據悉,懸鏡安全由北京大學網絡安全技術研究團隊“XMIRROR”主導創立,專注DevSecOps軟件供應鏈持續威脅一體化檢測防御,旗下原創懸鏡DevSecOps智適應威脅管理體系主要覆蓋從威脅建模、威脅發現、威脅模擬到檢測響應等關鍵環節的開發運營一體化敏捷安全產品及以實戰攻防對抗為特色的政企安全服務。
從開發源頭做敏捷安全治理
根據第三方權威調查,接近92%的已知安全漏洞都發生在軟件應用程序中,且應用中每1000行代碼至少出現一個業務邏輯缺陷。目前絕大多數政企用戶對業務應用漏洞的發現除了內部自測以外,多半源自外部第三方安全研究人員或安全廠商。整個軟件開發生命周期中,不同階段修復安全漏洞的成本差距顯著,研發測試階段與線上運營階段的修復成本甚至能夠相差數百倍。因此,如何前置安全工作,把漏洞風險消滅在萌芽狀態,防止應用帶病上線,十分迫切且必要。
懸鏡旗下明星產品之一靈脈IAST灰盒安全測試平臺,作為懸鏡DevSecOps智適應威脅管理體系中CI/CD管道的應用風險發現平臺,通過新一代全場景實時流量分析技術,如運行時應用插樁(含主動及被動)、啟發式爬蟲、代理/VPN及流量管家等和原創AI啟發滲透測試技術賦能傳統IT從業人員,在甲方用戶的組織內部快速建立安全眾測模式,使傳統安全小白(如研發、測試、QA等)完成應用功能測試的同時即可透明實現深度業務安全測試,有效覆蓋90%以上中高危漏洞,防止應用帶病上線。
用持續攻防對抗來把控安全脈搏
孫子兵法中曾言:“用兵之法,無恃其不來,恃吾有以待也;無恃其不攻,恃吾有所不可攻也。”攻防對抗是網絡安全建設過程中永恒的主題,是檢驗現有安全體系防御應對未知威脅成效能力最為直接的方式,如RSAC2018中黃金管道涉及的BUG懸賞,本質也是鼓勵主動建立攻防對抗體系,如持續的安全眾測、不定期進行攻防演練并輔以配套的檢測響應手段等。
懸鏡旗下另外一款明星級產品靈脈AI智慧滲透測試平臺,作為懸鏡DevSecOps自適應威脅管理體系中運營環節中的威脅模擬平臺,在國內率先實現“AI+威脅模擬”的智能攻防演練機器人系統,創造性將安全專家在大量滲透測試過程中積累的實戰經驗轉化為機器可存儲、識別、處理的結構化經驗,并且在自動化測試過程中借助人工智能算法不斷進行“自我思考”和邏輯推理決策,以貼近實際人工滲透測試的方式,對給定目標進行從信息收集到漏洞利用的完整滲透測試過程,全方位檢驗甲方用戶現有安全防御措施的有效性,并大幅度彌補安全人員水平參差不齊和效率低下的問題。
以人的賦能來度量實踐效果
人及團隊文化在整個安全體系建設中有著巨大的影響力,人的行為自始至終就與數據、威脅、風險、隱私及管理等因素交織在一起,也是整個DevSecOps實踐框架中最不穩定的因素。為此RSAC2020的主題專門設定為“HumanElement”。一個完善的DevOps安全體系建設,不僅要全流程考慮人和技術的因素,更要從源頭抓起,早期的安全意識培訓、需求階段的威脅建模等都是十分必要的安全活動。
懸鏡旗下DevSecOps全流程賦能平臺夫子Xfuse,作為融合懸鏡DevSecOps持續威脅管理思想的全流程安全開發賦能框架,不僅聚焦開發早期需求分析、架構設計階段的威脅建模,還重點解決當下軟件應用漏洞管理中普遍存在的漏洞發現能力孤立、漏洞管理難閉環、開發流程難管控、實踐效果難度量等核心痛點問題。它的核心定位就是從SDL/DevOps源頭開始將專家團隊的安全能力持續賦能給傳統IT項目人員,使安全思想注入軟件供應鏈全生命周期,幫助企業組織流程化、自動化、持續化地保障業務安全。
懸鏡DevSecOps研究實踐成果
結合多年的敏捷安全落地實踐經驗,懸鏡探索出了一套基于原創專利級“平臺+工具+服務”的DevSecOps智適應威脅管理體系。它作為DevSecOps全流程AI安全賦能平臺,從構筑之初就注重技術落地的柔和低侵入性,從驅動DevSecOpsCI/CD管道持續運轉的幾大關鍵實踐點入手,通過對威脅建模、威脅發現、威脅模擬及檢測響應等關鍵技術創新賦能政企組織現有人員,幫助甲方建立起更加高效完善的安全開發和安全運營體系,并根據各流程頻現的漏洞類型、研發人員知識盲區等再次提供針對性培訓,最終針對性制定規章制度,實現制度精準逆推落地。
圖1:懸鏡DevSecOps智適應威脅管理體系
懸鏡創始人子芽在接受采訪時表示,“安全的本質是風險和信任的平衡,懸鏡這些年一直在做的一件事就是如何幫助甲方用戶更好地擁抱變化,做好內生敏捷安全”。在數字化時代的業務安全目標,更加強調對風險和信任的評估分析,這個分析的過程就是一個動態平衡的過程,我們需要告別過去傳統安全門式允許/阻斷的處置方式,旨在通過情境分析來評估業務風險,放棄追求絕對的安全,不要求零風險,不要求100%信任,尋求一種0和1之間的風險與信任的平衡。當前,踐行懸鏡敏捷安全理念并采用懸鏡解決方案的企業機構包括中國銀行、中信建投證券、中國石化、中體彩、人民網、湖南電網、北京大學等眾多行業標桿用戶。
