01|
传统 RASP 落地的两大“拦路虎”
除了 WAF 和主机安全等基于流量或主机侧的产品外,RASP 本应是应用安全的重要防线。但经过多年观察,我们发现传统 RASP 方案在实际落地中存在两个难以逾越的障碍:
01
技术资源投入的巨大鸿沟
可观测性厂商的资源投入往往是安全厂商的十倍以上,这直接决定了产品的稳定性和成熟度。
可观测性厂商(如基调听云): 在 Agent 研发和技术支持上,通常拥有数百人的团队规模。
传统安全厂商: 投入 Agent 研发的往往是十几人的小团队。
结论: 面对具有强入侵性的 Agent 技术,可观测性厂商的资源投入往往是安全厂商的十倍以上,这直接决定了产品的稳定性和成熟度。
02|
安云的“可观测性+安全”融合之道”
基调听云·安云通过“复用可观测性能力”,从架构层面完美解决了上述问题:
01
统一 Agent,零运维成本
方案逻辑: 安云不再单独部署安全探针,而是直接复用基调听云成熟的可观测性 Agent。
权责清晰: 运维团队统一管理和维护 Agent 的稳定性;安全团队则专注于使用采集到的运行时数据进行安全分析。
价值: 这避免了让不具备运维能力的安全人员去背负生产稳定性的风险,彻底解决了“谁为事故负责”的长期矛盾。
02
全链路覆盖,数据采集更完整
部署深度: 银行等核心业务系统对稳定性要求极高,通常都会部署可观测性 Agent,但往往不敢部署独立的 RASP Agent(通常只敢部署在边缘外围系统)。
数据完整性: 由于复用了可观测性 Agent,安云可以深入到最核心的业务系统中。这确保了我们能采集到完整的攻击链路数据,避免因数据断层导致的分析失败。
03|
产品三大核心能力升级
基于上述架构优势,安云在具体功能上实现了三个维度的突破:
01
基于 AI 的运行时威胁感知
深度上下文: 通过实时获取运行时堆栈,我们可以捕获敏感函数、参数、执行的 SQL 语句等详细上下文,实现精准预警。
Trace 联动: 将运行时 Trace 数据与代码调用链关联,大幅提升告警准确率。
AI 修复: 结合大模型能力,不仅能发现问题,还能直接给出函数级、代码级的修复方案建议。
02
主动式 API 资产全量测绘
传统的网关被动流量统计往往存在盲区。安云采用框架级路由监控方案:
启动即捕获: 在应用启动时,通过监控路由注册函数,一次性捕获所有 API 资产。
无死角覆盖: 无论是未下线的僵尸 API、内部测试接口,还是隐藏的后门 API,即使没有流量请求,也能被精准发现。
03
基于 AI 的供应链安全(SCA)深度研判
针对供应链安全领域“漏洞报警多、修复难、优先级不清”的现状,安云在 T0 最新版本中引入了深度观测能力,对风险组件进行科学的优先级排序:
第一步:API 资产关联分析
我们将组件与 API 资产关联,通过标签化分析风险暴露面:
该组件关联的 API 是否暴露在公网?背后是否连接敏感数据库?是否存在外部文件下载行为?
第二步:代码级真实调用验证(Reachability Analysis)
利用 Trace 和生产环境代码信息,深入分析组件的调用位置:
漏洞函数是否真的被执行了?调用的上下文是否存在真实攻击风险?
最终价值:科学定级
通过上述分析,我们不再让业务团队盲目升级所有组件,而是给出有理有据的修复清单:哪些必须立即修(存在真实调用且暴露公网);哪些可以暂缓修(代码未调用或内网隔离);并提供完整的研判逻辑和分析理由。
基调听云·安云不仅仅是一个安全工具,更是基于可观测性技术对应用安全的一次重构。我们致力于用更稳定的架构、更全的数据、更智能的 AI,帮助企业实现安全与业务的共赢。感谢大家的关注,我们下期再见。
推荐阅读
