2021年3月22日,业界头部DevSecOps敏捷安全厂商悬镜安全正式宣布完成近亿元人民币的A轮融资,本轮融资由腾讯产业生态投资领投,红杉中国继续加持。强强联合后,悬镜安全将进一步深化和腾讯产业投资生态的战略协同,凭借领先的下一代敏捷安全体系,在公有云、私有云及产业侧整体敏捷安全解决方案上形成深度整合,持续扩大在华北、华东、华南、华中、西南等地区的规模化产品服务交付能力,加速覆盖金融电商、能源电力、智能制造、电信运营商及互联网头部厂商等企业级安全市场。
本轮领投方腾讯产业生态投资表示,在安全左移、敏捷开发和信创的大背景下,国内DevSecOps迎来巨大增长空间。悬镜安全的产品已广泛服务于金融、能源电力、运营商和头部互联网厂商,产品和技术实力处于领先地位。腾讯将与悬镜安全进一步加深合作与战略协同,共同为行业构筑下一代敏捷安全体系。
上轮独家领投方红杉中国董事总经理翟佳表示:“将安全嵌入 DevOps 流程形成 DevSecOps,符合当前的敏捷开发需求趋势,使得安全可以’左移‘和’右移‘。DevSecOps渗透至研发到运营整个软件生命周期,帮助企业在软件开发阶段就可以检测和修复漏洞,降低成本和风险,这是网络安全的新兴重要发展方向。在这一领域不断深耕的悬镜具有领先优势,构筑了较深的行业壁垒,并且业务进展迅速,拓展了多个行业的标杆客户,发展前景长期看好”。
悬镜安全专注DevSecOps软件供应链持续威胁一体化检测防御,旗下原创悬镜DevSecOps智适应威胁管理体系主要覆盖从威胁建模、开源治理、风险发现、威胁模拟到检测响应等关键环节的开发运营一体化敏捷安全产品及以实战攻防对抗为特色的政企安全服务,帮助政企组织逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生安全开发运营体系。当前,践行悬镜敏捷安全理念并应用悬镜解决方案的企业机构包括中国银联、中国银行、中国工商银行、中国平安、中信建投证券、中国石化、中国石油、中国电信研究院、中体彩、人民网、国家电网、北京大学、中兴通讯、中国工程物理研究院等众多行业标杆用户。
从开发源头做敏捷安全治理
根据第三方权威调查,接近92%的已知安全漏洞都发生在软件应用程序中,且应用中每1000行代码至少出现一个业务逻辑缺陷。此外,78%-90%的现代应用融入了开源组件,平均每个应用包含147个开源组件,且67%的应用采用了带有已知漏洞的开源组件。目前绝大多数政企用户对业务应用漏洞的发现除了内部自测以外,多半源自外部第三方安全研究人员或安全厂商。整个软件开发生命周期中,不同阶段修复安全漏洞的成本差距显著,研发测试阶段与线上运营阶段的修复成本甚至能够相差数百倍。因此,如何前置安全工作,把漏洞风险及开源威胁消灭在萌芽状态,防止应用带病上线,保障软件供应链安全十分迫切且必要。
悬镜安全旗下明星产品之一灵脉IAST灰盒安全测试平台,作为悬镜DevSecOps智适应威胁管理体系中上线前测试环节的应用风险发现平台,通过新一代全场景实时数据流情景分析技术,如运行时应用插桩(含动态污点追踪及交互式缺陷定位)、终端流量代理、旁路流量镜像、主机流量嗅探、启发式爬虫、Web日志实时分析等和原创AI启发渗透测试技术赋能传统IT从业人员,在甲方用户的组织内部快速建立安全众测模式,使传统安全小白(如研发、测试、QA等)完成应用功能测试的同时即可透明实现深度业务安全测试,运行时动态监测开源风险,精准覆盖95%以上中高危漏洞,有效防止应用带病上线。
用持续攻防对抗来把控安全脉搏
孙子兵法中曾言:“用兵之法,无恃其不来,恃吾有以待也;无恃其不攻,恃吾有所不可攻也。”攻防对抗是网络安全建设过程中永恒的主题,是检验现有安全体系防御应对未知威胁成效能力最为直接的方式,如RSAC 2018中黄金管道涉及的漏洞悬赏,本质也是鼓励主动建立攻防对抗体系,如持续的安全众测、不定期进行攻防演练并辅以配套的检测响应手段等。
悬镜安全旗下另外一款明星级产品灵脉PTE智慧渗透测试平台,作为悬镜DevSecOps智适应威胁管理体系中运营环节的威胁模拟平台,在国内率先实现“AI+威胁模拟”的智能攻防演练机器人系统,创造性将安全专家在大量渗透测试过程中积累的实战经验转化为机器可存储、识别、处理的结构化经验,并且在自动化测试过程中借助人工智能算法不断进行“自我思考”和逻辑推理决策,以贴近实际专家渗透测试的方式,对给定目标进行从信息收集、扫描探测、漏洞发现、漏洞利用到后渗透的整个完整渗透测试过程,全方位检验甲方用户现有安全防御措施的有效性,从“真实黑客”视角持续动态评估目标组织的安全态势,并大幅度弥补安全人员水平参差不齐和效率低下的问题。
以情境防御构筑业务出厂免疫
随着云原生技术的发展和DevSecOps实践的快速普及,网络安全正在经历从边界安全到主机安全、再到应用安全的发展演进,可以预判下一代应用安全重心将是运行时动态安全。
悬镜安全最新发布的主动护网防御产品-云鲨RASP自适应威胁免疫平台,作为悬镜DevSecOps智适应威胁管理体系中运营环节的检测响应平台,通过专利级Webshell深度AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术, 实现RASP与IAST关键技术深度融合,将主动防御能力“注入”到业务应用中,借助强大的应用上下文情景分析能力,可捕捉并防御各种绕过流量检测的攻击方式(如分段传输、编码变形),提供兼具业务透视和功能解耦的内生主动安全免疫能力,为业务应用出厂默认安全免疫迎来革新发展。
悬镜DevSecOps研究最新实践成果
结合多年的敏捷安全落地实践经验,悬镜安全探索出了一套基于原创专利级“敏捷流程平台+关键技术工具链+组件化安全服务” 的DevSecOps智适应威胁管理体系。
图1:悬镜DevSecOps智适应威胁管理体系
它作为DevSecOps全流程AI安全赋能平台,从构筑之初就注重技术落地的柔和低侵入性,从驱动DevSecOps CI/CD管道持续运转的几大关键实践点入手,通过对威胁建模、开源治理、风险发现、威胁模拟及检测响应等关键技术创新赋能政企组织现有人员,帮助甲方组织逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生安全开发运营体系。
悬镜安全创始人子芽在接受采访时表示,“安全的本质是风险和信任的平衡,悬镜这些年一直在做的一件事就是如何帮助甲方用户更好地拥抱变化,更快速地适应云原生技术普及,做好内生敏捷安全”。DevSecOps敏捷安全工具金字塔作为悬镜安全最新研究实践成果,它前瞻性地预测了未来DevSecOps关键技术演进的路线,为业内组织后续的体系化安全建设指明了方向。
图2:DevSecOps敏捷安全工具金字塔
在数字化时代的业务安全目标,更加强调对风险和信任的评估分析,这个分析的过程就是一个动态平衡的过程,我们需要告别过去传统安全门式允许/阻断的处置方式,旨在通过运行时情境分析来持续评估业务安全风险,放弃追求绝对的安全,不死守零风险,不苛求100%信任,通过运行时威胁免疫、风险联动治理和持续监控等关键技术实现一种0和1之间的综合风险与信任的动态平衡。