1、 应用检测与响应（ADR-Application Detection and Response）能力白皮书 北京数字世界咨询有限公司 2022.12 北京数字世界咨询有限公司 2020 年，数世咨询首创网络安全三元论，后进化为“数字安全三元论”，该理论由信息技术、网络攻防、业务应用三个支点与数据安全这个核心构成，其中：-信息技术是数字安全工作开展的基础，不清楚资产，何谈保护？没有网络，就没有网络安全；-网络安全的伴生、服务和对抗本质，决定了它将永远的场景化、碎片化和动态化；-业务应用既是信息技术与网络攻防的成本来源，也是两者最终的价值所在。数字世界 以网络连接为基础，以数据流动释放价值，以人工

2、智能塑造未来。数字安全 以网络安全为基本手段，以数据安全为核心目的，支撑数字经济的健康发展和国家社会的和谐稳定。数字世界，安全共生！基于此，数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构、网安企业等合伙伙伴提供网络安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。报告编委 主笔分析师：刘宸宇 综合高级分析师 分析团队：数世智库 数字安全能力研究院 报告审核：李少鹏 首席分析师 版权声明 本报告版权属于北京数字世界咨询有限公司（以下简称数世咨询）。任何转载、摘编或利用其他方式使用本报告文字或者观点的，应注明来源。违反上述声明者，数

3、世咨询将保留依法追究其相关责任的权利。北京数字世界咨询有限公司 目 录 前言.4 关键发现.5 定义.6 ADR.6 应用场景.9 关键安全基础设施.9 实战攻防演练.9 数据治理安全.11 关键技术能力.12 探针（Agent）.12 应用资产发现与管理.13 高级威胁检测.14 数据建模与分析.15 响应阻断与修复.16 国内外代表企业.17 Araali Network.17 Reveal Security.18 边界无限.20 行业展望.21 北京数字世界咨询有限公司 前言 随着云原生时代的来临，业务变得越来越开放和复杂，安全边界越来越模糊，固定的防御边界已经不复存在，仅仅依靠 WAF

4、 这样的边界防护手段是显然不够的。基于请求特征+规则策略的防御控制手段仅能将部分危险拦截在外，同时随着实网攻防演练的常态化、实战化，攻防对抗强度不断升级，攻击者可轻易绕过传统边界安全设备基于规则匹配的预防机制。不仅如此，攻击者还会利用供应链攻击等迂回手法来挖掘出特定0day 漏洞，实现对目标应用的精准打击。类似的高级攻击手段，让越来越多的安全管理者，开始关注安全左移，例如将 DevOps 与 Sec结合，尝试实现 DevSecOps，亦或是以运行时应用自我防护为手段，对运行时的应用安全进行更多投入。然而，与云主机安全遇到的局限性类似，应用安全原有的安全能力是有缺失的。一方面，用户在实战化安全能

5、力需求中，迫切需要一个专门针对应用的行之有效的解决方案，加入安全运营体系中，从而实现应用运行时的安全检测与响应能力，另一方面，之前的应用安全技术能力，虽然从开发阶段到生产运行阶段都有涉及，但能力点是分散的，例如只关注应用的漏洞检测（如 IAST），或是只关注应用攻防场景下的自我防护（如 RASP），很少将应用的安全检测与事件响应结合起来，形成闭环。一个典型例证是，越来越多的企业开始向 DevOps 模式靠拢，快速和持续的交付正在加快业务的拓展，但随之而来的安全诉求却得不到及时响应。研发团队经常在代码可能存在安全风险的情况下，将其 北京数字世界咨询有限公司 推入生产环境，结果造成更多漏洞积压，且

6、上线后安全诉求因排期等问题无法修复。同时伴随着实网攻防演练的常态化趋势，传统以牺牲业务为代价的业务应用关停手段也逐渐遇到挑战，在“零关停”或“少关停”的需求下，对应用生产环境风险的检测与响应迫在眉睫。基于此，数世咨询提出应用检测与响应（Application Detection and Response ADR）这一新赛道，从而将用户在这一领域的需求明晰化，同时将对应的安全能力解决方案化，供用户与企业参考。关键发现 应用检测与响应（Application Detection and Response ADR）是指以 Web 应用为主要对象，采集应用运行环境与应用内部中用户输入、上下文信息、访问