【51CTO.com原創稿件】2016年即將過去，回顧今年的網絡安全領域比較新的技術詞，筆者首先想到了自適應安全。一直以來，筆者對自適應安全一知半解，總想弄個明白。目前，我國在自適應安全方面才剛剛起步，筆者了解到現在專注自適應安全的廠商主要有青藤云安全、OneASP、睿石網絡等網絡安全廠商。于是，近日筆者采訪了OneASP首席安全顧問何迪生。

[[180561]]

OneASP首席安全顧問何迪生

采訪地點約到了OneASP公司會議室，會議室的整體布局桌椅擺放很像一個課堂。特別是當采訪正式開始之后，筆者的這種感覺更為強烈。在會議室等了幾分鐘后，我見到了何迪生。與我所猜想的不同，他并沒有我想象中的那種嚴肅，很是和藹可親。互換名片自我介紹之后，我們自然而然的就聊了起來。

何迪生是誰?

何迪生畢業于加拿大滑鐵盧大學，擁有統計學/計算機科學學士以及精算學碩士學位。畢業后的十幾年，他基本都在北美洲工作。后因家庭原因回到國內發展，先后擔任香港警署“防犯罪技術部”安全咨詢顧問，信息系統安全協會(ISSA)香港分會總裁，國際信息系統審計和控制協會(ISACA)北京事務委員會主席，WTO第六次部長會議的首席安全咨詢師。并于2008年，擔任北京奧運會奧運城市運行指揮平臺的安全顧問，也正是這次機遇讓他和北京結下了不解之緣。

何迪生說自己的事業一直沒有離開安全，OneASP是他的另外一個起點。曾經他思考過在未來的十年，二十年后自己會在哪里，答案是中國。在希望將自己的知識和能力服務于中國的網際安全，為中國的本地安全體系建設貢獻自己的一份力量。

之所以選擇進入OneASP，源于好友OneAPM副總裁林元宏的邀請。通過與OneAPM董事長何曉陽的接觸，以及后期的對公司的深入了解。對于未來應用層安全未來防御體系建設的看法，何迪生心中的想法與OneASP的發展規劃高度一致。

他是這樣介紹為建立下一代安全體系所做的事情的

聊到為建立下一代安全體系所做的事情，專注的那些安全技術。何迪生走向寫字板，開始從自適應安全，到OneASP選擇做應用層安全防護的初衷，再到產品技術細節，耐心地為我講解起來。

首先，對于自適應安全這個概念，他解釋到，自適應安全 (Adaptive Security) 是Gartner于2014年提出的面向下一代的安全體系，其最突出的特點就是“智能、自動化”，該理念認為云時代的安全服務應以持續監控和行為識別為核心引擎，覆蓋預測、防御、監控、回溯四個周期，可自適應于不同基礎架構和業務變化并形成統一安全策略，從而應對未來更隱秘、專業的高級攻擊。自適應安全在國內還是一個比較新的概念,需要業界共同努力才能達到”安全自適應”應該達到的標準.

其次，他指出，一方面，棱鏡門事件之后，我國信息安全已經上升至國家戰略高度。然而政府在信息安全方面的投入主要集中在網絡層和主機層的防護上，諸如：防火墻、IDS/IPS、AV、主機加固及補丁管理等。然而，與網絡層和主機層安全相比，如今更多的入侵者選擇應用層為突破口，攻擊手段隱秘且防不勝防。SQL注入、跨站腳本攻擊 (XSS)、跨站請求偽造(Cross-site request forgery )都是攻擊者常采用的攻擊方式，他們通過SQL注入盜取用戶數據，通過“HTML注入”篡改網頁、插入惡意的腳本控制用戶瀏覽器……

另一方面，目前傳統的處理應用層的安全問題的產品和方案都是以WAF(Web Application Firewall)為主，但是WAF對于管理人員的技術水平要求較高。而我國甚至全球的安全人才極為稀缺。有關調查顯示，我國每年對于安全人才的需求達到100萬，但實際人才輸出僅有2萬，有高達98% 的缺口。因此，由于策略配置的不妥當帶來的誤殺誤報現象也就十分嚴重。

據Gartner 報告顯示，超過80%的網絡攻擊都發生在應用層。然而國內現有的安全防護方案，大多是基于數據流做防護，無法深入應用內部，由此帶來的誤殺誤報率很高。

所以，OneASP選擇了RASP(RuntimeApplication Self-Protection，實時應用自我保護)這個細分領域探索。OneASP也是國內第一家做RASP的創業公司。

緊接著，他解釋說，RASP是由Gartner 分析師Feiman在2014年9月提出的一種全新概念，它能夠與應用一起運行，結合應用的邏輯和數據流，在運行時對訪問應用的代碼進行檢測;對于已知漏洞打虛擬補丁，起到補償控制的作用。該技術已成為目前業界已知的對SQL注入防護最高的一種手段，國外的廠商有Prevoty, Waratek等。例如：針對XSS攻擊，RASP定制了針對XSS攻擊的規則集和防護類，然后采用Java字節碼技術，在被保護的類被加載進虛擬機之前，根據規則對被保護的類進行修改，將防護類織入到被保護的類中，從而有效地抵御 XSS 這種攻擊。

最后，他介紹說，基于RASP的OneASP安全平臺集成了預測、預防、檢測和響應的能力為用戶提供精準、持續、可視化的安全防護。目前，OneASP 能夠提供 SaaS 模式和本地化部署模式，客戶主要集中在電商、金融、互聯網金融等領域。OneRASP的優勢主要體現在：一是，傳統的安全產品無法進入應用內部及時發現并阻止攻擊，誤殺誤報率高，而RASP 探針像一劑疫苗注入到應用中，以虛擬補丁的形式存在，賦予其自身免疫能力，在應用被完全修復前降低應用被攻擊的可能。二是，OneRASP操作簡單，降低了對運維管理人員的技術水平要求。相對于傳統的安全解決方案，還可幫助用戶節省其在安全層面的費用支出。

那么，未來RASP是否會替代WAF呢?他表示，RASP技術并不會完全取代WAF。并提議，在應用層采用 Defense-In-Depth (DID)安全縱深防御體系這個概念，即應用層安全縱深防御體系 (AppSec DID)，分成應用層周邊與內部兩個部分，周邊用WAF，內部用RASP，將兩者結合集成起來將會把監控與防御做得更好。

采訪結束，筆者問及2017年OneAsp的發展目標與規劃。

何迪生回答說：“2017年，我們不僅會把RASP技術運用好，還計劃針對應用層做一個輕量級自動化的整體防護架構，力求幫助用戶更好的把控應用層的不同安全風險。最主要的是，我們會以服務的態度幫助客戶解決安全問題，獲取客戶認同是我們的發展動力。我們也一直在用踏實的行動，努力打造一家‘絕對可信賴’的安全服務企業形象，以提供易用可靠的安全服務為主的企業，而不是只賣安全產品的公司。”

附：OneASP與OneAPM的關系

OneAPM，即北京藍海訊通科技股份有限公司，是中國基礎軟件領域的新興領軍企業。專注于提供新一代 ITOM(IT 運維管理)軟件和服務。2016年8月15日，正式掛牌新三板(股票代碼 838699)。OneAPM 是全球首家可以同時從系統服務層、應用層、用戶體驗層、業務交易層提供性能管理服務的公司。經過8年的技術與產品積累與沉淀，已經能夠提供本地化部署和 SaaS 部署模式，支持所有主流的編程語言和框架。

OneASP 是北京藍海訊通科技股份有限公司旗下的獨立公司。OneRASP屬于OneASP應用安全的一個產品線。

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】