WechatIMG72_meitu_1

【獵云網北京】6月8日報道

今日,DevSecOps敏捷安全公司懸鏡安全正式宣布完成數千萬元人民幣的Pre-A輪融資,本輪融資由紅杉中國種子基金獨家領投。融資完成后,懸鏡安全將進一步完善產品布局,擴充專業銷售及市場團隊,加速進軍金融、電力、能源及互聯網企業安全市場。

據悉,懸鏡安全由北京大學網絡安全技術研究團隊“XMIRROR”主導創立,專注DevSecOps軟件供應鏈持續威脅一體化檢測防御,旗下原創懸鏡DevSecOps智適應威脅管理體系主要覆蓋從威脅建模、威脅發現、威脅模擬到檢測響應等關鍵環節的開發運營一體化敏捷安全產品及以實戰攻防對抗為特色的政企安全服務。

據了解,懸鏡旗下明星產品之一靈脈IAST灰盒安全測試平臺,作為懸鏡DevSecOps智適應威脅管理體系中CI/CD管道的應用風險發現平臺,通過新一代全場景實時流量分析技術,如運行時應用插樁(含主動及被動)、啟發式爬蟲、代理/VPN及流量管家等和原創AI啟發滲透測試技術賦能傳統IT從業人員,在甲方用戶的組織內部快速建立安全眾測模式,使傳統安全小白(如研發、測試、QA等)完成應用功能測試的同時即可透明實現深度業務安全測試,有效覆蓋90%以上中高危漏洞,防止應用帶病上線。從原理來看,基于IAST的灰盒測試可以通過在測試服務器上安裝的探針(可理解為插件,用作收集流量),拿到程序運行交互的一些請求上下文,再利用動態污點追蹤等方式追蹤從輸入到敏感操作之間整個傳播路徑,進而分析、確認漏洞。而且由于請求上下文是從內存中拿到,工作人員可以定位漏洞所在的代碼位置,所以檢出率很高,同時也很精準。

攻防對抗是網絡安全建設過程中永恒的主題,是檢驗現有安全體系防御應對未知威脅成效能力最為直接的方式,如RSAC 2018中黃金管道涉及的BUG懸賞,本質也是鼓勵主動建立攻防對抗體系,如持續的安全眾測、不定期進行攻防演練并輔以配套的檢測響應手段等。

懸鏡旗下另外一款明星產品靈脈AI智慧滲透測試平臺,作為懸鏡DevSecOps自適應威脅管理體系運營環節中的威脅模擬平臺,在國內率先實現“AI+威脅模擬”的智能攻防演練機器人系統,將安全專家在大量滲透測試過程中積累的實戰經驗轉化為機器可存儲、識別、處理的結構化經驗,并且在自動化測試過程中借助人工智能算法不斷進行“自我思考”和邏輯推理決策,以貼近實際人工滲透測試的方式,對給定目標進行從信息收集到漏洞利用的完整滲透測試過程,全方位檢驗甲方用戶現有安全防御措施的有效性,盡可能彌補安全人員水平參差不齊和效率低下的問題。

人及團隊文化在整個安全體系建設中有著巨大的影響力,人的行為自始至終與數據、威脅、風險、隱私及管理等因素交織在一起,也是整個DevSecOps實踐框架中最不穩定的因素。為此RSAC2020的主題專門設定為“Human Element”。一個完善的DevOps安全體系建設,不僅要全流程考慮人和技術的因素, 更要從源頭抓起,所以早期的安全意識培訓、需求階段的威脅建模等都是十分必要的安全活動。

懸鏡旗下DevSecOps全流程賦能平臺夫子Xfuse,作為融合懸鏡DevSecOps持續威脅管理思想的全流程安全開發賦能框架,不僅聚焦開發早期需求分析、架構設計階段的威脅建模,還重點解決當下軟件應用漏洞管理中普遍存在的漏洞發現能力孤立、漏洞管理難閉環、開發流程難管控、實踐效果難度量等核心痛點。它的核心定位是從SDL/DevOps源頭開始將專家團隊的安全能力持續賦能給傳統IT項目人員,使安全思想注入軟件供應鏈全生命周期,幫助企業組織流程化、自動化、持續化地保障業務安全。

整體來看,結合多年敏捷安全落地實踐經驗,懸鏡探索出一套基于原創專利級“平臺+工具+服務” 的DevSecOps智適應威脅管理體系。它作為DevSecOps全流程AI安全賦能平臺,從構筑初就注重技術落地的柔和低侵入性,從驅動DevSecOps CI/CD管道持續運轉的幾大關鍵實踐點入手,通過對威脅建模、威脅發現、威脅模擬及檢測響應等關鍵技術創新賦能政企組織現有人員,幫助甲方建立更高效完善的安全開發和安全運營體系,并根據各流程頻現的漏洞類型、研發人員知識盲區等再次提供針對性培訓,最終針對性制定規章制度,實現制度精準逆推落地。

毒鏡頭:老鏡頭、攝影器材資料庫、老鏡頭樣片、攝影