2024年12月18日，由中國計算機用戶協(xié)會指導，中國計算機用戶協(xié)會信息科技審計分會主辦的“信息科技審計分會2024年會暨信息科技風險管理與審計（ITGRA）論壇”在北京召開。

　　為了針對當前金融行業(yè)面臨的安全挑戰(zhàn)，提供一個高層次的溝通與合作平臺。通過行業(yè)內(nèi)頂尖機構的深度交流與合作，推動金融應用系統(tǒng)安全管理水平的提升，保障金融業(yè)務的安全穩(wěn)定運行，維護金融市場的健康發(fā)展，大會設置了金融應用系統(tǒng)安全管理論壇（2024）。

　　中國農(nóng)業(yè)銀行、中國建設銀行、光大銀行、恒豐銀行、江蘇銀行、銀河證券、泰康保險集團等金融行業(yè)翹楚的信息化代表齊聚一堂。

　　基調(diào)聽云安全事業(yè)部總經(jīng)理盧中陽以“下一代運行時安全技術方案探討——ASPM應用安全態(tài)勢管理平臺”為題，發(fā)表了精彩演講，與現(xiàn)場與會嘉賓就技術、產(chǎn)品相關問題展開深入交流，獲得現(xiàn)場與會嘉賓的一致好評。

　　盧中陽，原烏云社區(qū)核心白帽黑客，在應用安全、DevSecOps等領域擁有十年以上工作經(jīng)驗。

　　2020年創(chuàng)立火線安全，任聯(lián)合創(chuàng)始人兼CTO，主導研發(fā)并推出了全球首款開源的交互式應用安全測試產(chǎn)品洞態(tài)IAST，已在全球20多個國家實現(xiàn)實際落地部署應用?，F(xiàn)任基調(diào)聽云安全事業(yè)部總經(jīng)理，全面負責基調(diào)聽云安全產(chǎn)品的研發(fā)與產(chǎn)品工作，主導推出了國內(nèi)首款應用安全態(tài)勢管理產(chǎn)品安云ASPM。

　　盧中陽首先分析了當前應用安全領域面臨的挑戰(zhàn)：

　　1.  漏洞數(shù)量激增：從2014年到2024年，應用相關的漏洞占比接近80%，主要原因包括應用更新頻繁、組件復雜度增加、以及底層系統(tǒng)升級導致的新漏洞不斷出現(xiàn)。

　　2.  0-day 漏洞威脅：未知漏洞在未修復前對企業(yè)系統(tǒng)構成巨大風險，傳統(tǒng)安全設備難以及時識別和應對。

　　3.  傳統(tǒng)安全產(chǎn)品的局限性：

　　WAF（網(wǎng)絡應用防火墻）：

　　雖然能檢測已知攻擊，但對未知攻擊和細粒度防護能力不足。

　　RASP（運行時應用自我保護）：

　　部署和維護成本高，對業(yè)務性能有影響，且需要深度依賴開發(fā)團隊支持。

　　為了有效應對以上挑戰(zhàn)，基調(diào)聽云推出了全新的 ASPM（應用安全態(tài)勢管理）理念，即通過可觀測性、應用性能管理與應用安全相結合，實現(xiàn)深層次的應用運行時安全防護。

　　● 結合可觀測性平臺的優(yōu)勢：通過擴展現(xiàn)有的可觀測性 Agent，無需額外部署安全 Agent，實現(xiàn)對安全數(shù)據(jù)的采集和分析，降低成本和維護難度。

　　● 多階段威脅識別：

　　·攻擊探測階段：識別異常請求、惡意掃描等行為，捕獲攻擊前兆。

　　·攻擊執(zhí)行階段：檢測惡意代碼執(zhí)行、SQL 注入、內(nèi)存泄露等實際攻擊行為。

　　·數(shù)據(jù)泄露階段：監(jiān)控敏感數(shù)據(jù)訪問和傳輸，防止數(shù)據(jù)外泄。

　　● API 資產(chǎn)梳理：通過 Agent 在應用啟動階段一次性采集全量 API 資產(chǎn)，解決傳統(tǒng)基于流量和網(wǎng)關無法準確覆蓋 API 資產(chǎn)的盲點。

　　● 快速溯源與響應：利用可觀測性平臺的實時數(shù)據(jù)和上下文信息，幫助安全團隊快速定位問題源頭，提升響應效率。

　　● 業(yè)務風險監(jiān)測：基于聽云可觀測平臺精準的用戶和用戶行為數(shù)據(jù)，ASPM 可實現(xiàn)入撞庫、爬蟲、越權訪問敏感信息等業(yè)務風險監(jiān)測。

　　一家位于上海的公司在完成了整個安全防護體系的建設后，在攻防演練過程中發(fā)現(xiàn)類似內(nèi)存馬等無文件攻擊可輕松繞過現(xiàn)有防護體系，這種攻擊在流量層和主機層均不會被察覺。但 ASPM 可基于運行時代碼堆棧數(shù)據(jù)進行入侵檢測，這類攻擊行動也無所遁形。

　　在一個實際落地案例中，基調(diào)聽云在客戶的生產(chǎn)環(huán)境中復用現(xiàn)有的 APM Agent，快速啟用安全能力，無論是核心業(yè)務系統(tǒng)還是邊緣業(yè)務系統(tǒng)，全部迅速被賦能安全能力。通過這一部署，聽云 ASPM 成功檢測到了幾起攻擊者利用漏洞繞過 WAF 后進入應用內(nèi)部的攻擊行為。得益于聽云 ASPM 的 Agent 部署在應用內(nèi)部，因此具備深度的發(fā)現(xiàn)能力，能夠發(fā)現(xiàn)這些隱蔽的安全威脅。

　　ASPM 借助可觀測性平臺的統(tǒng)一 Agent，不僅減少了額外部署和維護的成本，還提升了系統(tǒng)的穩(wěn)定性和安全性，實現(xiàn)了對應用安全的高效觀測與防護?？捎^測性與應用安全的融合，為企業(yè)提供了一種高效、低成本的安全防護新模式。通過 ASPM，企業(yè)可以在現(xiàn)有的可觀測性平臺上拓展安全能力，及時發(fā)現(xiàn)并應對應用層面的安全威脅，促進業(yè)務的安全穩(wěn)定運行。

　　會議現(xiàn)場，基調(diào)聽云在展臺為參會嘉賓帶來了精彩的展臺活動與精美禮品，基調(diào)聽云的技術專家在展臺為參會嘉賓詳細介紹了基調(diào)聽云在可觀測性與應用安全領域的最新創(chuàng)新與實踐。

　　此次會議的圓滿落幕，不僅為金融行業(yè)的信息科技風險管理與金融應用系統(tǒng)安全管理提供了高水平的交流平臺，也彰顯了行業(yè)對未來安全發(fā)展的共同期待。

　　基調(diào)聽云安全事業(yè)部總經(jīng)理盧中陽的精彩演講，深入探討了下一代運行時安全技術方案，啟發(fā)了與會嘉賓對應用安全態(tài)勢管理的新思考。

　　展望未來，隨著科技的不斷進步和數(shù)字化轉型的深入推進，金融應用系統(tǒng)的安全管理將迎來新的機遇與挑戰(zhàn)。各金融機構和科技企業(yè)唯有攜手合作，持續(xù)創(chuàng)新，共同構建完善的安全防護體系，才能有效應對風險，推動金融行業(yè)的高質量發(fā)展。

免責聲明：以上內(nèi)容為本網(wǎng)站轉自其它媒體，相關信息僅為傳遞更多信息之目的，不代表本網(wǎng)觀點，亦不代表本網(wǎng)站贊同其觀點或證實其內(nèi)容的真實性。如稿件版權單位或個人不想在本網(wǎng)發(fā)布，可與本網(wǎng)聯(lián)系，本網(wǎng)視情況可立即將其撤除。