HIDS趋于饱和 RASP异军突起边界无限缘何领跑新兴细分市场

4个月前 (12-01) 阅读数 166 #综合

江山代有才人出，安全行业也是如此。随着安全演练实战化、常态化的趋势进一步落实，在主机HIDS之后，RASP成为新的行业焦点，金融、运营商、电力能源等行业已经开始规模部署，在经济经历周期下行、很多行业遭遇时艰的大背景，RASP为安全行业增添了一抹新的亮色。近日，业界知名安全媒体采访了北京边界无限科技有限公司（简称：边界无限）的CMO韩群，就RASP相关情况进行了探讨。

RASP何以大热？

Q：经过近几年的发展和开拓，作为专攻RASP的厂商，边界无限有什么新的进展和成绩吗？最近跟很多客户和公司聊，大家都提到RASP，隐隐有安全行业新的当红炸子鸡的势头。

A：当红炸子鸡谈不上，但作为ALL in心态做RASP这款产品的公司，倒是对RASP市场有一定的了解，可以和大家分享下。从整个安全行业的角度看，RASP还是一个很小的细分市场，由于这两年的需求驱动，RASP技术和产品也迅速走入成熟阶段，并被头部金融、运营商、电网等客户率先部署应用。在安全行业都知道，金融、运营商、电网客户往往被认为是具有标杆示范性意义的“样板点”客户，这些头部客户开始“吃螃蟹”，有利于各行业的规模应用和部署，但即使是这样，RASP市场依然属于细分的“小市场”，大厂并未染指，并不是因为没有需求，而是重投入换不来相应的“大市场”，因此被边界无限这种创新型公司“捡了便宜”。

Q：你是不是过于谦虚了，之前曾听佩文提过，边界无限在RASP的投入已经有数千万。RASP突然大火，边界无限占据领先地位，是不是也算水到渠成？

A：数千万的投入是有的，除了大头儿花在研发上之外，我们也做了系列的品牌宣传和市场推广，坦诚讲，前几年的推广并不顺利，市场认知度和接受度都不高，近两年才刚刚有一些好的苗头。有句俗语讲得好，只见贼吃肉，不见贼挨打。RASP目前的一些进展，正体现了一款产品或者一项技术成熟的周期性，真的算不上“突然大火”，只有真正全心投入在RASP领域的厂商才能体会到其中冷暖。其实早在2014年，Gartner就提出了RASP的概念，距今已经10年有余。在国内，RASP的成熟绕不开一家公司，就是百度，百度在前些年在国内率先推出RASP，很多客户的技术启蒙都是从百度开源的OpenRASP开始的，但很可惜，百度最终停止商业化推广，不得不说，这对行业是一个重大的损失。而RASP大规模进入甲方客户视野，是2021年底的Log4j2的漏洞，这个被行业称为“核弹级的漏洞”在全球范围内影响甚大，RASP能够天然免疫这一漏洞，而被很多客户所关注，但由于当时真正做RASP研创的厂商较少，很多处于初期形态的RASP产品并不成熟和稳定，这导致RASP产品没有在当时被大规模采用，只有少数对新技术比较敏感和有参加红蓝对抗攻防演练需求的客户进行了试用。这几年，随着国家、行业、省部级攻防演练等攻击重点转向应用，RASP的防守价值才真正被显现出来，RASP的建设也真正走上快车道。

Q：你刚才提到，之前客户对RASP有一定的顾虑，认知度和接受度不高，能具体谈谈吗?另一个问题，这两年客户有了大量改观，原因是什么呢，展开讲讲。

A：之前的认知度和接受度不高，主要是RASP技术作为嵌入型技术，需要把安全插件注入Web应用，跟业务应用共生，客户担心对业务有影响，并且之前技术不成熟，RASP的注入，更新等动作都需要重启业务来配合，这是客户最担心的。尤其是在甲方客户，安全部门和业务部门有一定的明确分工，频繁地重启，自然会加大部署、应用、推广的难度。几年前，由于技术架构选择的问题，市面上的RASP产品确实对资源占用比较大，资源占用大则意味着对业务影响的风险变大。在这一层面上，边界无限投入重金和大量的时间精力，自研技术架构，力求RASP产品的轻量化，给您一组数据，目前RASP产品对CPU的占用大约在2-3%，内存占用100M左右，RT时延在3ms左右，这对两年前的RASP产品而言，是极大的性能提升。这些资源占用的数值，在金融、运营商、电网等对业务连续性要求更高的行业是完全可以接受的，这为RASP的爆发填平了第一个鸿沟。此外，主流RASP的厂商，都在动态无感批量部署方面做了巨大努力，可以实现业务零重启安装，这打消了客户的第二大顾虑。

造成客户改观的第三个原因，跟整体行业的趋势相关，也促进了RASP的功能升级。近两年，国家、行业、省部级等各级红蓝对抗攻防演练，攻击队的攻击重点转向了供应链系统和老旧业务系统，而应用0Day漏洞和内存马是最常见的新型攻击手段，这些攻击更隐匿化也伤害性更大，目前的传统边界防御设备鞭长莫及且容易被绕过，一旦被绕过之后，应用近乎“裸奔”，RASP技术近乎为这些新型攻击手段的唯一解决方案，且在很多甲方客户HW场景中被认证真实有效。此外，监管单位在大力推进供应链安全检查，之前甲方客户做供应链安全治理往往倚仗黑白灰盒、SCA、模糊测试等技术，这些技术在开发测试阶段往往无可替代且能形成闭环，但在生产运行时态往往收效甚微，监管和大部分安全厂商都视RASP为供应链安全尤其是第三方外采应用的“兜底”方案。哪怕是自研应用，也存在着大量的开源组件，这其中的漏洞治理风险极为严重且常被利用，RASP在防护陈旧漏洞和0Day漏洞上都效果显著。此外，很多客户都在极力推进上云进程，云上应用的防护往往倚仗云提供商的云WAF，云WAF跟传统WAF一样，基于规则，对攻击者而言，都有绕过的可能，RASP也是众多云厂商推崇的防护手段。

综上而言，RASP产品的成熟和攻击趋势的转变，让客户对RASP的认知度和接受度大大提升。

RASP会取代HIDS吗？

Q：你的意思是，RASP技术成熟和攻击重点的转到应用促成了RASP市场的爆发？

A：一个市场的爆发必然伴随着产品和技术的成熟，而规模应用则将进一步推动该产品和技术的进一步成熟。有一个有意思的点，其实RASP的迅速升温，离不开HIDS的厂商的助攻。

Q：怎么讲？HIDS助攻RASP？

A：是这样。RASP在应用0Day漏洞和内存马注入防御上的效果有目共睹，但之前也提到，百度商业RASP版本停研，阿里、腾讯等互联网厂商更希望结合公有云来推广，甚至有些互联网厂商专注于自用，比如美团，而安全大厂在没有看到RASP市场爆发之前一直持观望态度，在市场上主推RASP的厂商大多规模不大，影响力有限，这也包括边界无限，这一局面到HIDS厂商的介入才真正改观。当攻击转向应用，HIDS由于专注在主机层面，对应用层面的防护收效甚微，甚至可以说是近乎没有，很多HIDS厂商开始关注RASP技术并随之推出相应产品，由于HIDS拥有很大的存量市场和客户，这对RASP的推广无疑是重大利好，因此说HIDS助攻RASP也不为过。

Q：那可不可以理解为RASP是HIDS新的模块功能，还是说HIDS厂商也在推独立的RASP产品？

A：您说到点上了。很多HIDS在推广的初期确实把RASP当成HIDS的新模块，并根据既有存量市场迅速推广，但这种推广却将HIDS厂商推入两难之地。一是HIDS也是HW场景迅速崛起的产品，并成为一个稳定的成熟市场，您翻看HIDS厂商的玩家和业绩就知道，这在整个安全行业都是一个不可忽视的重要组成部分，然而，随着这几年的迅速建设，HIDS已经趋于饱和甚至隐隐有下降趋势，且价格走低的趋势难以逆转，如果RASP当做HIDS的新模块，必然无法形成更好的利润效益，继而影响后续的持续投入，毕竟商业公司除了做好产品，一个重要的指标就是能否形成稳定且足够的回报，从这个维度上讲，如果作为模块推广，盈利前景似乎欠佳。二是一个常识性的问题，RASP的防护重点是Web应用，而HIDS的防护重点是主机，两个不同赛道的产品当成一种产品售卖，不仅让甲方客户困惑，甚至可能隐藏巨大的审计风险。简单一句话，你不可能用防火墙扩容WAF，不同赛道不同维度的产品自然不能混为一谈。这在市场上能够得到有效验证，头部金融、运营商、电网客户都在进行独立的专项RASP建设，并没有通过主机来扩容产品，另一方面，HIDS纷纷推出独立的RASP产品，也是事实，虽然是他们并不愿意接受的事实。

Q：既然是不同维度的产品，为什么难以接受呢？您如何看待跟HIDS厂商的竞争，从目前看，要么是安全大厂，比如奇安信、亚信，要么是新的安全中坚企业，比如长亭、青藤……

A：术业有专攻。边界无限尊重但不畏惧任何竞争对手。市场是打出来的，既有的成绩代表过去，未来鹿死谁手尚未可知，不用提前害怕，我们的产品力和服务质量我们是有信心的。HIDS厂商难以接受RASP成为一个新兴独立产品乃至市场的原因，不外乎商业模式和技术路线选择。从乙方厂商的角度，都希望自身有“护城河”，而且越深越好，越宽越好。“护城河”的建立往往通过商业模式和技术路线的选择。从商业模式上，对HIDS厂商而言，主机扩容RASP的模式风险更小，且可以快速占领市场。从技术路线选择上，HIDS更希望“超融合”模式，通过“One Agent”的模式来实现，这样竞争对手动自己蛋糕的难度会增大，技术壁垒也更高。不过，这很难被甲方客户所接受，除了前面提到的审计风险，潜在风险和复杂度也会大大增加，客户很容易被“绑架”，因为这里面有一个技术公理或者说是常识，从软件工程学角度来看，功能越复杂，出问题的概率越大，哪怕HIDS和RASP是同一产品，这都难以避免，何况RASP和HIDS完完全全是两类产品。还有一个重要的常识性问题，但凡是RASP产品，都要将安全插件注入应用，否则无法起到防护效果，“One Agent”就是一个彻头彻尾的伪命题，哪怕是同一管理平台，都被客户质疑会风险叠加，一款产品出问题影响其他产品的问题真实存在且难以有效避免。从市场维度上，“全家桶”、“卷心菜”式的售卖模式越来越不受甲方客户认可，安全产品不同于其他产品，更好更优的产品和专项能力往往是选择重点，因为谁都不想“辛辛苦苦很多年，一出问题姥姥不爱舅舅嫌”。

Q：你这歇后语够多的，那RASP会取代HIDS吗？

A：话糙理不糙，这是真实的情况，很多甲方客户都愿意选择更好的防护能力，因为谁也不想拿效果一般的产品来做最重要的业务应用防护，失守意味着海量的损失。很多甲方的安全部门不都这样，不出问题都不受待见，往往觉得你是成本部门，买了那么多安全产品还难以体现效果。很多人忽略的是，安全是渐进式的查缺补漏，选择更好的产品是为了不出事情，真正的攻击来的时候有更大的概率防护住。因为攻防不对等，新的攻击形式需要引入新的防护手段和产品来防御，但安全产品不是“大力丸”，主张一款产品能防护所有问题的自然就是大忽悠。安全需要纵深，需要协同，从这个层面来说，HIDS在主机层面的防护效果有独到之处，RASP的产生和存在不是为了取代HIDS，而是在其力所不及的Web应用运行十分防护层面做补充。即使是同属应用安全赛道的WAF，RASP的目标也不是取代，这是很多前期RASP厂商推广不力的原因之一，除了产品能力不足，宣称“下一代WAF”，不是上佳的战略选择。纵深防御、协同联动的整体防护体系才是更有利于客户的选择。

Q：会有兼容性问题吗？已经有HIDS产品了，会不会不兼容新的RASP产品？

A：这有点像3Q大战。实际上，目前我们成单的客户，都是其他HIDS厂商的客户，但不会有兼容性问题，有告警信息很正常，因为技术原理的原因，不告警反而是产品能力不足，初期运营就能很好地解决这一问题。如果是非说有你没我的话，这可能就不简简单单是商业策略的问题，甚至是欺骗和绑架客户。这也是甲方客户选择独立建设RASP的基础之一，如果真的有兼容性问题甚至影响使用，也不会有这么多客户选择独立建设RASP。

Q：之前有厂商宣称ASPM也能防护0Day漏洞和内存马，你怎么看?ASPM会取代RASP吗？似乎从运维层面去推广，比从安全层面去推广来得更容易一些？

A：这个问题，其实跟前面聊的是一个事情。每个产品有每个产品的使命，APM厂商在原有产品基础上防护0Day、内存马也是运用RASP的技术，RASP技术的推广和成熟所经历的事情，ASPM自然也要去经历，这不是从哪个部门推广的事情，这是商业选择，而不是技术选择。甲方客户的最终目的是什么很重要，如果需要对应用层的0Day漏洞、内存马严防死守不容有失，谁的产品能力强，谁的产品兼容性、稳定性更好，谁会最终受益。个别的选择不足参考，这要看市场整体的选择，安全不是APM厂商的基因，专业的事情还是交给专业的厂商，是吧？

ADR是RASP的高阶形态吗？

Q：前面聊了HIDS已经和RASP完全是两个产品形态，您刚也提到ASPM似乎跟RASP也相去甚远，那么ADR呢？

A：ADR吗？提到ADR，跟您分享一个有趣的小故事，大约一年以前，有家以色列的厂商推出ADR概念，号称全球第一家，其实我们早在2022年5月首次在业界推广我们的RASP产品，就用了ADR的概念，当时我们还联合国内知名的咨询公司数世咨询撰写了ADR蓝皮书，只不过RASP的概念更早被行业认知，大家对边界无限的认知更多的是攻防能力很强以及一家RASP产品提供商。看来，酒香还怕巷子深，应该多找您这样的权威媒体帮我们发发声。

Q：你们的产品不就叫靖云甲ADR吗？这个我印象深刻。

A：您是说上次行业撰写的那个腾讯文档介绍各个公司吗？可能是我们的同事出于对公司的认可，备注了一堆靖云甲ADR。

Q：对，还标红加粗了的。回到正题哈。ADR算是RASP的高阶形态吗？

A：从整体上看，ADR的核心技术就是RASP，可以说是RASP的高阶形态。因为我们在传统RASP防护应用0Day漏洞基础上增加了很多功能，比如之前提到的应用内存马注入防护，就是很多RASP厂商不具备的，我们可以做到应用内存马拦查杀三位一体，这在整个业界都是领先的。此外，除了基本的应用资产梳理功能，我们还增加了API能力，虚拟补丁、应用弱密码筛查、应用中间件基线合规检查等功能，并引入了AI能力，利用产品自身能获取上下文的优势，利用AI辅助研判，高效、高精准对分析告警。

Q：你们还做API安全吗？

A：准确地说，可以说是API风险预警。您知道，传统的API网关或是全流量产品，只有流量经过才能梳理出API，而RASP不仅可以通过流量，还可以通过框架的方式梳理代码里的API，发现影子API、僵尸API等。这是RASP的独有能力，类似于帮助客户构建API全景图的概念，有利于排查潜在风险。

Q：很多API安全厂商都在做数据安全，边界无限有类似考量吗?

A：这在我们的规划之中，不过我们还是会将更大的经历放在应用安全和云原生安全做精做专，只有产品能打且更成熟稳定之后，我们才会在其他方向上发力，否则贪多嚼不烂，今年底，大的产品版本迭代完成后，明年初可能是个好的时间点。

Q：你刚提到产品成熟，那客户应该如何选择一家更好的RASP/ADR产品提供商呢？

A：首先，RASP是一款攻防向的产品，具备良好的攻防能力肯定是RASP/ADR厂商的加分项，行业不是流传一句话吗？未知攻焉知防！如果一个RASP厂商不懂攻防，你很难相信他的RASP产品能够多靠谱，因为这关系着RASP的防护效果、研判精准度、产品hook点的选择以及自身安全性，一款自身都不够安全的安全产品自然难以被信赖。二是轻量化，足够轻量化是业务影响最小化的前提，不够轻量化自然会更多占用业务资源，潜在风险就会大大增加，这也是HIDS+RASP，IAST+RASP，APM+RASP等“超融合”模式没有成为行业主流选择的原因。客户选择独立RASP专项建设，就是选择轻量化的技术路线。三是稳定性和兼容性，防护效果和轻量化是一款好的RASP/ADR产品的立身之本，在投入市场之后，稳定性和兼容性必须成为重要的考量。边界无限由于在测试部署量和商用部署量上都处于领先，兼容性和稳定性都处于业界最优。四是服务质量吧，近些年很多厂商都在裁员，有人开玩笑说有些裁员会裁到大动脉上，这未必都会成真，但裁员往往关联着服务质量和响应速度，目前边界无限在这方面表现是有目共睹的，我们的业绩规模和人员规模都是稳步上升的。如果非要加一点的话，攻防能力和产品工程化的兼顾，防护效果和性能占用的兼顾也非常重要。

Q：你刚提到攻防能力，听说边界无限今年在攻防演练的成绩还不错。

A：有史以来的最好成绩，但具体排名不讲了，有纪律，不过我们很满意。

Q：问句题外话，很多甲方客户在组织红队，您觉得有意义吗?

A：当然有！很多有远见卓识的客户组织红队，并在各级攻防演练中取得良好的成绩和名次，这对整个安全业界的意义重大。不是说每个客户都要组织红队参加演练，而是具备一定的红队攻防能力，可以以攻验防、以攻促防，简单点说，可以更好地发现自身的脆弱性，因为更懂自身的业务。最起码，有一定的红队能力，至少知道哪些产品防护效果更好。

Q：之前讲了很多产品和竞争，谈谈市场呢，具体有哪些进展?

A：去年我们在金融、运营商、能源电力就已经有了重点的突破，比如银联数据、浙江移动、国家电网、越盛能源等。今年，我们还中标了交通银行、工银科技、渤海银行、农发展银行、太平洋保险、出口信保、浦银金租等。

Q：成绩不错呀，这算逆势上涨吗？

A：不能在既有成绩上吃老本，希望今年能有更好的成绩收官，保持住我们在RASP产品和技术上的领先优势。

Q：这么说，对RASP充满信心喽？

A：是的。今年业界知名的咨询公司数说安全发布了2025安全行业十大创新方向，ADR位列其中，边界无限被位列首位推荐。报告中明确指出，ADR（Application Detection and Response，应用检测与响应）基于RASP技术，是区别于HIDS、EDR等传统安全设备的新型安全防护理念和产品形态。前不久，另一家知名的安全咨询公司安全喵喵站也发布了年鉴，RASP/ADR领域，边界无限也是唯一的推荐厂商，这个报告不光面向中国大陆，还对中国港澳台。这对我们来说是个鼓舞，加上市场的赢单，这让我们信心更足，尤其是很多客户进行独立RASP的专项建设，甚至是专门批新的预算来建设RASP，这对我们来说是不小的机遇。您也知道，我们是创业公司，没有既有的生意盘子。边界无限的每一分成绩，都是硬碰硬打来的，批的是产品力，拼的是服务，当然，我们也是在寻找伯乐和贵人的过程中，希望有个好的结果吧。