2021年3月22日,業(yè)界頭部DevSecOps敏捷安全廠商懸鏡安全正式宣布完成近億元人民幣的A輪融資,本輪融資由騰訊產(chǎn)業(yè)生態(tài)投資領投,紅杉中國繼續(xù)加持。強強聯(lián)合后,懸鏡安全將進一步深化和騰訊產(chǎn)業(yè)投資生態(tài)的戰(zhàn)略協(xié)同,憑借領先的下一代敏捷安全體系,在公有云、私有云及產(chǎn)業(yè)側整體敏捷安全解決方案上形成深度整合,持續(xù)擴大在華北、華東、華南、華中、西南等地區(qū)的規(guī)模化產(chǎn)品服務交付能力,加速覆蓋金融電商、能源電力、智能制造、電信運營商及互聯(lián)網(wǎng)頭部廠商等企業(yè)級安全市場。
本輪領投方騰訊產(chǎn)業(yè)生態(tài)投資表示,在安全左移、敏捷開發(fā)和信創(chuàng)的大背景下,國內DevSecOps迎來巨大增長空間。懸鏡安全的產(chǎn)品已廣泛服務于金融、能源電力、運營商和頭部互聯(lián)網(wǎng)廠商,產(chǎn)品和技術實力處于領先地位。騰訊將與懸鏡安全進一步加深合作與戰(zhàn)略協(xié)同,共同為行業(yè)構筑下一代敏捷安全體系。
上輪獨家領投方紅杉中國董事總經(jīng)理翟佳表示:“將安全嵌入 DevOps 流程形成 DevSecOps,符合當前的敏捷開發(fā)需求趨勢,使得安全可以‘左移’和‘右移’。DevSecOps滲透至研發(fā)到運營整個軟件生命周期,幫助企業(yè)在軟件開發(fā)階段就可以檢測和修復漏洞,降低成本和風險,這是網(wǎng)絡安全的新興重要發(fā)展方向。在這一領域不斷深耕的懸鏡具有領先優(yōu)勢,構筑了較深的行業(yè)壁壘,并且業(yè)務進展迅速,拓展了多個行業(yè)的標桿客戶,發(fā)展前景長期看好”。
懸鏡安全專注DevSecOps軟件供應鏈持續(xù)威脅一體化檢測防御,旗下原創(chuàng)懸鏡DevSecOps智適應威脅管理體系主要覆蓋從威脅建模、開源治理、風險發(fā)現(xiàn)、威脅模擬到檢測響應等關鍵環(huán)節(jié)的開發(fā)運營一體化敏捷安全產(chǎn)品及以實戰(zhàn)攻防對抗為特色的政企安全服務,幫助政企組織逐步構筑一套適應自身業(yè)務彈性發(fā)展、面向敏捷業(yè)務交付并引領未來架構演進的內生安全開發(fā)運營體系。當前,踐行懸鏡敏捷安全理念并應用懸鏡解決方案的企業(yè)機構包括中國銀聯(lián)、中國銀行、中國工商銀行、中國平安、中信建投證券、中國石化、中國石油、中國電信研究院、中體彩、人民網(wǎng)、國家電網(wǎng)、北京大學、中興通訊、中國工程物理研究院等眾多行業(yè)標桿用戶。
從開發(fā)源頭做敏捷安全治理
根據(jù)第三方權威調查,接近92%的已知安全漏洞都發(fā)生在軟件應用程序中,且應用中每1000行代碼至少出現(xiàn)一個業(yè)務邏輯缺陷。此外,78%-90%的現(xiàn)代應用融入了開源組件,平均每個應用包含147個開源組件,且67%的應用采用了帶有已知漏洞的開源組件。目前絕大多數(shù)政企用戶對業(yè)務應用漏洞的發(fā)現(xiàn)除了內部自測以外,多半源自外部第三方安全研究人員或安全廠商。整個軟件開發(fā)生命周期中,不同階段修復安全漏洞的成本差距顯著,研發(fā)測試階段與線上運營階段的修復成本甚至能夠相差數(shù)百倍。因此,如何前置安全工作,把漏洞風險及開源威脅消滅在萌芽狀態(tài),防止應用帶病上線,保障軟件供應鏈安全十分迫切且必要。
懸鏡安全旗下明星產(chǎn)品之一靈脈IAST灰盒安全測試平臺,作為懸鏡DevSecOps智適應威脅管理體系中上線前測試環(huán)節(jié)的應用風險發(fā)現(xiàn)平臺,通過新一代全場景實時數(shù)據(jù)流情景分析技術,如運行時應用插樁(含動態(tài)污點追蹤及交互式缺陷定位)、終端流量代理、旁路流量鏡像、主機流量嗅探、啟發(fā)式爬蟲、Web日志實時分析等和原創(chuàng)AI啟發(fā)滲透測試技術賦能傳統(tǒng)IT從業(yè)人員,在甲方用戶的組織內部快速建立安全眾測模式,使傳統(tǒng)安全小白(如研發(fā)、測試、QA等)完成應用功能測試的同時即可透明實現(xiàn)深度業(yè)務安全測試,運行時動態(tài)監(jiān)測開源風險,精準覆蓋95%以上中高危漏洞,有效防止應用帶病上線。
用持續(xù)攻防對抗來把控安全脈搏
孫子兵法中曾言:“用兵之法,無恃其不來,恃吾有以待也;無恃其不攻,恃吾有所不可攻也。”攻防對抗是網(wǎng)絡安全建設過程中永恒的主題,是檢驗現(xiàn)有安全體系防御應對未知威脅成效能力最為直接的方式,如RSAC 2018中黃金管道涉及的漏洞懸賞,本質也是鼓勵主動建立攻防對抗體系,如持續(xù)的安全眾測、不定期進行攻防演練并輔以配套的檢測響應手段等。
懸鏡安全旗下另外一款明星級產(chǎn)品靈脈PTE智慧滲透測試平臺,作為懸鏡DevSecOps智適應威脅管理體系中運營環(huán)節(jié)的威脅模擬平臺,在國內率先實現(xiàn)“AI+威脅模擬”的智能攻防演練機器人系統(tǒng),創(chuàng)造性將安全專家在大量滲透測試過程中積累的實戰(zhàn)經(jīng)驗轉化為機器可存儲、識別、處理的結構化經(jīng)驗,并且在自動化測試過程中借助人工智能算法不斷進行“自我思考”和邏輯推理決策,以貼近實際專家滲透測試的方式,對給定目標進行從信息收集、掃描探測、漏洞發(fā)現(xiàn)、漏洞利用到后滲透的整個完整滲透測試過程,全方位檢驗甲方用戶現(xiàn)有安全防御措施的有效性,從“真實黑客”視角持續(xù)動態(tài)評估目標組織的安全態(tài)勢,并大幅度彌補安全人員水平參差不齊和效率低下的問題。
以情境防御構筑業(yè)務出廠免疫
隨著云原生技術的發(fā)展和DevSecOps實踐的快速普及,網(wǎng)絡安全正在經(jīng)歷從邊界安全到主機安全、再到應用安全的發(fā)展演進,可以預判下一代應用安全重心將是運行時動態(tài)安全。
懸鏡安全最新發(fā)布的主動護網(wǎng)防御產(chǎn)品-云鯊RASP自適應威脅免疫平臺,作為懸鏡DevSecOps智適應威脅管理體系中運營環(huán)節(jié)的檢測響應平臺,通過專利級Webshell深度AI檢測引擎、應用漏洞攻擊免疫算法、運行時安全切面調度算法及縱深流量學習算法等關鍵技術, 實現(xiàn)RASP與IAST關鍵技術深度融合,將主動防御能力“注入”到業(yè)務應用中,借助強大的應用上下文情景分析能力,可捕捉并防御各種繞過流量檢測的攻擊方式(如分段傳輸、編碼變形),提供兼具業(yè)務透視和功能解耦的內生主動安全免疫能力,為業(yè)務應用出廠默認安全免疫迎來革新發(fā)展。
懸鏡DevSecOps研究最新實踐成果
結合多年的敏捷安全落地實踐經(jīng)驗,懸鏡安全探索出了一套基于原創(chuàng)專利級“敏捷流程平臺+關鍵技術工具鏈+組件化安全服務” 的DevSecOps智適應威脅管理體系。
圖1:懸鏡DevSecOps智適應威脅管理體系
它作為DevSecOps全流程AI安全賦能平臺,從構筑之初就注重技術落地的柔和低侵入性,從驅動DevSecOps CI/CD管道持續(xù)運轉的幾大關鍵實踐點入手,通過對威脅建模、開源治理、風險發(fā)現(xiàn)、威脅模擬及檢測響應等關鍵技術創(chuàng)新賦能政企組織現(xiàn)有人員,幫助甲方組織逐步構筑一套適應自身業(yè)務彈性發(fā)展、面向敏捷業(yè)務交付并引領未來架構演進的內生安全開發(fā)運營體系。
懸鏡安全創(chuàng)始人子芽在接受采訪時表示,“安全的本質是風險和信任的平衡,懸鏡這些年一直在做的一件事就是如何幫助甲方用戶更好地擁抱變化,更快速地適應云原生技術普及,做好內生敏捷安全”。DevSecOps敏捷安全工具金字塔作為懸鏡安全最新研究實踐成果,它前瞻性地預測了未來DevSecOps關鍵技術演進的路線,為業(yè)內組織后續(xù)的體系化安全建設指明了方向。
圖2:DevSecOps敏捷安全工具金字塔
在數(shù)字化時代的業(yè)務安全目標,更加強調對風險和信任的評估分析,這個分析的過程就是一個動態(tài)平衡的過程,我們需要告別過去傳統(tǒng)安全門式允許/阻斷的處置方式,旨在通過運行時情境分析來持續(xù)評估業(yè)務安全風險,放棄追求絕對的安全,不死守零風險,不苛求100%信任,通過運行時威脅免疫、風險聯(lián)動治理和持續(xù)監(jiān)控等關鍵技術實現(xiàn)一種0和1之間的綜合風險與信任的動態(tài)平衡。