據(jù)悉，懸鏡安全由北京大學網(wǎng)絡安全技術(shù)研究團隊“XMIRROR”主導創(chuàng)立，專注DevSecOps軟件供應鏈持續(xù)威脅一體化檢測防御，旗下原創(chuàng)懸鏡DevSecOps智適應威脅管理體系主要覆蓋從威脅建模、威脅發(fā)現(xiàn)、威脅模擬到檢測響應等關(guān)鍵環(huán)節(jié)的開發(fā)運營一體化敏捷安全產(chǎn)品及以實戰(zhàn)攻防對抗為特色的政企安全服務。

 

 

　　根據(jù)第三方權(quán)威調(diào)查，接近92%的已知安全漏洞都發(fā)生在軟件應用程序中，且應用中每1000行代碼至少出現(xiàn)一個業(yè)務邏輯缺陷。目前絕大多數(shù)政企用戶對業(yè)務應用漏洞的發(fā)現(xiàn)除了內(nèi)部自測以外，多半源自外部第三方安全研究人員或安全廠商。整個軟件開發(fā)生命周期中，不同階段修復安全漏洞的成本差距顯著，研發(fā)測試階段與線上運營階段的修復成本甚至能夠相差數(shù)百倍。因此，如何前置安全工作，把漏洞風險消滅在萌芽狀態(tài)，防止應用帶病上線，十分迫切且必要。

 

　　懸鏡旗下明星產(chǎn)品之一靈脈IAST灰盒安全測試平臺，作為懸鏡DevSecOps智適應威脅管理體系中CI/CD管道的應用風險發(fā)現(xiàn)平臺，通過新一代全場景實時流量分析技術(shù)，如運行時應用插樁（含主動及被動）、啟發(fā)式爬蟲、代理/VPN及流量管家等和原創(chuàng)AI啟發(fā)滲透測試技術(shù)賦能傳統(tǒng)IT從業(yè)人員，在甲方用戶的組織內(nèi)部快速建立安全眾測模式，使傳統(tǒng)安全小白（如研發(fā)、測試、QA等）完成應用功能測試的同時即可透明實現(xiàn)深度業(yè)務安全測試，有效覆蓋90%以上中高危漏洞，防止應用帶病上線。

 

　　用持續(xù)攻防對抗來把控安全脈搏

 

　　孫子兵法中曾言：“用兵之法，無恃其不來，恃吾有以待也；無恃其不攻，恃吾有所不可攻也。”攻防對抗是網(wǎng)絡安全建設過程中永恒的主題，是檢驗現(xiàn)有安全體系防御應對未知威脅成效能力最為直接的方式，如RSAC2018中黃金管道涉及的BUG懸賞，本質(zhì)也是鼓勵主動建立攻防對抗體系，如持續(xù)的安全眾測、不定期進行攻防演練并輔以配套的檢測響應手段等。

 

　　懸鏡旗下另外一款明星級產(chǎn)品靈脈AI智慧滲透測試平臺，作為懸鏡DevSecOps自適應威脅管理體系中運營環(huán)節(jié)中的威脅模擬平臺，在國內(nèi)率先實現(xiàn)“AI+威脅模擬”的智能攻防演練機器人系統(tǒng)，創(chuàng)造性將安全專家在大量滲透測試過程中積累的實戰(zhàn)經(jīng)驗轉(zhuǎn)化為機器可存儲、識別、處理的結(jié)構(gòu)化經(jīng)驗，并且在自動化測試過程中借助人工智能算法不斷進行“自我思考”和邏輯推理決策，以貼近實際人工滲透測試的方式，對給定目標進行從信息收集到漏洞利用的完整滲透測試過程，全方位檢驗甲方用戶現(xiàn)有安全防御措施的有效性，并大幅度彌補安全人員水平參差不齊和效率低下的問題。

 

 

　　人及團隊文化在整個安全體系建設中有著巨大的影響力，人的行為自始至終就與數(shù)據(jù)、威脅、風險、隱私及管理等因素交織在一起，也是整個DevSecOps實踐框架中最不穩(wěn)定的因素。為此RSAC2020的主題專門設定為“HumanElement”。一個完善的DevOps安全體系建設，不僅要全流程考慮人和技術(shù)的因素，更要從源頭抓起，早期的安全意識培訓、需求階段的威脅建模等都是十分必要的安全活動。

 

　　懸鏡旗下DevSecOps全流程賦能平臺夫子Xfuse，作為融合懸鏡DevSecOps持續(xù)威脅管理思想的全流程安全開發(fā)賦能框架，不僅聚焦開發(fā)早期需求分析、架構(gòu)設計階段的威脅建模，還重點解決當下軟件應用漏洞管理中普遍存在的漏洞發(fā)現(xiàn)能力孤立、漏洞管理難閉環(huán)、開發(fā)流程難管控、實踐效果難度量等核心痛點問題。它的核心定位就是從SDL/DevOps源頭開始將專家團隊的安全能力持續(xù)賦能給傳統(tǒng)IT項目人員，使安全思想注入軟件供應鏈全生命周期，幫助企業(yè)組織流程化、自動化、持續(xù)化地保障業(yè)務安全。

 

 

　　結(jié)合多年的敏捷安全落地實踐經(jīng)驗，懸鏡探索出了一套基于原創(chuàng)專利級“平臺+工具+服務”的DevSecOps智適應威脅管理體系。它作為DevSecOps全流程AI安全賦能平臺，從構(gòu)筑之初就注重技術(shù)落地的柔和低侵入性，從驅(qū)動DevSecOpsCI/CD管道持續(xù)運轉(zhuǎn)的幾大關(guān)鍵實踐點入手，通過對威脅建模、威脅發(fā)現(xiàn)、威脅模擬及檢測響應等關(guān)鍵技術(shù)創(chuàng)新賦能政企組織現(xiàn)有人員，幫助甲方建立起更加高效完善的安全開發(fā)和安全運營體系，并根據(jù)各流程頻現(xiàn)的漏洞類型、研發(fā)人員知識盲區(qū)等再次提供針對性培訓，最終針對性制定規(guī)章制度，實現(xiàn)制度精準逆推落地。

 

圖1：懸鏡DevSecOps智適應威脅管理體系

 

　　懸鏡創(chuàng)始人子芽在接受采訪時表示，“安全的本質(zhì)是風險和信任的平衡，懸鏡這些年一直在做的一件事就是如何幫助甲方用戶更好地擁抱變化，做好內(nèi)生敏捷安全”。在數(shù)字化時代的業(yè)務安全目標，更加強調(diào)對風險和信任的評估分析，這個分析的過程就是一個動態(tài)平衡的過程，我們需要告別過去傳統(tǒng)安全門式允許/阻斷的處置方式，旨在通過情境分析來評估業(yè)務風險，放棄追求絕對的安全，不要求零風險，不要求100%信任，尋求一種0和1之間的風險與信任的平衡。當前，踐行懸鏡敏捷安全理念并采用懸鏡解決方案的企業(yè)機構(gòu)包括中國銀行、中信建投證券、中國石化、中體彩、人民網(wǎng)、湖南電網(wǎng)、北京大學等眾多行業(yè)標桿用戶。