据了解,在与腾讯强强联合后,悬镜安全将进一步深化和腾讯产业投资生态的战略协同,凭借领先的下一代敏捷安全体系,在公有云、私有云及产业侧整体敏捷安全解决方案上形成深度整合,持续扩大在华北、华东、华南、华中、西南等地区的规模化产品服务交付能力,加速覆盖金融电商、能源电力、智能制造、电信运营商及互联网头部厂商等企业级安全市场。
DevSecOps 是 Gartner 在2012年的一份报告中提出的概念。在这份报告中,Gartner 提出将安全理念需要更融入到 DevOps 的实践中,提高企业安全意识,最大化企业价值。作为一种全新的安全理念与模式,DevSecOps 是从DevOps的概念延伸和演变而来的,其核心理念为:安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发到运营整个业务生命周期的每一个环节。
DevSecOps的出现是为了改变和优化之前安全工作中安全测试的孤立性、滞后性、随机性、覆盖性、变更一致性等问题,进而通过固化流程、加强不同人员协作,通过工具、技术手段来将可以自动化、重复性的安全工作融入到研发体系内,让安全属性嵌入到整条流水线。
2017年在美国的RSA大会上,讨论“下一代应用及IT基础设施的安全管理模式”的DevSecOps受到了前所未有的关注,大会甚至还为这个概念和方向设置了许多议题和专门的研讨会,让这个网络安全行业新晋热词“DevSecOps”出现在大家的视野中,而云原生安全概念的提出,也推动了DevSecOps理念在国内网络安全行业中的热捧。
作为业界头部的DevSecOps敏捷安全细分领域安全厂商,悬镜首创了基于AI情景感知的DevSecOps持续威胁管理技术,从源头追踪软件供应链在开发、测试、部署、运营等关键环节面临的应用安全风险与未知外部威胁,结合多年的敏捷安全落地实践经验,悬镜安全探索出了一套基于原创专利级“敏捷流程平台+关键技术工具链+组件化安全服务” 的悬镜DevSecOps智适应威胁管理体系。
图:悬镜DevSecOps智适应威胁管理体系
作为DevSecOps全流程AI安全赋能平台,悬镜DevSecOps智适应威胁管理体系从构筑之初就注重技术落地的柔和低侵入性,从驱动DevSecOps CI/CD管道持续运转的几大关键实践点入手,通过对威胁建模、开源治理、风险发现、威胁模拟及检测响应等关键技术创新赋能政企组织现有人员,帮助甲方组织逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生安全开发运营体系。
而在产品侧,悬镜安全已经围绕其DevSecOps智适应威胁管理体系打造了包括灵脉IAST灰盒安全测试平台、灵脉PTE智慧渗透测试平台、源鉴OSS开源威胁管控平台、云鲨RASP自适应威胁免疫平台四款拳头产品在内的一系列创新产品和解决方案。
以悬镜旗下明星产品之一的灵脉IAST灰盒安全测试平台来说,作为悬镜DevSecOps智适应威胁管理体系中上线前测试环节的应用风险发现平台,灵脉IAST灰盒安全测试平台能够通过如运行时应用插桩、终端流量代理、旁路流量镜像、主机流量嗅探、启发式爬虫、Web日志实时分析,以及AI启发渗透测试技术等新一代全场景实时数据流情景分析技术赋能传统IT从业人员,帮助企业用户在组织内部快速建立安全众测模式,使企业中的如研发、测试、QA等非安全类IT员工能够在完成应用功能测试的同时,还可透明实现深度业务安全测试,在业务运行时动态监测开源风险。其精准度可以覆盖95%以上中高危漏洞,有效防止应用带病上线。
悬镜安全旗下另外一款明星级产品灵脉PTE智慧渗透测试平台,在国内率先实现了“AI+威胁模拟”的智能攻防演练机器人系统,创造性将安全专家在大量渗透测试过程中积累的实战经验,转化为机器可存储、识别、处理的结构化经验,并且在自动化测试过程中借助人工智能算法不断进行“自我思考”和逻辑推理决策,以贴近实际专家渗透测试的方式,对给定目标进行从信息收集、扫描探测、漏洞发现、漏洞利用到后渗透的整个完整渗透测试过程,帮助企业用户全方位检验现有安全防御措施的有效性,从“真实黑客”视角持续动态评估目标组织的安全态势,能够大幅度弥补安全人员水平参差不齐和效率低下的问题。
悬镜安全旗下另外一款明星级产品灵脉PTE智慧渗透测试平台,在国内率先实现了“AI+威胁模拟”的智能攻防演练机器人系统,创造性将安全专家在大量渗透测试过程中积累的实战经验,转化为机器可存储、识别、处理的结构化经验,并且在自动化测试过程中借助人工智能算法不断进行“自我思考”和逻辑推理决策,以贴近实际专家渗透测试的方式,对给定目标进行从信息收集、扫描探测、漏洞发现、漏洞利用到后渗透的整个完整渗透测试过程,帮助企业用户全方位检验现有安全防御措施的有效性,从“真实黑客”视角持续动态评估目标组织的安全态势,能够大幅度弥补安全人员水平参差不齐和效率低下的问题。
当前,践行悬镜敏捷安全理念,并应用悬镜解决方案的企业机构有中国银联、中国银行、中国工商银行、中国平安、中信建投证券、中国石化、中国石油、中国电信研究院、中体彩、人民网、国家电网、北京大学、中兴通讯、中国工程物理研究院等众多行业标杆用户。
悬镜安全创始人子芽表示,“安全的本质是风险和信任的平衡,悬镜这些年一直在做的一件事就是如何帮助甲方用户更好地拥抱变化,更快速地适应云原生技术普及,做好内生敏捷安全。新时代的白帽黑客,应该承担更多的时代赋予我们的使命。我们不仅要善于网络安全攻防,还应该把个人掌握的安全能力通过自动化平台稳定持续地赋能给整个行业,让安全回归简单高效,这也是悬镜的价值所在。”
投资人观点:
本轮领投方腾讯产业生态投资表示,在安全左移、敏捷开发和信创的大背景下,国内DevSecOps迎来巨大增长空间。悬镜安全的产品已广泛服务于金融、能源电力、运营商和头部互联网厂商,产品和技术实力处于领先地位。腾讯将与悬镜安全进一步加深合作与战略协同,共同为行业构筑下一代敏捷安全体系。
上轮独家领投方红杉中国董事总经理翟佳表示:“将安全嵌入 DevOps 流程形成 DevSecOps,符合当前的敏捷开发需求趋势,使得安全可以’左移‘和’右移‘。DevSecOps渗透至研发到运营整个软件生命周期,帮助企业在软件开发阶段就可以检测和修复漏洞,降低成本和风险,这是网络安全的新兴重要发展方向。在这一领域不断深耕的悬镜具有领先优势,构筑了较深的行业壁垒,并且业务进展迅速,拓展了多个行业的标杆客户,发展前景长期看好”。
京公网安备 11010802033237号
