腾讯专访 | 子芽:代码疫苗技术,赋能数字化应用内生安全自免疫
日期:2022年05月12日 阅:16
“DevSecOps市占率持续领先,IAST探针覆盖率十倍增长,代码疫苗技术已成功帮助上千家行业用户成功抵御‘Log4j2.x’等重大未知漏洞的利用攻击。”子芽向腾讯云启的采访者透露道。
这是2021年悬镜安全交出的一张成绩单。悬镜安全是DevSecOps敏捷安全领导者,子芽是这家企业的创始人。
图1:悬镜安全创始人&CEO子芽
身处DevSecOps赛道的产业安全服务商更专注于把安全能力贯穿企业用户整个SDLC业务生命周期的每个环节,要求开发、测试、运营一体化,从而帮助用户构建起适应敏捷开发模式的新一代应用安全体系。
悬镜安全是其中的佼佼者。去年,第三方调研与咨询权威机构发布了《2021年度中国数字安全能力图谱》,悬镜是DevSecOps领域唯一代表厂商,同时还入选以下领域:软件成分分析能力者、代码检测与审计能力者、安全开发生命周期能力者、云原生安全创新者。
将时间线往后移,在刚刚过去的3月份,悬镜安全宣布完成数亿元人民币B轮融资,融资由源码资本领投、GGV纪源资本跟投、红杉中国继续加持。
图2:悬镜安全受到资本巨头青睐
不仅如此,在过去的几年时间里,悬镜安全还和腾讯包括安全在内的多条业务线密切合作,联合探索着中国网络安全的新范式。
悬镜安全之所以作为DevSecOps敏捷安全领导者而站在聚光灯下,正是由于其一直以来坚持技术应用创新,沉淀出诸如“代码疫苗”、“代码核酸检测”等自主原创发明的关键应用安全技术,并结合多年的敏捷安全落地实践经验和软件供应链安全研究成果,探索出一套基于原创专利级“敏捷流程平台+关键技术工具链+组件化软件供应链安全服务”的第三代DevSecOps智适应威胁管理体系,作为新一代敏捷安全框架,已成功帮助上千家企业构筑了一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。
一、国际领先的“代码疫苗技术”
“数字化经济时代,软件供应链安全保障工作已从关注开发安全进化到安全地开发。”在子芽看来,安全正在成为企业数字化的基本属性。
诚然如此。在过去的多年时间里,数字化应用的安全维护更多是针对上线后环节,帮助企业在运营端完成安全筛查,进而保证数据和使用层面的安全。
但相对而言,尤其是伴随着如今上云的大趋势,这种单纯基于运营端的安全维护已经不能满足企业的安全需求。以渗透测试为例,基于这种安全威胁方式,会发现有很大一部分比例的威胁是来自上线前环节。
用子芽的说法就是,新时代的安全运营既“安全左移”,从开发源头侧规避掉各种中高危安全风险,进而实现更高效的前置安全治理;又要“敏捷右移”,在云原生时代结合企业数字化业务发展实情和IT进化趋势搭建更加有效的内生积极防御体系。
这正是悬镜安全主打的原创专利级“代码疫苗技术”所能实现的。顾名思义,就是把这项技术像疫苗一样注入到应用服务器内部,在内部清晰看到解析后的流量,感知业务运行过程的情境上下文。这样一来,既能诊断应用自身存在的漏洞和缺陷,也能积极防御外部危险,进行自主检测和响应。
代码疫苗技术所涵盖的基于单探针插桩的智能IAST技术和RASP技术,被国际权威研究分析机构Gartner数年列在十大安全技术中。悬镜安全旗下的灵脉IAST灰盒安全测试平台和云鲨RASP自适应威胁免疫平台正是基于“悬镜第三代DevSecOps智适应威胁管理体系”,并创造性地提出“单探针”思想和积极防御体系,深度整合“代码核酸检测技术”和“代码疫苗技术”的智能分析算法,使用户只需在应用中部署一次探针就能自动获得进阶版的IAST和RASP双重能力。
“不仅检测精度大大超过传统的黑盒白盒安全测试技术,顺滑兼容企业自身现有的软件开发平台,还可以实现数字化应用在开发部署阶段就能获得对类似‘Log4j2.x’等重大漏洞攻击及未知威胁的出厂免疫。”
二、独创第三代DevSecOps智适应威胁管理体系
基于“代码疫苗技术”,悬镜安全到底能为企业提供哪些服务?
从更大视角来看,悬镜安全可以为企业提供的是一套覆盖从威胁建模、开源治理、风险发现、威胁模拟到检测响应等关键环节的开发运营一体化敏捷安全产品及以实战攻防对抗为特色的软件供应链安全服务,即前文提到的悬镜第三代DevSecOps智适应威胁管理体系。
图3:悬镜第三代DevSecOps智适应威胁管理体系
悬镜明星产品灵脉IAST灰盒安全测试平台,是DevSecOps智适应威胁管理体系中上线前测试环节的应用风险发现平台,基于这款产品和悬镜创新自研的“代码核酸检测技术”,企业可以在自家产品功能测试的同时,透明自动化地完成代码核酸分析和深度安全测试,有效防止应用带“病”上线。
还有云鲨RASP自适应威胁免疫平台,作为DevSecOps智适应威胁管理体系中运营环节的检测响应平台,通过创新自研的“代码疫苗技术”,可以将主动防御能力“注入”到数字化业务应用中,为其提供兼具业务透视和功能解耦的内生主动安全免疫能力,保证其出厂的原生安全。
再比如灵脉BAS自动化模拟攻击平台,其定位是DevSecOps智适应威胁管理体系中运营环节的自动化威胁模拟和安全验证平台,它在国内率先实现“AI+威胁模拟”的智能攻防演练机器人系统,可以全方位检验企业现有安全防御措施的有效性,是悬镜积极防御体系的重要一环。
此外,悬镜第三代DevSecOps智适应威胁管理体系还包括作用于开源治理环节的源鉴OSS开源威胁管控平台,提供情境式需求分析和威胁建模的夫子ATM自动化威胁建模平台,覆盖整个开发流程的夫子CARTA安全开发赋能平台以及一整套软件供应链安全组件化服务。
三、市场应用率持续领先的硬科技创新产品
“上线前的业务安全诊断常常是企业用户找到我们的最初和最刚性需求,通过基于IAST的代码核酸检测为抓手,创新产品和服务为支撑,帮助企业逐步构建一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。”子芽表示,“一般都是通过这种由点及面的方式来做好用户体验。”
在过去的三年时间里,在悬镜安全的用户版图中,已然出现了诸多大型甚至超大型用户,如中国人民银行、中国银联、中国银行、中国工商银行、浦发银行、平安集团、上海证券交易所、北京大学、中兴通讯、中国工程物理研究院、小鹏汽车、东风日产、长安汽车、中国汽车研究院、南方航空、顺丰速运、唯品会等众多行业标杆用户。
图4:悬镜安全标杆用户
客观来看,悬镜安全更多的是基于PLG产品力创新驱动的模式进行服务,即基于产品的能力和技术成熟度实现不间断的发散和裂变,进而完成对金融电商、泛互联网、车联网、电信运营商、能源电力等企业级安全市场的深度覆盖。中国信息通信研究院权威发布的《中国DevOps现状调查报告》显示,悬镜IAST技术占据市场应用率第一。
四、强强联合,守护中国软件供应链安全
在持续领跑DevSecOps赛道的同时,悬镜安全还和腾讯携手,在云原生安全和软件供应链安全等新兴应用场景下,联合推出敏捷安全新范式。
无论是专有云还是公有云,都有着密切的技术联动和产品协同。在专有云侧,悬镜安全和腾讯进行底层产品上的联动,以安全为数字化核心底层能力,帮助企业实现数字化转型。在公有云侧,基于悬镜安全的天然云原生属性,腾讯和其一起打磨诸多行业数字化解决方案,进而为众多产业企业提供成熟且可靠的安全数字化范本。
据了解,在过去的两年时间里,悬镜安全与腾讯在多个产业数字化项目上深度合作,比如数字广西、数字云南等,通过技术的强强联合为用户提供更优质的产品服务体验。
写在最后
在采访中,子芽向我们阐述了对悬镜安全未来的期望:“创新永远在路上,不管是当下还是未来,我们保持做一家持续有干货技术、有创新好产品的硬科技企业,有足够的能力守护好中国的软件供应链安全。”
对悬镜安全和腾讯来说,这样的使命也正在成为新的前行动力,通过技术的强强联合为产业用户提供更加优质的产品服务。
关于悬镜安全
悬镜安全,DevSecOps敏捷安全领导者。由北京大学网络安全技术研究团队“XMIRROR”发起创立,致力以AI技术赋能敏捷安全,专注于DevSecOps软件供应链持续威胁一体化检测防御。核心的DevSecOps智适应威胁管理解决方案包括以深度学习技术为核心的威胁建模、开源治理、风险发现、威胁模拟、检测响应等多个维度的自主创新产品及实战攻防对抗为特色的软件供应链安全服务,为金融、能源、泛互联网、IoT、云服务及汽车制造等行业用户提供创新灵活的智适应安全管家解决方案。更多信息请访问悬镜安全官网:www.xmirror.cn
悬镜AI(北京安普诺信息技术有限公司)由北京大学白帽黑客团队"Xmirror"主导创立。公司力求以人工智能技术赋能信息安全,在公司研发的产品中,深度结合机器学习、红蓝对抗、攻击链模型等技术,为企事业单位提供前沿高效的DevSecOps全流程AI安全管家服务。