證券行業(yè)作為金融體系的核心組成部分，擁有獨(dú)特且復(fù)雜的業(yè)務(wù)系統(tǒng)，包括交易、清算與結(jié)算、風(fēng)險(xiǎn)管理等。這些系統(tǒng)直接支撐著證券公司的核心業(yè)務(wù)運(yùn)作，其高頻率、低延遲、復(fù)雜的IT架構(gòu)和廣泛的業(yè)務(wù)分布，形成了與其他行業(yè)明顯不同的特殊性。隨著數(shù)字化轉(zhuǎn)型和金融科技的快速發(fā)展，證券公司在提升業(yè)務(wù)能力和客戶體驗(yàn)的同時(shí)，也面臨著前所未有的網(wǎng)絡(luò)安全挑戰(zhàn)。

　　復(fù)雜的系統(tǒng)架構(gòu)和開放的業(yè)務(wù)環(huán)境增加了潛在的安全漏洞，尤其是各業(yè)務(wù)系統(tǒng)之間的交互和數(shù)據(jù)共享，可能成為攻擊者的突破口。高級(jí)持續(xù)性威脅（APT）等黑客組織利用先進(jìn)的技術(shù)和手段，對(duì)證券公司的核心系統(tǒng)進(jìn)行長(zhǎng)期、有針對(duì)性的攻擊，傳統(tǒng)的安全措施難以及時(shí)發(fā)現(xiàn)和防御。與此同時(shí)，業(yè)務(wù)的實(shí)時(shí)性要求安全防護(hù)同樣具備實(shí)時(shí)監(jiān)測(cè)和響應(yīng)能力，避免因安全事件導(dǎo)致的業(yè)務(wù)中斷和客戶信任的流失。

　　某大型證券企業(yè)意識(shí)到，傳統(tǒng)安全措施已無(wú)法滿足其對(duì)應(yīng)用運(yùn)行態(tài)安全的嚴(yán)苛要求，亟需一種能夠深入應(yīng)用程序運(yùn)行時(shí)，提供實(shí)時(shí)安全監(jiān)測(cè)和防護(hù)的解決方案。在保障系統(tǒng)高性能的同時(shí)，提升運(yùn)行時(shí)的安全防護(hù)能力，成為該證券企業(yè)的核心需求。

　　證券公司的業(yè)務(wù)特性決定了其對(duì)安全防護(hù)的高要求，通過(guò)對(duì)證券行業(yè)業(yè)務(wù)系統(tǒng)的深入理解，基調(diào)聽云認(rèn)識(shí)到運(yùn)行時(shí)安全觀測(cè)對(duì)于證券公司的重要性和必要性。近年來(lái)，國(guó)外可觀測(cè)領(lǐng)域的廠商基于在應(yīng)用運(yùn)行時(shí)的數(shù)據(jù)采集與治理優(yōu)勢(shì)，開始大力涉足安全領(lǐng)域，特別是運(yùn)行時(shí)安全領(lǐng)域。例如，Datadog收購(gòu)Hdiv后推出了應(yīng)用程序安全監(jiān)控（ASM）產(chǎn)品，Dynatrace、New Relic也相繼推出運(yùn)行時(shí)應(yīng)用程序保護(hù)產(chǎn)品。這些產(chǎn)品能夠深入應(yīng)用運(yùn)行時(shí)，實(shí)時(shí)監(jiān)測(cè)應(yīng)用程序的內(nèi)部行為，識(shí)別異?；顒?dòng)和潛在威脅，如SQL注入等，提供精準(zhǔn)的威脅檢測(cè)，并在對(duì)應(yīng)用性能影響最小的情況下，提供強(qiáng)大的安全防護(hù)能力。

　　可觀測(cè)性與運(yùn)行時(shí)安全的結(jié)合，為證券行業(yè)提供了一條提升安全能力的創(chuàng)新之路，有助于證券企業(yè)在激烈的市場(chǎng)競(jìng)爭(zhēng)中保持競(jìng)爭(zhēng)優(yōu)勢(shì)，保障業(yè)務(wù)的連續(xù)性和客戶的信任?；{(diào)聽云與某大型證券行業(yè)客戶合作，探索基于可觀測(cè)性的運(yùn)行時(shí)安全方案。通過(guò)統(tǒng)一的數(shù)據(jù)采集和處理方案，為運(yùn)維、研發(fā)、安全、業(yè)務(wù)等多個(gè)部門提供一致的數(shù)據(jù)視圖，實(shí)現(xiàn)降本增效的同時(shí)，有效提升業(yè)務(wù)系統(tǒng)的穩(wěn)定性。期望通過(guò)實(shí)時(shí)的運(yùn)行時(shí)監(jiān)測(cè)和安全防護(hù)，降低系統(tǒng)故障和安全事件的發(fā)生概率，促進(jìn)各部門的協(xié)同效率。

　　本文將深入探討可觀測(cè)性運(yùn)行時(shí)安全方案在證券行業(yè)的應(yīng)用與實(shí)踐，分析其在大型證券企業(yè)中的具體落地過(guò)程，包括面臨的挑戰(zhàn)和解決思路，旨在為證券行業(yè)的數(shù)字化安全轉(zhuǎn)型提供參考和借鑒。

　　國(guó)內(nèi)應(yīng)用運(yùn)行態(tài)安全現(xiàn)狀

　　該大型證券行業(yè)客戶傳統(tǒng)的應(yīng)用安全措施主要依賴于流量層的WAF、主機(jī)安全產(chǎn)品和防病毒軟件等靜態(tài)防護(hù)手段，然而這些方法在應(yīng)對(duì)現(xiàn)代復(fù)雜多變的網(wǎng)絡(luò)攻擊時(shí)顯得力不從心。隨著攻防對(duì)抗的逐步深入，防守方開始在端側(cè)使用私有的加密協(xié)議，這雖然在一定程度上增加了入侵難度，但也將標(biāo)準(zhǔn)的安全產(chǎn)品如WAF致盲。與此同時(shí)，攻擊方開始重點(diǎn)關(guān)注如內(nèi)存馬等傳統(tǒng)安全產(chǎn)品無(wú)法覆蓋的無(wú)文件攻擊場(chǎng)景，應(yīng)用運(yùn)行態(tài)安全威脅在持續(xù)上升。

　　面對(duì)應(yīng)用運(yùn)行態(tài)的安全挑戰(zhàn)，該大型證券行業(yè)客戶最初采用了RASP類型的產(chǎn)品來(lái)彌補(bǔ)應(yīng)用運(yùn)行時(shí)防護(hù)能力的不足，但RASP產(chǎn)品的Agent自身的資源占用、Agent穩(wěn)定性，以及在生產(chǎn)環(huán)境出現(xiàn)穩(wěn)定性故障時(shí)如何自證清白等問(wèn)題成了RASP遲遲不能大規(guī)模落地的攔路虎。最終，客戶只敢在攻防演練期間，在最外圍的部分節(jié)點(diǎn)中部署RASP Agent，這成為了RASP類型產(chǎn)品在國(guó)內(nèi)最常見，也是最終的使用形態(tài)。

　　RASP類型的產(chǎn)品在國(guó)內(nèi)出現(xiàn)已經(jīng)有十余年時(shí)間，其主要面臨的問(wèn)題如下：

　　1.技術(shù)壁壘高，行業(yè)資源投入不足：

　　生產(chǎn)環(huán)境的Agent需要運(yùn)行在客戶最核心的生產(chǎn)環(huán)境系統(tǒng)中，直接入侵到進(jìn)程中，采集運(yùn)行時(shí)的代碼堆棧信息，有較強(qiáng)的入侵性。Agent從開發(fā)、測(cè)試、配合客戶灰度等等環(huán)節(jié)，都需要投入巨大的技術(shù)和售后人力支持。Datadog和Dynatrace是國(guó)外基于Agent技術(shù)從事可觀測(cè)性的典型公司，其員工人數(shù)在5000人上下。國(guó)內(nèi)可觀測(cè)性廠商中，僅圍繞Agent的產(chǎn)品研發(fā)和技術(shù)支持的人力少則兩三百，多則四五百人。而反觀國(guó)內(nèi)RASP產(chǎn)品線，產(chǎn)研團(tuán)隊(duì)形態(tài)基本以安全廠商的子部門為主，人力投入完全不在一個(gè)量級(jí)。

　　2.兼容性差，難以融入現(xiàn)有IT體系：

　　由于人員投入不足，RASP Agent的兼容性難以保證。RASP的Agent沒有經(jīng)過(guò)廣泛的部署驗(yàn)證，難以保證與客戶原有系統(tǒng)框架完美兼容、難以保證與SkyWalking、Jacoco、EDR等系統(tǒng)的的Agent完美兼容。難以實(shí)現(xiàn)相關(guān)類的增強(qiáng)，預(yù)期的安全防護(hù)效果也無(wú)法顯現(xiàn)。

　　3.高聳的部門墻難以突破：

　　在生產(chǎn)環(huán)境中部署RASP Agent，除安全部門外，還需要測(cè)試、運(yùn)維部門進(jìn)行緊密的跨部門協(xié)作，然而，RASP的產(chǎn)出卻只對(duì)安全部門產(chǎn)生價(jià)值。如何說(shuō)服測(cè)試部門投入額外的資源進(jìn)行全面而深入的測(cè)試？如何證明Agent的資源消耗在穩(wěn)定、合理的范圍內(nèi)？如何說(shuō)服運(yùn)維部門把侵入性的Agent部署到生產(chǎn)環(huán)境中？這其實(shí)非常困難，即便在領(lǐng)導(dǎo)推動(dòng)下進(jìn)行了第一次測(cè)試，后續(xù)的應(yīng)用更新也很難保證能夠按時(shí)按量進(jìn)行測(cè)試。

　　更令人擔(dān)憂的是，這還不是成本最高的環(huán)節(jié)，Agent成功運(yùn)行后，生產(chǎn)環(huán)境在出現(xiàn)穩(wěn)定性故障、資源異常占用等問(wèn)題時(shí)，產(chǎn)研、運(yùn)維部門每次都要多排查一個(gè)維度，這往往會(huì)要求安全部門及Agent廠商自證清白。久而久之，各部門陷入內(nèi)耗，部門墻越來(lái)越高。

　　再加上經(jīng)過(guò)成體系的安全防護(hù)方案的過(guò)濾，進(jìn)入應(yīng)用深層的攻擊次數(shù)較少，RASP的產(chǎn)出比較隨機(jī)，如果半年時(shí)間都沒有遇到一次深度的攻擊，各部門會(huì)逐漸達(dá)成共識(shí)，并迎來(lái)打破部門墻的事件：把RASP下線。

　　因此，RASP類產(chǎn)品的實(shí)際應(yīng)用效果難以言喻：

　　1.核心系統(tǒng)部署無(wú)望：客戶只能接受在特殊攻防演練期間的部分外圍節(jié)點(diǎn)打開，內(nèi)部大量的核心系統(tǒng)不會(huì)啟用。

　　2.部署難度、溝通阻力大：在生產(chǎn)環(huán)境中部署安全Agent，投入資源多、業(yè)務(wù)風(fēng)險(xiǎn)大，運(yùn)維、測(cè)試部門配合積極性不高。

　　3.安全能力受限：在各種妥協(xié)下，RASP最終只能采集到部分應(yīng)用的部分運(yùn)行時(shí)數(shù)據(jù)，不完整、不準(zhǔn)確的數(shù)據(jù)直接影響到了安全產(chǎn)品的安全能力。

　　基于可觀測(cè)性的運(yùn)行時(shí)安全解決方案

　　可觀測(cè)性（Observability）是指通過(guò)系統(tǒng)的外部輸出來(lái)度量系統(tǒng)內(nèi)部運(yùn)行狀態(tài)的能力，是傳統(tǒng)的應(yīng)用性能監(jiān)控（APM）演進(jìn)的下一階段?？捎^測(cè)性通過(guò)五大信號(hào)幫助工程師深入了解系統(tǒng)的運(yùn)行狀態(tài)、性能和潛在問(wèn)題，它們包括：指標(biāo)（Metrics）、追蹤（Traces）、日志（Logs）、剖析（Profiles）和轉(zhuǎn)儲(chǔ)（Dumps）。該大型證券行業(yè)客戶與基調(diào)聽云一起，在APM的能力基礎(chǔ)之上，構(gòu)建了一套完整的可觀測(cè)性平臺(tái)，通過(guò)一體化的數(shù)據(jù)采集、數(shù)據(jù)分析、數(shù)據(jù)呈現(xiàn)等能力，為應(yīng)用性能監(jiān)控、用戶體驗(yàn)監(jiān)控、業(yè)務(wù)連續(xù)性與可用性，以及應(yīng)用安全提供深度的應(yīng)用運(yùn)行時(shí)數(shù)據(jù)。

　　通過(guò)可觀測(cè)性平臺(tái)的UniAgent進(jìn)行統(tǒng)一數(shù)據(jù)采集與治理，僅需在主機(jī)上部署一個(gè)UniAgent，無(wú)需區(qū)分開發(fā)語(yǔ)言，該大型證券行業(yè)客戶實(shí)現(xiàn)了自動(dòng)化的主機(jī)、應(yīng)用程序、組件、服務(wù)、數(shù)據(jù)庫(kù)等監(jiān)控對(duì)象的指標(biāo)采集，避免了安全與運(yùn)維部門重復(fù)采集、重復(fù)處理數(shù)據(jù)。通過(guò)統(tǒng)一的數(shù)據(jù)采集、治理、分析平臺(tái)，大家可以共用一份數(shù)據(jù)，打破數(shù)據(jù)孤島，最終實(shí)現(xiàn)跨部門的協(xié)同合作，避免了不同部門根據(jù)不完整且不同維度的數(shù)據(jù)分析出完全不一樣的結(jié)論。在避免了計(jì)算資源浪費(fèi)的同時(shí)，也避免了對(duì)組織人力資源的浪費(fèi)。

　　圖：統(tǒng)一可觀測(cè)性平臺(tái)全景圖

　　基于可觀測(cè)性平臺(tái)的統(tǒng)一數(shù)據(jù)采集與治理，應(yīng)用安全態(tài)勢(shì)管理（Application Security Posture Management，ASPM）成為了新一代應(yīng)用運(yùn)行時(shí)安全的解決方案。ASPM利用可觀測(cè)性實(shí)時(shí)采集的生產(chǎn)環(huán)境數(shù)據(jù)，將可觀測(cè)性與應(yīng)用安全深度融合，為應(yīng)用程序的運(yùn)行狀態(tài)和潛在安全威脅提供深度洞察，幫助企業(yè)及時(shí)識(shí)別并應(yīng)對(duì)安全風(fēng)險(xiǎn)。ASPM填補(bǔ)了流量層與主機(jī)層安全產(chǎn)品之間的防護(hù)空白，實(shí)時(shí)分析應(yīng)用運(yùn)行時(shí)的安全態(tài)勢(shì)，提供威脅感知、威脅分析、API資產(chǎn)梳理、安全事件阻斷等運(yùn)行時(shí)應(yīng)用安全能力。

　　更重要的是，ASPM通過(guò)利用可觀測(cè)性收集的數(shù)據(jù)，無(wú)需在生產(chǎn)環(huán)境中重新部署安全Agent，只需在現(xiàn)有可觀測(cè)性平臺(tái)上一鍵開啟安全功能。這種方式為該大型證券行業(yè)客戶節(jié)省了大量的部署和測(cè)試時(shí)間與成本，提升了安全能力的部署效率，同時(shí)也避免了重復(fù)部署Agent為生產(chǎn)環(huán)境引入新的風(fēng)險(xiǎn)，避免了部門間的摩擦。

　　圖：ASPM與流量層、主機(jī)層安全產(chǎn)品共同構(gòu)建縱深防御體系

　　圖：ASPM檢測(cè)原理

　　ASPM檢測(cè)原理：

　　① 惡意用戶對(duì)應(yīng)用發(fā)起入侵攻擊行為

　?、?Agent采集數(shù)據(jù)并由ASPM通過(guò)實(shí)時(shí)Hook監(jiān)測(cè)進(jìn)行安全風(fēng)險(xiǎn)分析

　　③ ASPM對(duì)訪問(wèn)請(qǐng)求進(jìn)行追蹤分析，精準(zhǔn)發(fā)現(xiàn)威脅并告警

　?、?采取相應(yīng)阻斷措施，及時(shí)中斷應(yīng)用與當(dāng)前惡意用戶的連接

　　基于可觀測(cè)性構(gòu)建的應(yīng)用運(yùn)行時(shí)安全解決方案ASPM，具備統(tǒng)一的數(shù)據(jù)采集、統(tǒng)一存儲(chǔ)架構(gòu)、數(shù)據(jù)的統(tǒng)一利用以及打破部門間數(shù)據(jù)孤島等特點(diǎn)。

　　1.數(shù)據(jù)的統(tǒng)一采集

　　在ASPM中，統(tǒng)一的數(shù)據(jù)采集是核心基礎(chǔ)，而此處數(shù)據(jù)采集的來(lái)源是成熟的APM Agent。APM已經(jīng)是非常成熟的運(yùn)維產(chǎn)品，經(jīng)歷了多年生產(chǎn)環(huán)境的真實(shí)考驗(yàn)，其探針技術(shù)具備極強(qiáng)的先進(jìn)性、穩(wěn)定性，在企業(yè)中已有廣泛部署。通過(guò)數(shù)據(jù)的統(tǒng)一采集，安全、運(yùn)維等各部門可以基于同一份數(shù)據(jù)進(jìn)行分析，避免了數(shù)據(jù)重復(fù)采集帶來(lái)的流量、存儲(chǔ)和計(jì)算上的資源浪費(fèi)。ASPM通過(guò)整合多渠道的數(shù)據(jù)源，如應(yīng)用日志、Trace、指標(biāo)和網(wǎng)絡(luò)流量數(shù)據(jù)等，讓安全能力全面覆蓋應(yīng)用程序運(yùn)行的各個(gè)環(huán)節(jié)。通過(guò)采用高效的數(shù)據(jù)采集工具和技術(shù)，確保數(shù)據(jù)的實(shí)時(shí)性和準(zhǔn)確性，并通過(guò)數(shù)據(jù)標(biāo)準(zhǔn)化，統(tǒng)一數(shù)據(jù)格式與規(guī)范，提升了數(shù)據(jù)的可用性和一致性。

　　2.統(tǒng)一存儲(chǔ)架構(gòu)

　　統(tǒng)一的存儲(chǔ)架構(gòu)是實(shí)現(xiàn)數(shù)據(jù)整合與高效管理的重要保障。數(shù)據(jù)湖倉(cāng)結(jié)合了數(shù)據(jù)湖的靈活性和數(shù)據(jù)倉(cāng)庫(kù)的高性能分析能力，為企業(yè)提供一個(gè)統(tǒng)一的數(shù)據(jù)存儲(chǔ)與查詢平臺(tái)，支持對(duì)各類異構(gòu)的可觀測(cè)性及安全數(shù)據(jù)提供統(tǒng)一存儲(chǔ)和查詢接口。在低成本的前提下，實(shí)現(xiàn)了海量數(shù)據(jù)的高效存儲(chǔ)與快速檢索，確保數(shù)據(jù)具備良好的可擴(kuò)展性和可靠性；同時(shí)，支持大規(guī)模并發(fā)訪問(wèn)及實(shí)時(shí)查詢，可滿足運(yùn)行時(shí)安全對(duì)數(shù)據(jù)處理的高要求。

　　3.數(shù)據(jù)的統(tǒng)一利用

　　基于數(shù)據(jù)的統(tǒng)一利用，安全團(tuán)隊(duì)能夠迅速識(shí)別并響應(yīng)潛在威脅。通過(guò)實(shí)時(shí)數(shù)據(jù)顯示分析，運(yùn)用流式處理及實(shí)時(shí)分析技術(shù)，對(duì)收集的數(shù)據(jù)進(jìn)行即時(shí)處理，及時(shí)發(fā)現(xiàn)異常情況和潛在威脅；利用儀表盤等可視化工具，將復(fù)雜的數(shù)據(jù)及分析結(jié)果以直觀的形式呈現(xiàn)，幫助安全團(tuán)隊(duì)快速理解信息并作出決策；整合自動(dòng)化響應(yīng)機(jī)制，在檢測(cè)到安全威脅時(shí)，能夠自動(dòng)觸發(fā)防護(hù)措施，減少響應(yīng)時(shí)間和人為錯(cuò)誤的發(fā)生率。

　　4.打破部門間的數(shù)據(jù)孤島

　　基于全量可觀測(cè)性數(shù)據(jù)建立的統(tǒng)一可觀測(cè)性平臺(tái)有效打破了部門間的數(shù)據(jù)孤島，實(shí)現(xiàn)了信息共享與協(xié)同工作。安全團(tuán)隊(duì)、開發(fā)團(tuán)隊(duì)和運(yùn)營(yíng)團(tuán)隊(duì)可以在同一平臺(tái)上訪問(wèn)并分析相關(guān)數(shù)據(jù)，促進(jìn)信息共享和協(xié)作效率提升；通過(guò)細(xì)粒度的訪問(wèn)控制策略，確保不同團(tuán)隊(duì)在共享數(shù)據(jù)的同時(shí)，有效保護(hù)敏感信息不被泄露；通過(guò)建立跨部門的協(xié)同工作流程，提升對(duì)安全事件的響應(yīng)速度和處置效率，形成閉環(huán)式、完整的安全保障體系。

　　基于可觀測(cè)性的運(yùn)行態(tài)應(yīng)用安全能力

　　基于可觀測(cè)性提供的全量、準(zhǔn)確、實(shí)時(shí)的生產(chǎn)環(huán)境應(yīng)用運(yùn)行態(tài)數(shù)據(jù)，ASPM實(shí)現(xiàn)了全新的運(yùn)行態(tài)應(yīng)用安全能力，其中，威脅感知、API資產(chǎn)梳理、安全事件自動(dòng)阻斷等能力表現(xiàn)優(yōu)異。

　　1.威脅感知

　　威脅感知是基于可觀測(cè)性的運(yùn)行時(shí)安全解決方案的核心功能之一，通過(guò)實(shí)時(shí)監(jiān)控和分析應(yīng)用運(yùn)行中的各種數(shù)據(jù)，識(shí)別潛在的安全威脅。具體包括：

　　① 異常行為檢測(cè)

　　利用自研的AI和精細(xì)的行為分析技術(shù)，精確地識(shí)別出偏離常規(guī)操作運(yùn)行模式的異常行為，從而在龐大的數(shù)據(jù)集中有效甄別出授權(quán)用戶中潛藏的惡意或非正?；顒?dòng)跡象，利用用戶行為散點(diǎn)圖清晰可視化地展示用戶的異常行為。

　?、?漏洞感知預(yù)警

　　實(shí)時(shí)感知并預(yù)警應(yīng)用和系統(tǒng)面臨的各類攻擊行為，包括但不限于SQL注入攻擊、遠(yuǎn)程命令執(zhí)行漏洞利用、反序列化漏洞攻擊、內(nèi)存馬以及WebShell等，通過(guò)高度敏感的感知與預(yù)警機(jī)制，能夠迅速洞察并揭示應(yīng)用系統(tǒng)中的薄弱環(huán)節(jié)與潛在安全缺陷，確保在第一時(shí)間發(fā)現(xiàn)并響應(yīng)安全威脅。

　?、?漏洞自動(dòng)阻斷

　　自動(dòng)化漏洞防御機(jī)制能夠針對(duì)應(yīng)用系統(tǒng)存在的漏洞進(jìn)行深度監(jiān)控，一旦檢測(cè)到有攻擊者試圖利用這些漏洞進(jìn)行權(quán)限提升等惡意行為，系統(tǒng)會(huì)立即觸發(fā)自動(dòng)化的阻斷與處置流程，有效遏制攻擊進(jìn)程。同時(shí)，該機(jī)制還具備組件漏洞的自動(dòng)化修復(fù)能力，能夠迅速部署熱補(bǔ)丁，無(wú)需人工干預(yù)即可對(duì)漏洞進(jìn)行修補(bǔ)，從而顯著降低應(yīng)用系統(tǒng)遭受成功攻擊的風(fēng)險(xiǎn)，確保系統(tǒng)的持續(xù)安全與穩(wěn)定運(yùn)行。

　　④ 0-day防護(hù)

　　ASPM在不修改原有應(yīng)用程序、不引入新的漏洞的前提下，通過(guò)動(dòng)態(tài)加載應(yīng)用探針，與應(yīng)用系統(tǒng)融為一體，保障系統(tǒng)的安全性。平臺(tái)通過(guò)Agent獲取到程序執(zhí)行堆棧信息、代碼上下文相關(guān)的危險(xiǎn)函數(shù)，可以識(shí)別相關(guān)的攻擊行為，進(jìn)行自動(dòng)化處置響應(yīng)。針對(duì)變型的0-day漏洞，在不需要業(yè)務(wù)停擺的狀態(tài)下就可以實(shí)現(xiàn)安全補(bǔ)丁的自動(dòng)升級(jí)，保證業(yè)務(wù)系統(tǒng)正常的生產(chǎn)穩(wěn)定。

　　2.API資產(chǎn)梳理

　?、?主動(dòng)API資產(chǎn)梳理

　　在證券應(yīng)用中，API（應(yīng)用程序編程接口）扮演著連接內(nèi)部系統(tǒng)和外部服務(wù)的關(guān)鍵角色?，F(xiàn)有的針對(duì)應(yīng)用API梳理方法主要是通過(guò)分析請(qǐng)求日志、爆破的方式獲取梳理未知的API資產(chǎn)，這種方法梳理API主要依賴于請(qǐng)求和字典的強(qiáng)度，未請(qǐng)求到的API接口，包括后門API接口及管理API接口可能會(huì)泄露大量的敏感信息。API主動(dòng)資產(chǎn)梳理是通過(guò)在業(yè)務(wù)系統(tǒng)啟動(dòng)時(shí)，利用Hook機(jī)制植入到Servlet容器中，可以截獲所有被加載的Servlet和關(guān)聯(lián)的API信息，包括請(qǐng)求路徑（URL）、請(qǐng)求方法（GET、POST等）、請(qǐng)求參數(shù)、返回?cái)?shù)據(jù)類型、異常處理機(jī)制以及所涉及的類和方法等詳細(xì)信息。通過(guò)對(duì)這些數(shù)據(jù)的實(shí)時(shí)收集和整理，系統(tǒng)能夠無(wú)侵入性地、實(shí)時(shí)地構(gòu)建出完整的API清單，并以直觀的方式進(jìn)行展示。

　　② API調(diào)用監(jiān)控

　　實(shí)時(shí)密切監(jiān)控API的調(diào)用狀況，全面記錄其調(diào)用頻率、調(diào)用鏈路及調(diào)用參數(shù)、API攻擊行為等詳細(xì)信息，識(shí)別不安全的接口和潛在的攻擊向量，深度洞察API的使用情況。同時(shí)，通過(guò)智能分析迅速識(shí)別并響應(yīng)任何異常的API調(diào)用行為。

　　③ API風(fēng)險(xiǎn)屬性標(biāo)簽

　　監(jiān)控API的活躍狀態(tài)和敏感行為，并自動(dòng)對(duì)其狀態(tài)和行為打標(biāo)簽，如敏感信息泄露、未授權(quán)訪問(wèn)、異常登錄、敏感文件讀寫刪除操作、系統(tǒng)級(jí)命令執(zhí)行等高危的API安全事件，讓管理者快速理解API的行為，快速定位、分析處置API安全事件。

　　圖：ASPM的API風(fēng)險(xiǎn)屬性標(biāo)簽

　?、?接口安全評(píng)估

　　對(duì)API接口進(jìn)行全面的安全檢查和識(shí)別，以識(shí)別并消除API潛在的安全漏洞，如不安全的數(shù)據(jù)傳輸、敏感信息泄露、越權(quán)訪問(wèn)等。方便業(yè)務(wù)團(tuán)隊(duì)、安全團(tuán)隊(duì)清晰地進(jìn)行API安全風(fēng)險(xiǎn)的整改和收斂。

　?、?調(diào)用鏈分析

　　通過(guò)詳細(xì)的函數(shù)級(jí)調(diào)用鏈分析，了解API的調(diào)用鏈路和依賴關(guān)系，以識(shí)別潛在的安全薄弱環(huán)節(jié)，優(yōu)化API設(shè)計(jì)，增強(qiáng)整體安全性。

　　總結(jié)

　　在證券行業(yè)，業(yè)務(wù)的穩(wěn)定性和連續(xù)性至關(guān)重要。為應(yīng)對(duì)日益復(fù)雜的安全威脅，基于IT運(yùn)維系統(tǒng)可觀測(cè)性的應(yīng)用安全防護(hù)方案已成為券商提升安全保障水平的關(guān)鍵舉措。ASPM通過(guò)整合可觀測(cè)性與應(yīng)用安全，利用統(tǒng)一的Agent，不僅降低了部署和維護(hù)成本，還提升了系統(tǒng)的穩(wěn)定性和安全性。

　　這種融合的安全防護(hù)新模式，使企業(yè)能夠在現(xiàn)有的可觀測(cè)性平臺(tái)上拓展安全能力，及時(shí)發(fā)現(xiàn)并應(yīng)對(duì)應(yīng)用層面的安全威脅，保障業(yè)務(wù)的安全穩(wěn)定運(yùn)行。隨著信息技術(shù)的飛速發(fā)展，基于可觀測(cè)性的應(yīng)用安全防護(hù)方案將在證券行業(yè)展現(xiàn)出更大的潛力。不僅能夠有效發(fā)現(xiàn)和應(yīng)對(duì)潛在的安全風(fēng)險(xiǎn)，還能在確保應(yīng)用系統(tǒng)穩(wěn)定性的同時(shí)，顯著提升業(yè)務(wù)運(yùn)營(yíng)的連續(xù)性和可靠性。

　　探索和應(yīng)用ASPM等創(chuàng)新技術(shù)，將在很大程度上協(xié)助券商構(gòu)建更加堅(jiān)實(shí)的安全防線，為業(yè)務(wù)的持續(xù)健康發(fā)展提供有力支撐。

　　北京基調(diào)網(wǎng)絡(luò)股份有限公司，盧中陽(yáng)/劉洪峰/丁威

免責(zé)聲明：以上內(nèi)容為本網(wǎng)站轉(zhuǎn)自其它媒體，相關(guān)信息僅為傳遞更多信息之目的，不代表本網(wǎng)觀點(diǎn)，亦不代表本網(wǎng)站贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性。如稿件版權(quán)單位或個(gè)人不想在本網(wǎng)發(fā)布，可與本網(wǎng)聯(lián)系，本網(wǎng)視情況可立即將其撤除。