今日,DevSecOps敏捷安全公司悬镜安全正式宣布完成数千万元人民币的Pre-A轮融资,本轮融资由红杉中国种子基金独家领投。融资完成后,悬镜安全将进一步完善产品布局,扩充专业销售及市场团队,加速进军金融、电力、能源及互联网企业安全市场。
据悉,悬镜安全由北京大学网络安全技术研究团队“XMIRROR”主导创立,专注DevSecOps软件供应链持续威胁一体化检测防御,旗下原创悬镜DevSecOps智适应威胁管理体系主要覆盖从威胁建模、威胁发现、威胁模拟到检测响应等关键环节的开发运营一体化敏捷安全产品及以实战攻防对抗为特色的政企安全服务。
据了解,悬镜旗下明星产品之一灵脉IAST灰盒安全测试平台,作为悬镜DevSecOps智适应威胁管理体系中CI/CD管道的应用风险发现平台,通过新一代全场景实时流量分析技术,如运行时应用插桩(含主动及被动)、启发式爬虫、代理/VPN及流量管家等和原创AI启发渗透测试技术赋能传统IT从业人员,在甲方用户的组织内部快速建立安全众测模式,使传统安全小白(如研发、测试、QA等)完成应用功能测试的同时即可透明实现深度业务安全测试,有效覆盖90%以上中高危漏洞,防止应用带病上线。从原理来看,基于IAST的灰盒测试可以通过在测试服务器上安装的探针(可理解为插件,用作收集流量),拿到程序运行交互的一些请求上下文,再利用动态污点追踪等方式追踪从输入到敏感操作之间整个传播路径,进而分析、确认漏洞。而且由于请求上下文是从内存中拿到,工作人员可以定位漏洞所在的代码位置,所以检出率很高,同时也很精准。
攻防对抗是网络安全建设过程中永恒的主题,是检验现有安全体系防御应对未知威胁成效能力最为直接的方式,如RSAC 2018中黄金管道涉及的BUG悬赏,本质也是鼓励主动建立攻防对抗体系,如持续的安全众测、不定期进行攻防演练并辅以配套的检测响应手段等。
悬镜旗下另外一款明星产品灵脉AI智慧渗透测试平台,作为悬镜DevSecOps自适应威胁管理体系运营环节中的威胁模拟平台,在国内率先实现“AI+威胁模拟”的智能攻防演练机器人系统,将安全专家在大量渗透测试过程中积累的实战经验转化为机器可存储、识别、处理的结构化经验,并且在自动化测试过程中借助人工智能算法不断进行“自我思考”和逻辑推理决策,以贴近实际人工渗透测试的方式,对给定目标进行从信息收集到漏洞利用的完整渗透测试过程,全方位检验甲方用户现有安全防御措施的有效性,尽可能弥补安全人员水平参差不齐和效率低下的问题。
人及团队文化在整个安全体系建设中有着巨大的影响力,人的行为自始至终与数据、威胁、风险、隐私及管理等因素交织在一起,也是整个DevSecOps实践框架中最不稳定的因素。为此RSAC2020的主题专门设定为“Human Element”。一个完善的DevOps安全体系建设,不仅要全流程考虑人和技术的因素, 更要从源头抓起,所以早期的安全意识培训、需求阶段的威胁建模等都是十分必要的安全活动。
悬镜旗下DevSecOps全流程赋能平台夫子Xfuse,作为融合悬镜DevSecOps持续威胁管理思想的全流程安全开发赋能框架,不仅聚焦开发早期需求分析、架构设计阶段的威胁建模,还重点解决当下软件应用漏洞管理中普遍存在的漏洞发现能力孤立、漏洞管理难闭环、开发流程难管控、实践效果难度量等核心痛点。它的核心定位是从SDL/DevOps源头开始将专家团队的安全能力持续赋能给传统IT项目人员,使安全思想注入软件供应链全生命周期,帮助企业组织流程化、自动化、持续化地保障业务安全。
整体来看,结合多年敏捷安全落地实践经验,悬镜探索出一套基于原创专利级“平台+工具+服务” 的DevSecOps智适应威胁管理体系。它作为DevSecOps全流程AI安全赋能平台,从构筑初就注重技术落地的柔和低侵入性,从驱动DevSecOps CI/CD管道持续运转的几大关键实践点入手,通过对威胁建模、威胁发现、威胁模拟及检测响应等关键技术创新赋能政企组织现有人员,帮助甲方建立更高效完善的安全开发和安全运营体系,并根据各流程频现的漏洞类型、研发人员知识盲区等再次提供针对性培训,最终针对性制定规章制度,实现制度精准逆推落地。