域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

2021年3月22日，業(yè)界頭部DevSecOps敏捷安全廠商懸鏡安全正式宣布完成近億元人民幣的A輪融資，本輪融資由騰訊產(chǎn)業(yè)生態(tài)投資領(lǐng)投，紅杉中國(guó)繼續(xù)加持。強(qiáng)強(qiáng)聯(lián)合后，懸鏡安全將進(jìn)一步深化和騰訊產(chǎn)業(yè)投資生態(tài)的戰(zhàn)略協(xié)同，憑借領(lǐng)先的下一代敏捷安全體系，在公有云、私有云及產(chǎn)業(yè)側(cè)整體敏捷安全解決方案上形成深度整合，持續(xù)擴(kuò)大在華北、華東、華南、華中、西南等地區(qū)的規(guī)模化產(chǎn)品服務(wù)交付能力，加速覆蓋金融電商、能源電力、智能制造、電信運(yùn)營(yíng)商及互聯(lián)網(wǎng)頭部廠商等企業(yè)級(jí)安全市場(chǎng)。

本輪領(lǐng)投方騰訊產(chǎn)業(yè)生態(tài)投資表示，在安全左移、敏捷開(kāi)發(fā)和信創(chuàng)的大背景下，國(guó)內(nèi)DevSecOps迎來(lái)巨大增長(zhǎng)空間。懸鏡安全的產(chǎn)品已廣泛服務(wù)于金融、能源電力、運(yùn)營(yíng)商和頭部互聯(lián)網(wǎng)廠商，產(chǎn)品和技術(shù)實(shí)力處于領(lǐng)先地位。騰訊將與懸鏡安全進(jìn)一步加深合作與戰(zhàn)略協(xié)同，共同為行業(yè)構(gòu)筑下一代敏捷安全體系。

上輪獨(dú)家領(lǐng)投方紅杉中國(guó)董事總經(jīng)理翟佳表示：“將安全嵌入 DevOps 流程形成 DevSecOps，符合當(dāng)前的敏捷開(kāi)發(fā)需求趨勢(shì)，使得安全可以’左移‘和’右移‘。DevSecOps滲透至研發(fā)到運(yùn)營(yíng)整個(gè)軟件生命周期，幫助企業(yè)在軟件開(kāi)發(fā)階段就可以檢測(cè)和修復(fù)漏洞，降低成本和風(fēng)險(xiǎn)，這是網(wǎng)絡(luò)安全的新興重要發(fā)展方向。在這一領(lǐng)域不斷深耕的懸鏡具有領(lǐng)先優(yōu)勢(shì)，構(gòu)筑了較深的行業(yè)壁壘，并且業(yè)務(wù)進(jìn)展迅速，拓展了多個(gè)行業(yè)的標(biāo)桿客戶(hù)，發(fā)展前景長(zhǎng)期看好”。

懸鏡安全專(zhuān)注DevSecOps軟件供應(yīng)鏈持續(xù)威脅一體化檢測(cè)防御，旗下原創(chuàng)懸鏡DevSecOps智適應(yīng)威脅管理體系主要覆蓋從威脅建模、開(kāi)源治理、風(fēng)險(xiǎn)發(fā)現(xiàn)、威脅模擬到檢測(cè)響應(yīng)等關(guān)鍵環(huán)節(jié)的開(kāi)發(fā)運(yùn)營(yíng)一體化敏捷安全產(chǎn)品及以實(shí)戰(zhàn)攻防對(duì)抗為特色的政企安全服務(wù)，幫助政企組織逐步構(gòu)筑一套適應(yīng)自身業(yè)務(wù)彈性發(fā)展、面向敏捷業(yè)務(wù)交付并引領(lǐng)未來(lái)架構(gòu)演進(jìn)的內(nèi)生安全開(kāi)發(fā)運(yùn)營(yíng)體系。當(dāng)前，踐行懸鏡敏捷安全理念并應(yīng)用懸鏡解決方案的企業(yè)機(jī)構(gòu)包括中國(guó)銀聯(lián)、中國(guó)銀行、中國(guó)工商銀行、中國(guó)平安、中信建投證券、中國(guó)石化、中國(guó)石油、中國(guó)電信研究院、中體彩、人民網(wǎng)、國(guó)家電網(wǎng)、北京大學(xué)、中興通訊、中國(guó)工程物理研究院等眾多行業(yè)標(biāo)桿用戶(hù)。

從開(kāi)發(fā)源頭做敏捷安全治理

根據(jù)第三方權(quán)威調(diào)查，接近92%的已知安全漏洞都發(fā)生在軟件應(yīng)用程序中，且應(yīng)用中每1000行代碼至少出現(xiàn)一個(gè)業(yè)務(wù)邏輯缺陷。此外，78%-90%的現(xiàn)代應(yīng)用融入了開(kāi)源組件，平均每個(gè)應(yīng)用包含147個(gè)開(kāi)源組件，且67%的應(yīng)用采用了帶有已知漏洞的開(kāi)源組件。目前絕大多數(shù)政企用戶(hù)對(duì)業(yè)務(wù)應(yīng)用漏洞的發(fā)現(xiàn)除了內(nèi)部自測(cè)以外，多半源自外部第三方安全研究人員或安全廠商。整個(gè)軟件開(kāi)發(fā)生命周期中，不同階段修復(fù)安全漏洞的成本差距顯著，研發(fā)測(cè)試階段與線上運(yùn)營(yíng)階段的修復(fù)成本甚至能夠相差數(shù)百倍。因此，如何前置安全工作，把漏洞風(fēng)險(xiǎn)及開(kāi)源威脅消滅在萌芽狀態(tài)，防止應(yīng)用帶病上線，保障軟件供應(yīng)鏈安全十分迫切且必要。

懸鏡安全旗下明星產(chǎn)品之一靈脈IAST灰盒安全測(cè)試平臺(tái)，作為懸鏡DevSecOps智適應(yīng)威脅管理體系中上線前測(cè)試環(huán)節(jié)的應(yīng)用風(fēng)險(xiǎn)發(fā)現(xiàn)平臺(tái)，通過(guò)新一代全場(chǎng)景實(shí)時(shí)數(shù)據(jù)流情景分析技術(shù)，如運(yùn)行時(shí)應(yīng)用插樁(含動(dòng)態(tài)污點(diǎn)追蹤及交互式缺陷定位)、終端流量代理、旁路流量鏡像、主機(jī)流量嗅探、啟發(fā)式爬蟲(chóng)、Web日志實(shí)時(shí)分析等和原創(chuàng)AI啟發(fā)滲透測(cè)試技術(shù)賦能傳統(tǒng)IT從業(yè)人員，在甲方用戶(hù)的組織內(nèi)部快速建立安全眾測(cè)模式，使傳統(tǒng)安全小白(如研發(fā)、測(cè)試、QA等)完成應(yīng)用功能測(cè)試的同時(shí)即可透明實(shí)現(xiàn)深度業(yè)務(wù)安全測(cè)試，運(yùn)行時(shí)動(dòng)態(tài)監(jiān)測(cè)開(kāi)源風(fēng)險(xiǎn)，精準(zhǔn)覆蓋95%以上中高危漏洞，有效防止應(yīng)用帶病上線。

用持續(xù)攻防對(duì)抗來(lái)把控安全脈搏

孫子兵法中曾言：“用兵之法，無(wú)恃其不來(lái)，恃吾有以待也;無(wú)恃其不攻，恃吾有所不可攻也。”攻防對(duì)抗是網(wǎng)絡(luò)安全建設(shè)過(guò)程中永恒的主題，是檢驗(yàn)現(xiàn)有安全體系防御應(yīng)對(duì)未知威脅成效能力最為直接的方式，如RSAC 2018中黃金管道涉及的漏洞懸賞，本質(zhì)也是鼓勵(lì)主動(dòng)建立攻防對(duì)抗體系，如持續(xù)的安全眾測(cè)、不定期進(jìn)行攻防演練并輔以配套的檢測(cè)響應(yīng)手段等。

懸鏡安全旗下另外一款明星級(jí)產(chǎn)品靈脈PTE智慧滲透測(cè)試平臺(tái)，作為懸鏡DevSecOps智適應(yīng)威脅管理體系中運(yùn)營(yíng)環(huán)節(jié)的威脅模擬平臺(tái)，在國(guó)內(nèi)率先實(shí)現(xiàn)“AI+威脅模擬”的智能攻防演練機(jī)器人系統(tǒng)，創(chuàng)造性將安全專(zhuān)家在大量滲透測(cè)試過(guò)程中積累的實(shí)戰(zhàn)經(jīng)驗(yàn)轉(zhuǎn)化為機(jī)器可存儲(chǔ)、識(shí)別、處理的結(jié)構(gòu)化經(jīng)驗(yàn)，并且在自動(dòng)化測(cè)試過(guò)程中借助人工智能算法不斷進(jìn)行“自我思考”和邏輯推理決策，以貼近實(shí)際專(zhuān)家滲透測(cè)試的方式，對(duì)給定目標(biāo)進(jìn)行從信息收集、掃描探測(cè)、漏洞發(fā)現(xiàn)、漏洞利用到后滲透的整個(gè)完整滲透測(cè)試過(guò)程，全方位檢驗(yàn)甲方用戶(hù)現(xiàn)有安全防御措施的有效性，從“真實(shí)黑客”視角持續(xù)動(dòng)態(tài)評(píng)估目標(biāo)組織的安全態(tài)勢(shì)，并大幅度彌補(bǔ)安全人員水平參差不齊和效率低下的問(wèn)題。

以情境防御構(gòu)筑業(yè)務(wù)出廠免疫

隨著云原生技術(shù)的發(fā)展和DevSecOps實(shí)踐的快速普及，網(wǎng)絡(luò)安全正在經(jīng)歷從邊界安全到主機(jī)安全、再到應(yīng)用安全的發(fā)展演進(jìn)，可以預(yù)判下一代應(yīng)用安全重心將是運(yùn)行時(shí)動(dòng)態(tài)安全。

懸鏡安全最新發(fā)布的主動(dòng)護(hù)網(wǎng)防御產(chǎn)品-云鯊RASP自適應(yīng)威脅免疫平臺(tái)，作為懸鏡DevSecOps智適應(yīng)威脅管理體系中運(yùn)營(yíng)環(huán)節(jié)的檢測(cè)響應(yīng)平臺(tái)，通過(guò)專(zhuān)利級(jí)Webshell深度AI檢測(cè)引擎、應(yīng)用漏洞攻擊免疫算法、運(yùn)行時(shí)安全切面調(diào)度算法及縱深流量學(xué)習(xí)算法等關(guān)鍵技術(shù)， 實(shí)現(xiàn)RASP與IAST關(guān)鍵技術(shù)深度融合，將主動(dòng)防御能力“注入”到業(yè)務(wù)應(yīng)用中，借助強(qiáng)大的應(yīng)用上下文情景分析能力，可捕捉并防御各種繞過(guò)流量檢測(cè)的攻擊方式(如分段傳輸、編碼變形)，提供兼具業(yè)務(wù)透視和功能解耦的內(nèi)生主動(dòng)安全免疫能力，為業(yè)務(wù)應(yīng)用出廠默認(rèn)安全免疫迎來(lái)革新發(fā)展。

懸鏡DevSecOps研究最新實(shí)踐成果

結(jié)合多年的敏捷安全落地實(shí)踐經(jīng)驗(yàn)，懸鏡安全探索出了一套基于原創(chuàng)專(zhuān)利級(jí)“敏捷流程平臺(tái)+關(guān)鍵技術(shù)工具鏈+組件化安全服務(wù)” 的DevSecOps智適應(yīng)威脅管理體系。

圖1：懸鏡DevSecOps智適應(yīng)威脅管理體系

它作為DevSecOps全流程AI安全賦能平臺(tái)，從構(gòu)筑之初就注重技術(shù)落地的柔和低侵入性，從驅(qū)動(dòng)DevSecOps CI/CD管道持續(xù)運(yùn)轉(zhuǎn)的幾大關(guān)鍵實(shí)踐點(diǎn)入手，通過(guò)對(duì)威脅建模、開(kāi)源治理、風(fēng)險(xiǎn)發(fā)現(xiàn)、威脅模擬及檢測(cè)響應(yīng)等關(guān)鍵技術(shù)創(chuàng)新賦能政企組織現(xiàn)有人員，幫助甲方組織逐步構(gòu)筑一套適應(yīng)自身業(yè)務(wù)彈性發(fā)展、面向敏捷業(yè)務(wù)交付并引領(lǐng)未來(lái)架構(gòu)演進(jìn)的內(nèi)生安全開(kāi)發(fā)運(yùn)營(yíng)體系。

懸鏡安全創(chuàng)始人子芽在接受采訪時(shí)表示，“安全的本質(zhì)是風(fēng)險(xiǎn)和信任的平衡，懸鏡這些年一直在做的一件事就是如何幫助甲方用戶(hù)更好地?fù)肀ё兓?，更快速地適應(yīng)云原生技術(shù)普及，做好內(nèi)生敏捷安全”。DevSecOps敏捷安全工具金字塔作為懸鏡安全最新研究實(shí)踐成果，它前瞻性地預(yù)測(cè)了未來(lái)DevSecOps關(guān)鍵技術(shù)演進(jìn)的路線，為業(yè)內(nèi)組織后續(xù)的體系化安全建設(shè)指明了方向。

圖2：DevSecOps敏捷安全工具金字塔

在數(shù)字化時(shí)代的業(yè)務(wù)安全目標(biāo)，更加強(qiáng)調(diào)對(duì)風(fēng)險(xiǎn)和信任的評(píng)估分析，這個(gè)分析的過(guò)程就是一個(gè)動(dòng)態(tài)平衡的過(guò)程，我們需要告別過(guò)去傳統(tǒng)安全門(mén)式允許/阻斷的處置方式，旨在通過(guò)運(yùn)行時(shí)情境分析來(lái)持續(xù)評(píng)估業(yè)務(wù)安全風(fēng)險(xiǎn)，放棄追求絕對(duì)的安全，不死守零風(fēng)險(xiǎn)，不苛求100%信任，通過(guò)運(yùn)行時(shí)威脅免疫、風(fēng)險(xiǎn)聯(lián)動(dòng)治理和持續(xù)監(jiān)控等關(guān)鍵技術(shù)實(shí)現(xiàn)一種0和1之間的綜合風(fēng)險(xiǎn)與信任的動(dòng)態(tài)平衡。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！