2025年業(yè)務(wù)應(yīng)用與數(shù)據(jù)安全防護(hù)指南報告-青藤云安全

人-人應(yīng)用程序是數(shù)字時代的業(yè)務(wù)基礎(chǔ)。業(yè)務(wù)應(yīng)用不僅僅是企業(yè)運(yùn)營的工具，更是企業(yè)與客戶互動、數(shù)據(jù)交換的平臺。對于攻擊者來說，應(yīng)用就應(yīng)用程序是數(shù)字時代的業(yè)務(wù)基礎(chǔ)。業(yè)務(wù)應(yīng)用不僅僅是企業(yè)運(yùn)營的工具，更是企業(yè)與客戶互動、數(shù)據(jù)交換的平臺。對于攻擊者來說，應(yīng)用就好比金庫，其中包含重要的業(yè)務(wù)和用戶數(shù)據(jù)，雖然金庫使用了最堅固的材料和武裝齊全的安保，但是只要正常開展業(yè)務(wù)，就一定會出現(xiàn)安全漏洞。在巨大的收益誘惑下，攻擊者會不惜一切代價去尋找搶劫金庫的方法。據(jù)報道，84%的安全事件發(fā)生在應(yīng)用程序?qū)印Ｒ虼?，保護(hù)業(yè)務(wù)應(yīng)用和數(shù)字化發(fā)展正深刻改變著各行業(yè)企業(yè)的運(yùn)營模式和業(yè)務(wù)流程，帶來了業(yè)務(wù)應(yīng)用的倍增，同時也使得應(yīng)用數(shù)在當(dāng)今數(shù)字化時代，不論開展怎樣的工作、完成什么樣的任務(wù)，都離不開數(shù)字化應(yīng)用的支撐與實現(xiàn)，應(yīng)用來進(jìn)行配合構(gòu)成的。然而，隨著應(yīng)用程序規(guī)模的不斷擴(kuò)大和攻擊手段的不斷演化，應(yīng)用安全問題愈發(fā)凸顯，越隨著云計算、移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)等新技術(shù)的發(fā)展，應(yīng)用程序面臨的攻擊面也在不斷擴(kuò)大。此外，近年來惡意軟件、零日漏洞等高級威脅的興起，對應(yīng)用程序安全提出了更高要求。國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）發(fā)布《2021年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報告》中的數(shù)據(jù)顯示，2021年上半年，國家信息安全隨著數(shù)字化業(yè)務(wù)的快速發(fā)展，安全領(lǐng)域也在不斷適應(yīng)新的變化。企業(yè)通過綜合運(yùn)用多種安全技術(shù)并不斷增在安全技術(shù)方面,安全防御逐步從傳統(tǒng)的網(wǎng)絡(luò)邊界安全，深入到終端設(shè)備安全和業(yè)務(wù)應(yīng)用安全，確保了企隨著企業(yè)安全建設(shè)的不斷深入，應(yīng)用安全可以讓企業(yè)更好的從業(yè)務(wù)視角看待安全問題，守護(hù)攻擊者觸及業(yè)在整體安全架構(gòu)中，應(yīng)用安全是最貼近業(yè)務(wù)的安全，它直接關(guān)聯(lián)到業(yè)務(wù)運(yùn)營。應(yīng)用安全不僅關(guān)注技術(shù)層面的防護(hù)，更注重從業(yè)務(wù)角度出發(fā)，識別和治理安全風(fēng)險。它保護(hù)的是企業(yè)的核心資產(chǎn)?業(yè)務(wù)應(yīng)用和數(shù)據(jù)，確在安全投入方面，市場提供了各種解決方案幫助企業(yè)提高其應(yīng)用程序的安全性并確保其跟上不斷變化的威脅形勢。應(yīng)用安全主要分為兩個細(xì)分市場：應(yīng)用程序安全掃描工具和運(yùn)行時保護(hù)工具。統(tǒng)計發(fā)現(xiàn)，隨著數(shù)字化04據(jù)Gartner預(yù)測，到2025年生成式人工智能（GenAI）將促使企業(yè)網(wǎng)絡(luò)安全投入激增，其中應(yīng)用程序和數(shù)在數(shù)字化業(yè)務(wù)中，應(yīng)用與數(shù)據(jù)安全的關(guān)系變得尤為緊密，它們共同構(gòu)成了企業(yè)信息安全的核心。應(yīng)用層面揭牌，這標(biāo)志著我國對于數(shù)據(jù)的重視與保護(hù)進(jìn)入全新階段，數(shù)據(jù)要素市場制度進(jìn)一步完善，是中國數(shù)據(jù)領(lǐng)域的據(jù)標(biāo)準(zhǔn)化的流程和方法，旨在解決標(biāo)準(zhǔn)從制定到落地的全過程管理。這不僅包括標(biāo)準(zhǔn)的制定和發(fā)布，更重要的應(yīng)用與數(shù)據(jù)安全的關(guān)系是相輔相成的。應(yīng)用層面的防護(hù)是確保數(shù)據(jù)安全的關(guān)鍵，而數(shù)據(jù)安全的政策和標(biāo)準(zhǔn)則為應(yīng)用防護(hù)提供了指導(dǎo)和支持。確保應(yīng)用安全不僅能夠保護(hù)企業(yè)和個人的數(shù)據(jù)資產(chǎn)，還能夠促進(jìn)數(shù)字經(jīng)濟(jì)的行業(yè)研究報告表明，攻擊者經(jīng)常利用應(yīng)用程序中的弱點(diǎn)和軟件漏洞作為入侵的突破口。這是因為通常直接處理敏感數(shù)據(jù)，如個人信息、財務(wù)數(shù)據(jù)和知識產(chǎn)權(quán)，使其成為有價值數(shù)據(jù)的寶庫。此外，應(yīng)用程序的復(fù)雜性和不斷變化的更新增加了漏洞風(fēng)險，這些漏洞可能被攻擊者利用來竊取數(shù)據(jù)、破壞服務(wù)或執(zhí)行惡意操隨著現(xiàn)代Web應(yīng)用程序的發(fā)展，攻擊者用來破壞在當(dāng)今技術(shù)環(huán)境中，確保應(yīng)用安全變得越來越具有挑戰(zhàn)性。一方面，應(yīng)用依然潛藏風(fēng)險。無論是外部威脅的不斷增加，還是內(nèi)部業(yè)務(wù)缺陷的持續(xù)積累，都在時刻讓運(yùn)行的應(yīng)用處于風(fēng)險態(tài)。無法打補(bǔ)丁的老舊系統(tǒng)持續(xù)暴露攻擊面，不規(guī)范的業(yè)務(wù)調(diào)用也隨時可能成為數(shù)據(jù)泄露的誘因。另一方面，數(shù)據(jù)治理缺乏抓手。應(yīng)用作為數(shù)據(jù)產(chǎn)生和流轉(zhuǎn)的中心，將成為數(shù)據(jù)治理關(guān)注的核心焦點(diǎn)。不知道數(shù)據(jù)在業(yè)務(wù)中如何產(chǎn)生、如何流轉(zhuǎn)，就無法將0611需要將安全深入到應(yīng)用層級，為應(yīng)用程序提供全生命周期的動態(tài)安全保護(hù)，22攻擊效果差。需要在應(yīng)用側(cè)也有獲取流量的手段，避免因為加密導(dǎo)致的無法33也無法防護(hù)。應(yīng)用內(nèi)部作為最后一道防線，需要監(jiān)控應(yīng)用中的行為，從攻擊44當(dāng)前的數(shù)據(jù)監(jiān)控工具無法將數(shù)據(jù)的生產(chǎn)到使用過程完整追蹤，數(shù)據(jù)監(jiān)控只能流于表面。應(yīng)用最貼近業(yè)務(wù)，從應(yīng)用程序中監(jiān)控流量，可以有效補(bǔ)足業(yè)務(wù)側(cè)55應(yīng)用程序編程接口（API）允許應(yīng)用程序相互通信和共享數(shù)據(jù)，因此，大量第三方API需要被集成到應(yīng)用程序中以提供更多功能的服務(wù)。不過，它們也是應(yīng)用數(shù)據(jù)安全泄露的主要途徑，因為它們包含了對敏感數(shù)據(jù)的訪問權(quán)限，很容易被黑客利用。因此，企業(yè)應(yīng)驗證API接口的安全措施是否有效，并確保2.2應(yīng)用面臨的十大安全風(fēng)險隨著應(yīng)用程序的發(fā)展和新形式的出現(xiàn)，攻擊者也不07據(jù)在傳輸和靜止時未得到適當(dāng)保護(hù)。它可能據(jù)在傳輸和靜止時未得到適當(dāng)保護(hù)。它可能擊者可以利用這一漏洞，訪問未經(jīng)授權(quán)的功不安全的設(shè)計涵蓋了許多由于安全控制無效或缺失而導(dǎo)致的應(yīng)用程序漏洞。沒有基本安不安全的設(shè)計涵蓋了許多由于安全控制無效或缺失而導(dǎo)致的應(yīng)用程序漏洞。沒有基本安注入漏洞使攻擊者能夠向應(yīng)用程序解釋器發(fā)注入漏洞使攻擊者能夠向應(yīng)用程序解釋器發(fā)送惡意數(shù)據(jù)，導(dǎo)致這些數(shù)據(jù)在服務(wù)器上被編常見的安全配置錯誤包括云服務(wù)權(quán)限配置不常見的安全配置錯誤包括云服務(wù)權(quán)限配置不軟件和數(shù)據(jù)完整性故障可能發(fā)生在軟件更新、敏感數(shù)據(jù)修改以及任何未經(jīng)驗證的軟件和數(shù)據(jù)完整性故障可能發(fā)生在軟件更新、敏感數(shù)據(jù)修改以及任何未經(jīng)驗證的包括與用戶身份相關(guān)的任何安全問題。通俗地說，該漏洞會導(dǎo)致攻擊者使用用戶的用戶當(dāng)應(yīng)用在從遠(yuǎn)程資源提取數(shù)據(jù)并未驗證用戶當(dāng)應(yīng)用在從遠(yuǎn)程資源提取數(shù)據(jù)并未驗證用戶08當(dāng)前市場上已經(jīng)有不少應(yīng)用安全工具，主要分為安全測試工具和運(yùn)行時保護(hù)工具，它們在應(yīng)用程序生命周期的不同階段發(fā)揮不同作用。安全測試工具的目標(biāo)是預(yù)防，用于在應(yīng)用程序開發(fā)時修復(fù)漏洞，主要工具包括SAST（靜態(tài)應(yīng)用程序安全測試）、DAST（動態(tài)應(yīng)用程序安全測試）、IAST（交互式應(yīng)用程序安全測試）、SCA（軟件組成分析）。運(yùn)行時保護(hù)工具是在應(yīng)用程序運(yùn)行時執(zhí)行保護(hù)功能，這些工具會實時做出反應(yīng)以防御需要強(qiáng)調(diào)的是，運(yùn)行時保護(hù)工具不是安全測試工具的替代品，而是針對運(yùn)行時應(yīng)用程序提供的額外保護(hù)層。這些應(yīng)用安全工具中的每一種都有自己的特點(diǎn)和功能，以及各自的優(yōu)缺點(diǎn)。沒有一種工具可以成為對抗惡覆蓋率低誤報率可利用性代09隨著應(yīng)用程序和軟件開發(fā)日益復(fù)雜化，在軟件開發(fā)和部署的整個生命周期中，構(gòu)建一個全方位的解決方案，保護(hù)應(yīng)用程序免受安全威脅至關(guān)重要。企業(yè)在軟件開發(fā)部署階段，可以通過各種安全測試工具隨著企業(yè)數(shù)字化業(yè)務(wù)的快速發(fā)展，應(yīng)用和數(shù)據(jù)面臨的安全挑戰(zhàn)也日益增多。RASP作為新一代應(yīng)用安全技術(shù)，因其高度的可觀察性、精確的威脅檢測與阻斷能力、便捷部署方式、良好擴(kuò)展性，以及能夠很好滿足監(jiān)管傳統(tǒng)的網(wǎng)絡(luò)邊界安全措施，如防火墻、IPS等，只從外部來檢測漏洞。然而，外部視角并不能提供足夠的上下文信息，幫助精準(zhǔn)地識別漏洞。因此，傳統(tǒng)邊界安全措施已不能完全滿足當(dāng)前的安全需求。RASP通過插樁技術(shù)直接嵌入到應(yīng)用程序內(nèi)部，從內(nèi)部視角監(jiān)控應(yīng)用程序更深入、更精確，實現(xiàn)了對軟件代碼的實時保護(hù)。與傳統(tǒng)的邊界防御不同，RASP能夠在應(yīng)用程序運(yùn)行時提供高度精確的事件監(jiān)控和分析，無需依賴于可能存在通過插樁技術(shù)從內(nèi)部保護(hù)應(yīng)用安全的產(chǎn)品主要有RASP和IAST。但兩者適用的階段和目標(biāo)不同。IAST主要在開發(fā)測試階段發(fā)揮作用，它能夠自動地發(fā)現(xiàn)應(yīng)用和API的漏洞，這樣可以在開發(fā)過程早期就進(jìn)行修復(fù)，成本不會那么高。RASP在運(yùn)行時阻止漏洞被利用，其目的是發(fā)現(xiàn)危險的行為，發(fā)出告警并且及時阻斷，聯(lián)動其他各種AST測試工具保護(hù)開發(fā)階段的應(yīng)用安全，但是運(yùn)行時的風(fēng)險是不可能剔除應(yīng)用運(yùn)行時的安全保障能力。因此，RASP不僅在其自身功能上很重要，通常情況下RASP是對其他工具的補(bǔ)具體來說，RASP基于應(yīng)用程序插樁技術(shù)，提供了一個全面、多層面的安全防護(hù)解決方案，為應(yīng)用系統(tǒng)安全提供一站式服務(wù)，并分析其在攻擊層面、業(yè)務(wù)層面和數(shù)據(jù)層面的關(guān)鍵功能。該方案通過在多個技術(shù)位置點(diǎn)上布設(shè)探針采集數(shù)據(jù)，并接入應(yīng)用側(cè)的采集流量信息，形成完善的數(shù)據(jù)要素，并將采集到的數(shù)據(jù)匯聚到安全平臺圖9：RASP方案架構(gòu)RASP方案將主動防御能力融合至應(yīng)用程序運(yùn)行環(huán)境中，捕捉并攔截各種繞過流量檢測的威脅攻擊，如內(nèi)存馬、SQL注入、0day攻擊等，讓應(yīng)用具備強(qiáng)大的自我防護(hù)RASP有時會與其同類產(chǎn)品WAF（Web應(yīng)用程序防火墻）混淆，因為兩者具有相同的目標(biāo)，保護(hù)應(yīng)用程序免受攻擊威脅和數(shù)據(jù)泄露。但是，這兩種產(chǎn)品在實現(xiàn)目態(tài)規(guī)則，不斷分析外圍應(yīng)用程序流量，以查找潛在惡意活動。RASP是在應(yīng)用程序內(nèi)部嵌入安全防護(hù)模塊，實低高表1：RASP和WAF之間的比較由于云計算的興起和移動設(shè)備的普及，企業(yè)網(wǎng)絡(luò)邊界變得更加脆弱，通用防火墻和Web應(yīng)用程序防火墻的有效性都已降低。這一限制凸顯了全面安全策略的重要性，該策略包括對所有基于應(yīng)用與數(shù)據(jù)安全能力建設(shè)旨在通過業(yè)務(wù)流程的安全治理和數(shù)據(jù)的全面防護(hù)，構(gòu)建一個安全、可靠的應(yīng)用環(huán)應(yīng)用與數(shù)據(jù)安全能力建設(shè)是一個復(fù)雜而多維的過程，它涉及到多個層面的策略和措施，以確保業(yè)務(wù)系統(tǒng)的應(yīng)用“攻擊”威脅防護(hù)不僅能夠?qū)崟r檢測并攔截多種入侵攻擊，還能提供詳盡的攻擊信息和代碼堆棧。針對內(nèi)存馬、SQL注入等進(jìn)行有效監(jiān)測和攔截，并阻斷0day時監(jiān)控和攔截攻擊報警，快速發(fā)現(xiàn)應(yīng)用安全入侵威脅，協(xié)助處理響應(yīng)攻擊事件并在檢測到攻擊時立刻攔截，快內(nèi)存馬是一種惡意軟件，它通過注入到應(yīng)用程序的內(nèi)存中來執(zhí)行惡意操作，傳統(tǒng)的安全防護(hù)措施難以有效應(yīng)對。對于內(nèi)存馬這類棘手的安全攻擊，應(yīng)用數(shù)據(jù)安全能力提供了三道防護(hù)，從內(nèi)存馬注入前攔截、內(nèi)存馬注0day攻擊爆發(fā)通常沒有補(bǔ)丁可修復(fù)對應(yīng)漏洞，只能依賴已有安全規(guī)則進(jìn)行安全對抗，一旦攻擊繞過已有安全檢測規(guī)則，就無法形成有效的防護(hù)。應(yīng)用“攻擊”威脅防護(hù)能力基于無規(guī)則的邏輯檢測，能夠接管并監(jiān)控應(yīng)用程序的底層調(diào)用，攻擊無法繞過底層調(diào)用實現(xiàn)其目的，因此不論對于已知的入侵攻擊，還是未知的0day應(yīng)用“攻擊”威脅防護(hù)能力不但可以有效檢測攔截真實攻擊，還可以在應(yīng)用底層的執(zhí)行函數(shù)中，直接獲取4.2應(yīng)用“業(yè)務(wù)”安全治理應(yīng)用“業(yè)務(wù)”安全治理利用綜合的策略和工具，通過對業(yè)務(wù)資產(chǎn)的全面梳理、風(fēng)險的實時檢測以及漏洞的應(yīng)用“業(yè)務(wù)”安全治理從應(yīng)用程序內(nèi)部真實調(diào)用出發(fā)，自動獲取應(yīng)用資產(chǎn)的信息，并完成風(fēng)險的識別檢測。應(yīng)用自動識別，建立以應(yīng)用為主視角的資產(chǎn)管理?？汕妩c(diǎn)應(yīng)用內(nèi)部調(diào)用的類庫信息，發(fā)現(xiàn)是否存在可疑類弱密碼檢測技術(shù)通過登錄行為來監(jiān)控弱密碼登錄情況，并上報弱密碼信息，支持多類型弱密碼檢測。被動識別，無需主動掃描，不會引起賬號鎖定等問題。覆蓋中間件弱密碼，無視加密，可獲取明文直接檢測利用應(yīng)用內(nèi)部的防護(hù)能力，提供漏洞專項的熱補(bǔ)丁修復(fù)，幫助企業(yè)0成本解決老舊漏洞和0day漏洞難題，形成專項防護(hù)。讓企業(yè)老舊系統(tǒng)修復(fù)無憂，新洞爆發(fā)快速應(yīng)急。無需應(yīng)用重啟，能力也支持熱更新，輕松修復(fù)4.3應(yīng)用“數(shù)據(jù)”全景防護(hù)應(yīng)用“數(shù)據(jù)”全景防護(hù)基于API的識別清點(diǎn)能力，構(gòu)建應(yīng)用的訪問全景圖，呈現(xiàn)應(yīng)用的訪問概覽，從宏觀通過構(gòu)建應(yīng)用訪問全景圖，全面了解應(yīng)用的訪問情況，包括外網(wǎng)訪問、對外連接、數(shù)據(jù)庫訪問和關(guān)聯(lián)應(yīng)用API調(diào)用鏈路追蹤是一種監(jiān)控技術(shù)，它能夠詳細(xì)記錄和展示API調(diào)用的完整員理解系統(tǒng)內(nèi)部的通信流程。通過追蹤API的調(diào)用鏈路，可以有效地定位代碼中的問題，優(yōu)化性能，并增強(qiáng)系統(tǒng)的可觀測性。例如，在復(fù)雜的微服務(wù)架構(gòu)中，一個用戶的請求可能經(jīng)過多個服務(wù)和組件的處理。調(diào)用鏈路追數(shù)據(jù)庫訪問監(jiān)測是確保數(shù)據(jù)安全和合規(guī)性的重要手段。其一，通過審計數(shù)據(jù)庫查詢語句，確保所有的數(shù)據(jù)庫訪問都是合法和安全的。其二，利用數(shù)據(jù)庫訪問監(jiān)測還可以展示應(yīng)用服務(wù)與數(shù)據(jù)庫之間的連接關(guān)系，包括數(shù)據(jù)庫的名稱、地址和端口。這種信息有助于理解數(shù)據(jù)流動，并保護(hù)這些流動數(shù)據(jù)免受未授權(quán)訪問。其三，數(shù)據(jù)數(shù)字化時代，應(yīng)用安全對于各行業(yè)至關(guān)重要。下文將展示不同行業(yè)企業(yè)根據(jù)自身特點(diǎn)和需求，采取相應(yīng)的5.1某金融企業(yè)提升應(yīng)用側(cè)攻擊防護(hù)能力某金融科技公司開發(fā)了一款在線理財管理平臺，允許用戶查看和管理個人的投資組合。由于處理敏感的金為了提升應(yīng)用程序的安全性，公司決定建設(shè)應(yīng)用安全防護(hù)能力，考慮到業(yè)務(wù)的高該方案覆蓋企業(yè)測試及生成環(huán)境的2000+以前企業(yè)利用WAF進(jìn)行應(yīng)用攻擊防護(hù)，現(xiàn)在通過RASP方案建設(shè)，很好地補(bǔ)充了WAF能力的短板，提高了5.2某企業(yè)完善數(shù)據(jù)鏈成功發(fā)現(xiàn)0day攻擊某公司需要以管理資產(chǎn)的理念開展數(shù)據(jù)管理，并且已經(jīng)有防火墻、流量采集等基礎(chǔ)數(shù)據(jù)采集設(shè)施，但在主基于該公司的安全建設(shè)實際情況，通過插樁技術(shù)部署RASP方案，在業(yè)務(wù)代碼中識別API相關(guān)函數(shù)，監(jiān)控該方案通過對數(shù)據(jù)調(diào)用和流轉(zhuǎn)的解析和分析，結(jié)合對數(shù)據(jù)資產(chǎn)的分類分級，使得客戶具備該方案覆蓋客戶測試