其他
悬镜安全完成A轮战略融资,腾讯产业生态投资领投红杉中国继续加持
2021年3月22日,业界头部DevSecOps敏捷安全厂商悬镜安全正式宣布完成近亿元人民币的A轮融资,本轮融资由腾讯产业生态投资领投,红杉中国继续加持。强强联合后,悬镜安全将进一步深化和腾讯产业投资生态的战略协同,凭借领先的下一代敏捷安全体系,在公有云、私有云及产业侧整体敏捷安全解决方案上形成深度整合,持续扩大在华北、华东、华南、华中、西南等地区的规模化产品服务交付能力,加速覆盖金融电商、能源电力、智能制造、电信运营商及互联网头部厂商等企业级安全市场。
从开发源头做敏捷安全治理
根据第三方权威调查,接近92%的已知安全漏洞都发生在软件应用程序中,且应用中每1000行代码至少出现一个业务逻辑缺陷。此外,78%-90%的现代应用融入了开源组件,平均每个应用包含147个开源组件,且67%的应用采用了带有已知漏洞的开源组件。目前绝大多数政企用户对业务应用漏洞的发现除了内部自测以外,多半源自外部第三方安全研究人员或安全厂商。整个软件开发生命周期中,不同阶段修复安全漏洞的成本差距显著,研发测试阶段与线上运营阶段的修复成本甚至能够相差数百倍。因此,如何前置安全工作,把漏洞风险及开源威胁消灭在萌芽状态,防止应用带病上线,保障软件供应链安全十分迫切且必要。
悬镜安全旗下明星产品之一灵脉IAST灰盒安全测试平台,作为悬镜DevSecOps智适应威胁管理体系中上线前测试环节的应用风险发现平台,通过新一代全场景实时数据流情景分析技术,如运行时应用插桩(含动态污点追踪及交互式缺陷定位)、终端流量代理、旁路流量镜像、主机流量嗅探、启发式爬虫、Web日志实时分析等和原创AI启发渗透测试技术赋能传统IT从业人员,在甲方用户的组织内部快速建立安全众测模式,使传统安全小白(如研发、测试、QA等)完成应用功能测试的同时即可透明实现深度业务安全测试,运行时动态监测开源风险,精准覆盖95%以上中高危漏洞,有效防止应用带病上线。
用持续攻防对抗来把控安全脉搏
孙子兵法中曾言:“用兵之法,无恃其不来,恃吾有以待也;无恃其不攻,恃吾有所不可攻也。”攻防对抗是网络安全建设过程中永恒的主题,是检验现有安全体系防御应对未知威胁成效能力最为直接的方式,如RSAC 2018中黄金管道涉及的漏洞悬赏,本质也是鼓励主动建立攻防对抗体系,如持续的安全众测、不定期进行攻防演练并辅以配套的检测响应手段等。
悬镜安全旗下另外一款明星级产品灵脉PTE智慧渗透测试平台,作为悬镜DevSecOps智适应威胁管理体系中运营环节的威胁模拟平台,在国内率先实现“AI+威胁模拟”的智能攻防演练机器人系统,创造性将安全专家在大量渗透测试过程中积累的实战经验转化为机器可存储、识别、处理的结构化经验,并且在自动化测试过程中借助人工智能算法不断进行“自我思考”和逻辑推理决策,以贴近实际专家渗透测试的方式,对给定目标进行从信息收集、扫描探测、漏洞发现、漏洞利用到后渗透的整个完整渗透测试过程,全方位检验甲方用户现有安全防御措施的有效性,从“真实黑客”视角持续动态评估目标组织的安全态势,并大幅度弥补安全人员水平参差不齐和效率低下的问题。
以情境防御构筑业务出厂免疫
随着云原生技术的发展和DevSecOps实践的快速普及,网络安全正在经历从边界安全到主机安全、再到应用安全的发展演进,可以预判下一代应用安全重心将是运行时动态安全。
悬镜安全最新发布的主动护网防御产品-云鲨RASP自适应威胁免疫平台,作为悬镜DevSecOps智适应威胁管理体系中运营环节的检测响应平台,通过专利级Webshell深度AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术, 实现RASP与IAST关键技术深度融合,将主动防御能力“注入”到业务应用中,借助强大的应用上下文情景分析能力,可捕捉并防御各种绕过流量检测的攻击方式(如分段传输、编码变形),提供兼具业务透视和功能解耦的内生主动安全免疫能力,为业务应用出厂默认安全免疫迎来革新发展。
悬镜DevSecOps研究最新实践成果
结合多年的敏捷安全落地实践经验,悬镜安全探索出了一套基于原创专利级“敏捷流程平台+关键技术工具链+组件化安全服务” 的DevSecOps智适应威胁管理体系。
在数字化时代的业务安全目标,更加强调对风险和信任的评估分析,这个分析的过程就是一个动态平衡的过程,我们需要告别过去传统安全门式允许/阻断的处置方式,旨在通过运行时情境分析来持续评估业务安全风险,放弃追求绝对的安全,不死守零风险,不苛求100%信任,通过运行时威胁免疫、风险联动治理和持续监控等关键技术实现一种0和1之间的综合风险与信任的动态平衡。