2025年业务应用与数据安全防护指南报告

业务应用与数防据护安指全南 目录 CONTENTS 前言01 01数字化发展带来的变化02 1.1数字化业务应用倍增02 1.2安全也逐步适应变化02 1.3应用数据安全受关注04 02应用数据安全困境风险05 2.1应用数据安全面临的困境05 2.2应用面临的十大安全风险06 03应用数据安全防护方案08 3.1RASP具体方案09 3.2RASPvsWAF11 04应用数据安全具体能力12 4.1应用“攻击”威胁防护12 4.2应用“业务”安全治理14 4.3应用“数据”全景防护15 05应用数据安全场景案例17 5.1某金融企业提升应用侧攻击防护能力17 5.2某企业完善数据链成功发现0day攻击18 5.3某运营商解决外采商业软件安全问题19 前言 应用程序是数字时代的业务基础。业务应用不仅仅是企业运营的工具，更是企业与客户互动、数据交换的平台。对于攻击者来说，应用就好比金库，其中包含重要的业务和用户数据，虽然金库使用了最坚固的材料和武装齐全的安保，但是只要正常开展业务，就一定会出现安全漏洞。在巨大的收益诱惑下，攻击者会不惜一切代价去寻找抢劫金库的方法。据报道，84%的安全事件发生在应用程序层。因此，保护业务应用和数据安全成为企业数字化过程中的重要任务。 业务应用与数据安全防护指南 01 数带字来化的发变展化 数字化发展正深刻改变着各行业企业的运营模式和业务流程，带来了业务应用的倍增，同时也使得应用数据安全成为关注的焦点。 1.1数字化业务应用倍增 在当今数字化时代，不论开展怎样的工作、完成什么样的任务，都离不开数字化应用的支撑与实现，应用程序已经成为企业业务不可或缺的一部分。一项完善的数字化业务，通常是由多个不同功能的应用程序通过API来进行配合构成的。然而，随着应用程序规模的不断扩大和攻击手段的不断演化，应用安全问题愈发凸显，越来越多的攻击事件不断威胁企业业务运行和数据安全。整体来看，数字化发展给企业主要带来以下变化。 根据咨询机构IDC预测，到 应用数量暴增 2025年全球将创建7.5亿个 云原生应用程序。 年全球新产生的数据量将达到 根据咨询机构IDC预测，2027 海量数据产生 291ZB，近乎2022年的3倍。 企业上云与大量中间件产品的 运维形态变迁 采用，管理对象呈现出类别多 样、虚实融合的新现象。 随着云计算、移动互联网和物联网等新技术的发展，应用程序面临的攻击面也在不断扩大。此外，近年来恶意软件、零日漏洞等高级威胁的兴起，对应用程序安全提出了更高要求。国家互联网应急中心（CNCERT）发布《2021年上半年我国互联网网络安全监测数据分析报告》中的数据显示，2021年上半年，国家信息安全漏洞共享平台CNVD）收录通用型安全漏洞13083个，其中：“零日”漏洞数量占比54.3%，同比增长55.1%；Web应用漏洞的影响持续上升，占比达29.6%。 1.2安全也逐步适应变化 随着数字化业务的快速发展，安全领域也在不断适应新的变化。企业通过综合运用多种安全技术并不断增加安全投入，构建了一个多层次、全方位的安全防护体系，以应对不断演变的安全威胁。 1.在安全技术方面 在安全技术方面,安全防御逐步从传统的网络边界安全，深入到终端设备安全和业务应用安全，确保了企业能够在数字化时代中安全地运营和发展。 防火墙、IPS等产品构筑了网 网络边界安全 络网关侧的第一堵墙。 EDR、HIDS等产品提供了工作 终端设备安全 负载层面的安全指标监测。 业务应用安全 全治理在业务层的视角缺失。 RASP、IAST等产品补足了安 随着企业安全建设的不断深入，应用安全可以让企业更好的从业务视角看待安全问题，守护攻击者触及业务时的最后一道防线。 图1：应用安全在整体安全中的位置 在整体安全架构中，应用安全是最贴近业务的安全，它直接关联到业务运营。应用安全不仅关注技术层面的防护，更注重从业务角度出发，识别和治理安全风险。它保护的是企业的核心资产⸺业务应用和数据，确保它们在遭受攻击时能够保持安全和稳定。因此，应用安全对于维护企业的整体安全运营至关重要。 2.在安全投入方面 在安全投入方面，市场提供了各种解决方案帮助企业提高其应用程序的安全性并确保其跟上不断变化的威胁形势。应用安全主要分为两个细分市场：应用程序安全扫描工具和运行时保护工具。统计发现，随着数字化发展，应用数量迅速增长，安全威胁不断演进，企业在应用安全支出方面也在不断上升。 图2：2017-2023年全球应用安全投入 据Gartner预测，到2025年生成式人工智能（GenAI）将促使企业网络安全投入激增，其中应用程序和数据安全支出将增加15%以上。 1.3应用数据安全受关注 在数字化业务中，应用与数据安全的关系变得尤为紧密，它们共同构成了企业信息安全的核心。应用层面的安全措施直接关系到数据的安全与完整性，而数据层面的保护策略也影响着应用的稳定性与可靠性。 图3：应用与数据安全的关系 近年来，应用与数据安全备受关注，各种政策措施不断出台。2022年12月，《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》（简称“数据二十条”）对外发布。2023年10月国家数据局正式揭牌，这标志着我国对于数据的重视与保护进入全新阶段，数据要素市场制度进一步完善，是中国数据领域的一项重大改革。2024年4月1日召开的首次全国数据工作会议，强调了数据标准化实施的重要性。会议提出了数据标准化的流程和方法，旨在解决标准从制定到落地的全过程管理。这不仅包括标准的制定和发布，更重要的是确保这些标准能够在实际工作中得到有效执行。 应用与数据安全的关系是相辅相成的。应用层面的防护是确保数据安全的关键，而数据安全的政策和标准则为应用防护提供了指导和支持。确保应用安全不仅能够保护企业和个人的数据资产，还能够促进数字经济的健康发展。 02 应困用境数风据险安全 行业研究报告表明，攻击者经常利用应用程序中的弱点和软件漏洞作为入侵的突破口。这是因为应用程序通常直接处理敏感数据，如个人信息、财务数据和知识产权，使其成为有价值数据的宝库。此外，应用程序的复杂性和不断变化的更新增加了漏洞风险，这些漏洞可能被攻击者利用来窃取数据、破坏服务或执行恶意操作。 图4：应用程序是攻击者最常用的入侵突破口 随着现代Web应用程序的发展，攻击者用来破坏应用程序安全性的技术也在不断演进。这无疑给企业安全防御带来更大的挑战。 2.1应用数据安全面临的困境 在当今技术环境中，确保应用安全变得越来越具有挑战性。一方面，应用依然潜藏风险。无论是外部威胁的不断增加，还是内部业务缺陷的持续积累，都在时刻让运行的应用处于风险态。无法打补丁的老旧系统持续暴露攻击面，不规范的业务调用也随时可能成为数据泄露的诱因。另一方面，数据治理缺乏抓手。应用作为数据产生和流转的中心，将成为数据治理关注的核心焦点。不知道数据在业务中如何产生、如何流转，就无法将数据安全合规落地到业务实处。整体来看，应用数据安全困境主要表现在以下几个方面。 1 云环境业务增多 2 加密流量难检测 3 高级威胁无防护 4 数据链路不完整 5 不安全的第三方API 传统安全更多架设在边界，云环境下边界的概念模糊，传统安全无法发挥作用。需要将安全深入到应用层级，为应用程序提供全生命周期的动态安全保护，为云时代应用安全提供安全保障。 大部分Web应用都走HTTPS，因此应用侧的流量往往都是加密流量，检测攻击效果差。需要在应用侧也有获取流量的手段，避免因为加密导致的无法有效检测问题，并获取东西向的流量补充数据资产信息。 传统工具基于已有规则库进行对抗，无法有效应对0Day攻击，同样对内存马也无法防护。应用内部作为最后一道防线，需要监控应用中的行为，从攻击诱发的行为进行检测和拦截，才能摆脱传统对抗的困境。 当前的数据监控工具无法将数据的生产到使用过程完整追踪，数据监控只能流于表面。应用最贴近业务，从应用程序中监控流量，可以有效补足业务侧对数据调用流转的视角，提供完整的数据链路全景。 应用程序编程接口（API）允许应用程序相互通信和共享数据，因此，大量第三方API需要被集成到应用程序中以提供更多功能的服务。不过，它们也是应用数据安全泄露的主要途径，因为它们包含了对敏感数据的访问权限，很容易被黑客利用。因此，企业应验证API接口的安全措施是否有效，并确保其具备完善的身份验证与控制措施。 2.2应用面临的十大安全风险 随着应用程序的发展和新形式的出现，攻击者也不断适应新技术和新环境。开放式Web应用程序安全项目(OWASP)十大威胁列表，展示了最有可能影响应用程序安全的风险。 1.失效的访问控制 失效的访问控制，也叫越权，指的是在未对通 过身份验证的用户，实施恰当的访问控制。攻 击者可以利用这一漏洞，访问未经授权的功 能或数据。 2.加密失败 加密失败（以前称为“敏感数据泄露”）是指数 据在传输和静止时未得到适当保护。它可能 会泄露密码、敏感信息和个人数据。 3.注入 注入漏洞使攻击者能够向应用程序解释器发 送恶意数据，导致这些数据在服务器上被编 译和执行。SQL注入是一种常见的注入形式。 4.不安全的设计 不安全的设计涵盖了许多由于安全控制无效 或缺失而导致的应用程序漏洞。没有基本安 全控制的应用程序无法抵御关键威胁。 5.安全配置错误 常见的安全配置错误包括云服务权限配置不 当、启用或安装不需要的功能、使用默认密码 或管理员账户、XML外部实体(XXE)漏洞等。 6.易受攻击和过时的组件 易受攻击和过时的组件（以前称为“使用具有 已知漏洞的组件”）包括使用任何过时或不受 支持的软件而导致的漏洞。 7.认证和授权失败 认证和授权失败（以前称为“身份验证失败”） 包括与用户身份相关的任何安全问题。通俗 地说，该漏洞会导致攻击者使用用户的用户 名和密码进行填充，从而入侵系统。 8.软件和数据完整性故障 软件和数据完整性故障可能发生在软件更 新、敏感数据修改以及任何未经验证的 CI/CD管道更改期间。 9.安全日志记录和监控失败 安全日志记录和监控失败（以前称为“日志记 录和监控不足”）指的是在没有日志记录和监 控时，将无法检测到漏洞，此类故障会直接影 响可见性、事件报警和取证。 10.服务器端请求伪造 当应用在从远程资源提取数据并未验证用户 输入的URL时，就会发生服务器端请求伪造 (SSRF)漏洞。 03 应防用护数方据案安全 源代码阶段 SCASAST 构建部署阶段 IASTDAST 上线运行阶段 RASPWAF 当前市场上已经有不少应用安全工具，主要分为安全测试工具和运行时保护工具，它们在应用程序生命周期的不同阶段发挥不同作用。安全测试工具的目标是预防，用于在应用程序开发时修复漏洞，主要工具包括SAST（静态应用程序安全测试）、DAST（动态应用程序安全测试）、IAST（交互式应用程序安全测试）、SCA（软件组成分析）。运行时保护工具是在应用程序运行时执行保护功能，这些工具会实时做出反应以防御攻击。运行时保护工具主要包括WAF（Web应用程序防火墙)和RASP（运行时应用程序自我保护）。 图5：应用程序生命周期的不同阶段的安全工具 需要强调的是，运行时保护工具不是安全测试工具的替代品，而是针对运行时应用程序提供的额外保护层。这些应用安全工具中的每一种都有自己的特点和功能，以及各自的优缺点。没有一种工具可以成为对抗恶意攻击者的灵丹妙药。企业需要分析其特定需求，并选择最能支持其应用程序安全策略和战略的工具。 覆盖率 低误报率可利用性代码可见性补救建议 应用安全测试 SDLC集成平台支持 安全扫SAST 描DAST 工具IAST 运行时WAF SCA 安全BotMngmt RASP 图6：各种应用安全工具对比 随着应用程序和软件开发日益复杂化，在软件开发和部署的整个生命周期中，构建一个