九游老哥

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务九游老哥网站清静监测服务Websafe 九游老哥黑洞云洗濯服务 CCSS 九游老哥网站云防护服务 WCP 九游老哥威胁情报中心NTI 九游老哥科技威胁情报云端解决计划九游老哥科技威胁情报外地解决计划九游老哥威胁检测与响应服务MDR 九游老哥外部攻击面治理服务EASM 九游老哥轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营九游老哥云九游老哥云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京九游老哥公益基金会鲲鹏基金产品清静软件升级

返回列表

RSA立异沙盒盘货 | Apiiro——代码危害平台

2021-05-17

RSAConference2021将于旧金山时间5月17日召开，这将是RSA大会有史以来第一次接纳网络虚拟聚会的形式举行。大会的Innovation Sandbox（沙盒）大赛作为“清静圈的奥斯卡”，每年都备受瞩目，成为全球网络清静行业手艺立异和投资的风向标。

前不久，RSA官方宣布了最终入选立异沙盒的十强首创公司：WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ。

九游老哥君将通过配景先容、产品特点、点评剖析等，带各人相识入围的十强厂商。今天，我们要先容的是厂商是：Apiiro。

一. 公司先容

Apiiro是业内首先提出代码危害平台的企业，因其提供多维应用程序危害治理与可视化事情而入选RSA Conference 2021年立异沙盒10名决赛选手之一。Apiiro的总部位于以色列的特拉维夫和美国的纽约，该公司于2020年10月完成了3500万美元融资，由顶级危害投资公司Greylock Partners和Kleiner Perkins配合投资。

九游老哥·(中国)俱乐部官方网站

图1 Apiiro公司创众人

Apiiro的两位首创人划分是Idan Plotnik和Yonatan Eldar，这两位首创人均是以色列国防部的退伍武士。CEO是Idan，他一经开办Aorato，其主要营业是云上以及外地与混淆云情形中使用机械学习来检测可疑攻击行为，该公司于2014年被微软以2亿美元收购，Idan在Aorato被收购后出任微软的工程总监。Yonatan曾任微软工程团队的认真人，认真处置惩罚微软大型工程团队产品危害检测与评估，将危害划分优先级，提供修复妄想并同其他高管相同。

二. 相关配景

清静开爆发命周期（Security Development Lifecycle，SDLC）是一个资助开发职员构建更清静的软件息争决清静合规要求的同时降低开发本钱的软件开发历程。清静应用从清静设计最先，软件的清静问题很大一部分是由于不清静的设计而引入的，清静设计关于软件清静的主要性尤为可见[1]。

SDLC是一个资助开发职员构建更清静的软件息争决清静合规要求、同时降低开发本钱的软件开发历程。自2004年起，微软将SDLC作为全公司的强制政策，SDLC的焦点理念就是将清静思量集成在软件开发的每一个阶段:需求剖析、设计、编码、测试和维护。从需求、设计到宣布产品的每一个阶段每都增添了响应的清静运动，以镌汰软件中误差的数目并将清静缺陷降低到最小水平。SDLC是着重于软件开发的清静包管历程，旨在开发出清静的软件应用。

简朴来说，SDLC是微软提出的从清静角度指导软件开发历程的治理模式，在古板软件开爆发命周期的各个阶段增添了一些须要的清静运动，软件开发的差别阶段所执行的清静运动也差别，每个运动就算单独执行也都能对软件清静起到一定作用。虽然缺少特定的清静运动也会对软件的清静性带来影响。

九游老哥·(中国)俱乐部官方网站

图2 微软SDLC清静运动简图

SDLC流程是一种专注软件开发清静包管的流程。在SDLC流程中，在差别的阶段需要使用差别的测试工具（例如，CI/CD上的SAST工具）。SAST通过扫描代码，获取数据流、控制流和函数挪用关系以检测代码误差。但SAST仅关注误差，忽略了代码组件，数据，清静控制，安排位置，开发职员履历和营业影响等危害。这也是SAST的高误报的缘故原由，业界商业级的SAST工具误报率普遍在30%以上，误报会降低工具的适用性，可能需要破费更多的时间来扫除误报而不是修复误差。SCA(Soft Composition Analysis)在发明，治理、监控OSS允许证以及相关的清静误差上也保存一些问题。这些工具实质是审查相关的软件包或代码，缺少多维度视角的剖析。

Apiiro的代码危害平台源于这两名首创人在微软事情中所面临的挑战：现有的清静性和合规性工具和流程大多是手动和按期的，为了便于集成控制同时也要知足危害治理要求，这些清静性的要求许多时间成了开发流程中的阻碍。

Apiiro处于DevSecOps、应用程序清静、DevOps生产力和云清静市场的交织点。Apiiro代码危害平台在可以资助客户在SDLC历程的早期举行有用的危害治理、增强应用程序的治理与合规性检测，同时避免针对CI/CD的高级攻击。Apiiro会剖析整个开发历程中的数据，以资助组织识别，确定优先顺序并调解有危害的重大变换。Apiiro通过提供跨应用程序，基础架构，开发职员的知识和营业影响的危害可见性，资助组织构建应用程序危害妄想[2]。

三. 代码危害平台要害手艺先容

Apiiro产品起源于软件开发历程中手艺与营业上的痛点。Apiiro希望构建一个解决计划，能够弥合开发、清静与合规团队之间的差别，从而加速交付速率与上市速率。Apiiro构建了业内首个代码危害平台，该平台实现了从设计到代码再到上云的整个流程中，关于恣意更改的周全危害可见。同时，该平台可全方位审查应用程序、基础架构、开发职员的知识和营业影响方面的清静和合规危害。

Apiiro的要领可以与外部清静工具集成。该公司的手艺在开发职员和代码行为之间建设了统一的危害概况，将重点放在营业危害上。例如，在银行应用程序开发历程中，Apiiro不是简朴地扫描银行应用程序中的误差，而是研究与危害相关的问题，如给定的API是否可以转账，或者正在剖析的服务是否袒露在互联网上，可以在该营业上下文中添加了对开发职员行为的深入剖析。

3.1 代码危害的多维度

当今，可以说随处皆是代码，从应用程序开发、小我私家验证信息(PII)添加、网络战略的更改，IAM(身份识别与治理系统)角色的添加到在云API网关中宣布新API并设置授权会见控制都会给代码带来危害。在思量代码危害时，目今主要倾向于思量使用诸如SAST(Static Application Security Testing), SCA(Soft Composition Analysis), DAST(Dynamic Application Security Testing)和ISAT(Interactive Application Security Testing )等清静误差检测工具。从基础上讲，这些些工具会遗漏大宗上下文，从而导致大宗噪音和误报，这不但阻碍了开发进度，同时也会给开发历程造成误导。

而在软件开发历程中，若是保存多个SDLC流程门控，每个流程门控都自力于其他功效运行，差别应用的清静程序完全纷歧样。

九游老哥·(中国)俱乐部官方网站

图3 SDLC 历程门控

在大大都情形下，通常是检测每个门控而不是审查所有开发阶段的上下文。许多误差的爆发都是种种代码与设置的变换导致的，因此需要设计到开发再到生产的各个阶段都需要思量。因此，仅仅针对某一个阶段从简单维度无法提供完全的视角与上下文关系。与其关注误差的危害，不如关注营业的现实危害，这就需要对上下文有普遍的相识�？梢远圆畋鹄嘈偷奈：ξ染傩腥缦路掷啵�

九游老哥·(中国)俱乐部官方网站

图4 多种危害维度

在代码危害剖析历程中思量多维要领的话可以通过构建差别完整的上下文信息来将SDLC工具与剖析历程集中到最需要关注的点上，从而可以优化代码危害剖析历程。

例如，基于对历史代码更改的剖析为每个开发职员构建相关的知识库可以资助开发职员做出更好的决议。知识库的相关特征包括他们已提交了几多代码更改，这些更改是否与清静相关的更改以及是否有任何营业影响，还可以思量数据处置惩罚，安排位置和互联网袒露情形等。团结以上内容，可以使用上下文模子举行多维危害剖析，这将资助清静架构师和开发职员专注于最主要的更改。这种要领的利益将资助公司中的差别利益相关者：

1、CIO和CISO将在营业的现实危害中获得高级别的上下文危害；

2、清静架构师和App清静向导者将获得一项具有可行性的事情妄想，该妄想需要对营业造成重大影响（HBI）的重大的源代码变换。清静工具可以集中于仅扫描那些代码更改，从而以最少的FP来实现快速切换；

3、渗透测试职员将获得与恶意代码更改相关的上下文告警，从而使他们可以最先举行增量测试；

4、开发职员针对产品中发明的清静性问题举行解决；

5、执法或规范可以更轻松准确地识别代码的合规性问题，例如开源软件允许证，版权等以及通知文件。

3.2 检测恶意代码提交

Apiiro 代码危害平台的功效之一是能够使用UEBA和异常检测手艺（正在申请专利）检测并阻止代码的恶意提交，此功效�？槭腔诨笛昂腿斯ぶ悄芩惴ň傩猩杓频�，该算法剖析组织中差别实体的行为（例如，代码组件，清静控制，数据类型，孝顺者的知识，组织行为，存储库，项目等）。同时该�？樘崛×耸置嫦蛄煊虻奶卣鳎ò呒�，上下文和时间序列特征）用以构建每个实体属性，如对历史提交接码的元数据、内容、pull请求和票证举行剖析，提取了相关的数值、时序以及内容特征。该�？榈牧硪桓鍪菰词瞧教ū⒌睦房缈獯胩卣�。在完成特征提取和富厚后，Apiiro代码危害平台会基于历史代码实时构建和训练自顺应行为模子。

除了针对每个实体的单独模子外，Apiiro的算法还训练了更高级别的模子，这些模子用于增强检测事务的置信度，实现了较高的恶意运动检测率，同时镌汰对不相关异常的过失检测。

Apiiro能够凭证受熏染用户的异常行为来检测恶意代码提交。异常检测算法将该提交标记为可疑，由于就用户的已往运动和存储库中其他孝顺者的运动而言，它偏离了该用户的正�Ｔ硕�。触发了异常警报的一些指标包括：

1、提交接码与用户最近提交强度不符；

2、提交接码时间与用户的预期运动日期和时间有收支；

3、孝顺者偏离了他的偕行在提交的模式；

4、提交接码信息与剖析代码之间保存较大差别；

5、提交的代码与该存储库的模子展望的代码显着差别。

Apiiro的检测是自动实时完成的，而与语言和托管无关。一旦检测到攻击，平台就可以自动对可疑提交接码的举行谈论，甚至可以在Slack中为清静运营中心触发警报。

九游老哥·(中国)俱乐部官方网站

图5 恶意代码提交检测与处置惩罚流程

误报率是目今任何异常检测系统的要害挑战之一。Apiiro已往两年中对php-src存储库的剖析中，触发了4个可疑事务，其中只有一个涉及除已标记的高危害指标之外还添加了主要代码，这就是上图中形貌的恶意代码提交。平台的低误报率使操作员能够专注于众多可疑事务，而不会被无尽的异常行为所淹没。

Apiiro的异常检测算法能够通太过析差别类型实体的种种运动行为来乐成检测恶意提交，同时坚持极低的误报率。图5演示了Apiiro的一些异常检测功效。

3.3 SolarWinds构建时代码注入攻击检测

01

SolarWinds事务先容

2020年尾，针对SolarWinds的重大供应链攻击成为全球头条新闻。在构建历程中，攻击者将实验后门的恶意代码注入到源代码中，从而使每个SolarWinds客户都受到了严重威胁。只管供应链攻击是一个已知的看法，可是这是首次果真发明这种重大性和大规模攻击。

微软对该攻击举行的内部和外部视察中发明，恶意软件正在SolarWinds Orion IT治理构建情形上运行，并期待C＃编译器（msbuild.exe）运行。SolarWinds Orion 是 SolarWinds 网络和盘算机治理工具套件的一部分，其功效包括监视要害盘算机何时�；�，并实时见告用户，尚有自动重启服务的功效。该软件可能会被装置在企业最要害的系统上，会在系统故障时阻止事情历程。

视察发明，最早在2020年 3 月，有人想法在SolarWinds Orion软件构建历程中做了恶意修改，包括植入一个特洛伊木马程序。因而，当用户装置SolarWinds Orion最新版本时，该木马最先在受害者的盘算机上运行，从而该盘算机被远程控制。受害者直接或间接地因SolarWinds Orion 软件被污染，这被称为软件“供应链攻击”。

更详细地，Orion软件框架中含有一个SolarWinds.Orion.Core.BusinessLayer.dll文件，而该文件拥有 SolarWinds 的数字署名，可是在攻击中，该文件包括了一个后门，可通过 HTTP 与第三方服务器举行通讯。

植入木马之后，会有长达两个星期的初始休眠期，然后它会检索并执行称为“Jobs”的下令，这些下令包括传输文件，执行文件，对系统举行文件设置，重新指导盘算机以及禁用系统服务的功效。恶意软件伪装成 Orion 刷新程序（OIP）协议的网络流量，并将侦探效果存储在合规的插件设置文件中，使其能隐藏于通例 SolarWinds 运动，不易识别，进而使攻击者可以远程操控盘算机。

微软发明，纵然删除了 SolarWinds 后门，攻击者也可能会继续拥有整个目的网络的会见权限。

02

应对SolarWinds清静事务的挑战

在这次SolarWinds清静事务中，被熏染的二进制文件是.Net程序集，其中包括Orion框架的许多正当名称空间、类和要领。这样的话，攻击者就能将自己的代码与正现代码融合在一起。怎样对有用地检测相关DLL文件这成为该检测事务的要害。最直接的要领是使用二进制代码还原原始代码来举行剖析，但接纳二进制代码并将其还原为原始源代码现实上是不可能的使命，由于编译是一个重大的，不可逆的行动。编译后的二进制文件中包括一直转变的信息，优化和元数据。纵然对相同的源代码在差别时间对其举行编译，获得的二进制文件也不会完全相同。除了二进制代码还原的挑战之外，CI/CD工具和要领的种类也很是普遍。每个团队对这些工具的使用方法差别（每种要领以奇异的方法处置惩罚依赖关系，通用代码和其他资源）。别的，CI/CD管道被设计为对其用户不可见，并且险些从未被检查过，因此这是DevSecOps的一大盲点。

03

解决计划

针对SolarWinds清静事务这种情形，需要对其中的源代码有深入的明确，使用相关手艺来剖析源代码与相关的二进制文件。Apiiro使用基于危害的AI引擎学习了源代码和开发职员的履历。在Apiiro平台相识了所有代码组件、清静控件、逻辑流、数据类型及其关系后，其可以其于这些知识实现对二进制文件的剖析。以SolarWinds清静事务中被熏染的.NET二进制文件为例，Apiiro平台将对可执行文件举行剖析并执行以下操作：

1相识所有可能的逻辑流程和符号；

2 扫除所有自动天生的编译器逻辑；

3调解运行时版本之间的预期差别；

基于此构建了二进制文件的标准化的实体关系， Apiiro使用图匹配算法比照剖析了源代码与二进制文件天生的实体关系图，来实现对二进制文件的比照剖析。Apiiro还设计了有用的算法来检测变异历程中所有可能的合规代码的更改（AOP框架，优化等），同时还能针对剖析效果给出插入的恶意代码的功效说明（好比设置文件更新、后门等）。

四. 总结

SDL的焦点理念是将清静集成在软件开发的每一个阶段:需求剖析、设计、编码、测试和维护。从需求、设计到宣布产品的每一个阶段每都增添了响应的清静运动，以镌汰软件中误差的数目并将清静缺陷降低到最小水平。然而现有的代码清静性、合规性工具和流程大多是手动和按期的，为了以便举行集成控制并知足危害治理要求，产品交付历程中遇到清静的阻碍，开发流程严重减慢。针对这种需求，Apiiro提出了业内首个代码危害平台。Apiiro代码危害平台可以资助客户在开爆发命周期的早期举行有用的危害治理，实验应用程序治理和规则遵从性，并避免针对CI/CD的高级攻击。Apiiro会剖析整个开发历程中的数据，以资助组织检测恶意代码，确定优先顺序并调解有危害的重大变换。Apiiro通过提供跨应用程序，基础架构，开发职员的知识和营业影响的危害可见性，资助组织构建应用程序危害妄想，具有较高立异性。

<<上一篇

RSA立异沙盒盘货 |Deduce——数据驱动的身份诓骗危害

>>下一篇

《九游老哥君的咖啡时间》｜洞见RSA2021：用创业公司的模式做前沿清静研究

?

您的联系方法

购置热线

提交项目需求

接待加入九游老哥科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

九游老哥科技社区

九游老哥科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于九游老哥: 公司先容; 公司声誉; 九游老哥书橱; 九游老哥新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系九游老哥: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: 九游老哥云; 九游老哥威胁情报中心NTI; TechWorld手艺嘉年华; 北京九游老哥公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号