理与金融应用系统安全管理提供了高水平的交流平台,也彰显了行业对未来安全发展的共同期待。
基调听云安全事业部总经理卢中阳的精彩演讲,深入探讨了下一代运行时安全技术方案,启发了与会嘉宾对应用安全态势管理的新思考。
展望未来,随着科技的不断进步和数字化转型的深入推进,金融应用系统的安全管理将迎来新的机遇与挑战。各金融机构和科技企业唯有携手合作,持续创新,共同构建完善的安全防护体系,才能有效应对风险,推动金融行业的高质量发展。
