據(jù)悉，懸鏡安全由北京大學(xué)網(wǎng)絡(luò)安全技術(shù)研究團(tuán)隊(duì)“XMIRROR”主導(dǎo)創(chuàng)立，專注DevSecOps軟件供應(yīng)鏈持續(xù)威脅一體化檢測防御，旗下原創(chuàng)懸鏡DevSecOps智適應(yīng)威脅管理體系主要覆蓋從威脅建模、威脅發(fā)現(xiàn)、威脅模擬到檢測響應(yīng)等關(guān)鍵環(huán)節(jié)的開發(fā)運(yùn)營一體化敏捷安全產(chǎn)品及以實(shí)戰(zhàn)攻防對抗為特色的政企安全服務(wù)。

 

 

　　根據(jù)第三方權(quán)威調(diào)查，接近92%的已知安全漏洞都發(fā)生在軟件應(yīng)用程序中，且應(yīng)用中每1000行代碼至少出現(xiàn)一個(gè)業(yè)務(wù)邏輯缺陷。目前絕大多數(shù)政企用戶對業(yè)務(wù)應(yīng)用漏洞的發(fā)現(xiàn)除了內(nèi)部自測以外，多半源自外部第三方安全研究人員或安全廠商。整個(gè)軟件開發(fā)生命周期中，不同階段修復(fù)安全漏洞的成本差距顯著，研發(fā)測試階段與線上運(yùn)營階段的修復(fù)成本甚至能夠相差數(shù)百倍。因此，如何前置安全工作，把漏洞風(fēng)險(xiǎn)消滅在萌芽狀態(tài)，防止應(yīng)用帶病上線，十分迫切且必要。

 

　　懸鏡旗下明星產(chǎn)品之一靈脈IAST灰盒安全測試平臺，作為懸鏡DevSecOps智適應(yīng)威脅管理體系中CI/CD管道的應(yīng)用風(fēng)險(xiǎn)發(fā)現(xiàn)平臺，通過新一代全場景實(shí)時(shí)流量分析技術(shù)，如運(yùn)行時(shí)應(yīng)用插樁（含主動及被動）、啟發(fā)式爬蟲、代理/VPN及流量管家等和原創(chuàng)AI啟發(fā)滲透測試技術(shù)賦能傳統(tǒng)IT從業(yè)人員，在甲方用戶的組織內(nèi)部快速建立安全眾測模式，使傳統(tǒng)安全小白（如研發(fā)、測試、QA等）完成應(yīng)用功能測試的同時(shí)即可透明實(shí)現(xiàn)深度業(yè)務(wù)安全測試，有效覆蓋90%以上中高危漏洞，防止應(yīng)用帶病上線。

 

　　用持續(xù)攻防對抗來把控安全脈搏

 

　　孫子兵法中曾言：“用兵之法，無恃其不來，恃吾有以待也；無恃其不攻，恃吾有所不可攻也。”攻防對抗是網(wǎng)絡(luò)安全建設(shè)過程中永恒的主題，是檢驗(yàn)現(xiàn)有安全體系防御應(yīng)對未知威脅成效能力最為直接的方式，如RSAC2018中黃金管道涉及的BUG懸賞，本質(zhì)也是鼓勵主動建立攻防對抗體系，如持續(xù)的安全眾測、不定期進(jìn)行攻防演練并輔以配套的檢測響應(yīng)手段等。

 

　　懸鏡旗下另外一款明星級產(chǎn)品靈脈AI智慧滲透測試平臺，作為懸鏡DevSecOps自適應(yīng)威脅管理體系中運(yùn)營環(huán)節(jié)中的威脅模擬平臺，在國內(nèi)率先實(shí)現(xiàn)“AI+威脅模擬”的智能攻防演練機(jī)器人系統(tǒng)，創(chuàng)造性將安全專家在大量滲透測試過程中積累的實(shí)戰(zhàn)經(jīng)驗(yàn)轉(zhuǎn)化為機(jī)器可存儲、識別、處理的結(jié)構(gòu)化經(jīng)驗(yàn)，并且在自動化測試過程中借助人工智能算法不斷進(jìn)行“自我思考”和邏輯推理決策，以貼近實(shí)際人工滲透測試的方式，對給定目標(biāo)進(jìn)行從信息收集到漏洞利用的完整滲透測試過程，全方位檢驗(yàn)甲方用戶現(xiàn)有安全防御措施的有效性，并大幅度彌補(bǔ)安全人員水平參差不齊和效率低下的問題。

 

 

　　人及團(tuán)隊(duì)文化在整個(gè)安全體系建設(shè)中有著巨大的影響力，人的行為自始至終就與數(shù)據(jù)、威脅、風(fēng)險(xiǎn)、隱私及管理等因素交織在一起，也是整個(gè)DevSecOps實(shí)踐框架中最不穩(wěn)定的因素。為此RSAC2020的主題專門設(shè)定為“HumanElement”。一個(gè)完善的DevOps安全體系建設(shè)，不僅要全流程考慮人和技術(shù)的因素，更要從源頭抓起，早期的安全意識培訓(xùn)、需求階段的威脅建模等都是十分必要的安全活動。

 

　　懸鏡旗下DevSecOps全流程賦能平臺夫子Xfuse，作為融合懸鏡DevSecOps持續(xù)威脅管理思想的全流程安全開發(fā)賦能框架，不僅聚焦開發(fā)早期需求分析、架構(gòu)設(shè)計(jì)階段的威脅建模，還重點(diǎn)解決當(dāng)下軟件應(yīng)用漏洞管理中普遍存在的漏洞發(fā)現(xiàn)能力孤立、漏洞管理難閉環(huán)、開發(fā)流程難管控、實(shí)踐效果難度量等核心痛點(diǎn)問題。它的核心定位就是從SDL/DevOps源頭開始將專家團(tuán)隊(duì)的安全能力持續(xù)賦能給傳統(tǒng)IT項(xiàng)目人員，使安全思想注入軟件供應(yīng)鏈全生命周期，幫助企業(yè)組織流程化、自動化、持續(xù)化地保障業(yè)務(wù)安全。

 

 

　　結(jié)合多年的敏捷安全落地實(shí)踐經(jīng)驗(yàn)，懸鏡探索出了一套基于原創(chuàng)專利級“平臺+工具+服務(wù)”的DevSecOps智適應(yīng)威脅管理體系。它作為DevSecOps全流程AI安全賦能平臺，從構(gòu)筑之初就注重技術(shù)落地的柔和低侵入性，從驅(qū)動DevSecOpsCI/CD管道持續(xù)運(yùn)轉(zhuǎn)的幾大關(guān)鍵實(shí)踐點(diǎn)入手，通過對威脅建模、威脅發(fā)現(xiàn)、威脅模擬及檢測響應(yīng)等關(guān)鍵技術(shù)創(chuàng)新賦能政企組織現(xiàn)有人員，幫助甲方建立起更加高效完善的安全開發(fā)和安全運(yùn)營體系，并根據(jù)各流程頻現(xiàn)的漏洞類型、研發(fā)人員知識盲區(qū)等再次提供針對性培訓(xùn)，最終針對性制定規(guī)章制度，實(shí)現(xiàn)制度精準(zhǔn)逆推落地。

 

圖1：懸鏡DevSecOps智適應(yīng)威脅管理體系

 

　　懸鏡創(chuàng)始人子芽在接受采訪時(shí)表示，“安全的本質(zhì)是風(fēng)險(xiǎn)和信任的平衡，懸鏡這些年一直在做的一件事就是如何幫助甲方用戶更好地?fù)肀ё兓龊脙?nèi)生敏捷安全”。在數(shù)字化時(shí)代的業(yè)務(wù)安全目標(biāo)，更加強(qiáng)調(diào)對風(fēng)險(xiǎn)和信任的評估分析，這個(gè)分析的過程就是一個(gè)動態(tài)平衡的過程，我們需要告別過去傳統(tǒng)安全門式允許/阻斷的處置方式，旨在通過情境分析來評估業(yè)務(wù)風(fēng)險(xiǎn)，放棄追求絕對的安全，不要求零風(fēng)險(xiǎn)，不要求100%信任，尋求一種0和1之間的風(fēng)險(xiǎn)與信任的平衡。當(dāng)前，踐行懸鏡敏捷安全理念并采用懸鏡解決方案的企業(yè)機(jī)構(gòu)包括中國銀行、中信建投證券、中國石化、中體彩、人民網(wǎng)、湖南電網(wǎng)、北京大學(xué)等眾多行業(yè)標(biāo)桿用戶。