0
| 本文作者: 嘉嘉 | 2022-03-22 11:08 |
2022年3月22日,DevSecOps敏捷安全頭部廠商懸鏡安全正式宣布完成數(shù)億元人民幣B輪融資,本輪融資由源碼資本領(lǐng)投、GGV紀(jì)源資本跟投、紅杉中國繼續(xù)加持。懸鏡安全將進一步深化在中國軟件供應(yīng)鏈安全關(guān)鍵技術(shù)創(chuàng)新研發(fā)及上下游產(chǎn)業(yè)生態(tài)前瞻性布局上的戰(zhàn)略投入,憑借領(lǐng)先的下一代敏捷安全框架,在DevSecOps敏捷安全、軟件供應(yīng)鏈安全和云原生安全等新興應(yīng)用場景下打造閉環(huán)的第三代懸鏡DevSecOps智適應(yīng)威脅管理體系,持續(xù)升級在華北、華東、華南、華中、西南、港澳等地區(qū)的規(guī)模化產(chǎn)品服務(wù)交付和運營能力,深度覆蓋金融電商、能源電力、智能制造、電信運營商及泛互聯(lián)網(wǎng)等企業(yè)級安全市場。
本輪領(lǐng)投方源碼資本合伙人黃云剛表示:“DevSecOps是云原生大背景下安全敏捷化的必然趨勢。以威脅管理為中心,整合多種工具鏈,DevSecOps體系能夠幫助企業(yè)把安全貫穿于開發(fā)到運營的軟件全生命周期中,必將成為企業(yè)數(shù)字基礎(chǔ)設(shè)施的重要組成部分。我們非常看好懸鏡安全在DevSecOps領(lǐng)域的技術(shù)前瞻性,懸鏡的產(chǎn)品也已經(jīng)獲得了多個行業(yè)重要客戶的認可。期待懸鏡能在IT基礎(chǔ)設(shè)施加速云化、安全環(huán)境日趨復(fù)雜的未來為客戶創(chuàng)造巨大價值。”
本輪跟投方GGV紀(jì)源資本管理合伙人李宏瑋表示:“隨著數(shù)字化和智能化的深入,軟件和應(yīng)用程序不斷加快迭代周期和上線速度,敏捷開發(fā)和開源也被廣泛應(yīng)用。在軟件的生命周期中,修復(fù)漏洞的成本隨著發(fā)現(xiàn)階段的進程呈幾何級增長,目前缺乏有效的產(chǎn)品在代碼開發(fā)階段和上線前做出高效檢測。懸鏡的產(chǎn)品正是為此打造,且已經(jīng)在大量頭部客戶中積累了良好的口碑。GGV看好這支年輕團隊,并將長期支持公司發(fā)展。”
PreA輪獨家領(lǐng)投方紅杉中國董事總經(jīng)理翟佳表示:“將安全嵌入 DevOps 流程形成 DevSecOps,符合當(dāng)前的敏捷開發(fā)需求趨勢,使得安全可以‘左移’和‘右移’。DevSecOps滲透至研發(fā)到運營整個軟件生命周期,與軟件供應(yīng)鏈安全息息相關(guān),可以有效幫助企業(yè)在軟件開發(fā)階段實現(xiàn)數(shù)字化應(yīng)用漏洞的自動化檢測與修復(fù),進而大幅降低業(yè)務(wù)安全成本和風(fēng)險,這是網(wǎng)絡(luò)安全的新興重要發(fā)展方向。在這一領(lǐng)域不斷深耕的懸鏡具有確定的領(lǐng)先優(yōu)勢,構(gòu)筑了較深的行業(yè)壁壘,并且業(yè)務(wù)進展迅速,拓展并沉淀了不少行業(yè)高質(zhì)量標(biāo)桿客戶,發(fā)展前景長期看好。 ”
懸鏡安全專注DevSecOps軟件供應(yīng)鏈持續(xù)威脅一體化檢測防御,旗下原創(chuàng)懸鏡DevSecOps智適應(yīng)威脅管理體系主要覆蓋從威脅建模、開源治理、風(fēng)險發(fā)現(xiàn)、威脅模擬到檢測響應(yīng)等關(guān)鍵環(huán)節(jié)的開發(fā)運營一體化敏捷安全產(chǎn)品及以實戰(zhàn)攻防對抗為特色的軟件供應(yīng)鏈安全服務(wù),幫助企業(yè)組織逐步構(gòu)筑一套適應(yīng)自身業(yè)務(wù)彈性發(fā)展、面向敏捷業(yè)務(wù)交付并引領(lǐng)未來架構(gòu)演進的內(nèi)生積極防御體系。當(dāng)前,踐行懸鏡敏捷安全理念并應(yīng)用懸鏡解決方案的企業(yè)機構(gòu)包括中國人民銀行、中國銀聯(lián)、中國銀行、中國工商銀行、浦發(fā)銀行、重慶銀行、廣州農(nóng)商銀行、蘇州農(nóng)商銀行、浙商銀行、SHEIN、中國平安、中信建投證券、上海證券交易所、中國石化、中國石油、中國電信研究院、中國移動研究院、中國聯(lián)通研究院、中體彩、人民網(wǎng)、國家電網(wǎng)、北京大學(xué)、中興通訊、中國工程物理研究院、小鵬汽車、東風(fēng)日產(chǎn)、長安汽車、中國汽車研究院、南方航空等眾多行業(yè)標(biāo)桿用戶。
根據(jù)第三方權(quán)威調(diào)查,接近92%的已知安全漏洞都發(fā)生在軟件應(yīng)用程序中,且應(yīng)用中每1000行代碼至少出現(xiàn)一個業(yè)務(wù)邏輯缺陷。此外,78%-90%的現(xiàn)代應(yīng)用融入了開源組件,平均每個應(yīng)用包含147個開源組件,且67%的應(yīng)用采用了帶有已知漏洞的開源組件。目前絕大多數(shù)企業(yè)用戶對業(yè)務(wù)應(yīng)用漏洞的發(fā)現(xiàn)除了內(nèi)部自測以外,多半源自外部第三方安全研究人員或安全廠商。整個軟件開發(fā)生命周期中,不同階段修復(fù)安全漏洞的成本差距顯著,研發(fā)測試階段與線上運營階段的修復(fù)成本甚至能夠相差數(shù)百倍。因此,前置安全工作,把漏洞風(fēng)險及開源威脅消滅在萌芽狀態(tài),防止應(yīng)用帶病上線,保障軟件供應(yīng)鏈安全十分迫切且必要。
懸鏡安全旗下明星產(chǎn)品之一靈脈IAST灰盒安全測試平臺,作為懸鏡DevSecOps智適應(yīng)威脅管理體系中上線前測試環(huán)節(jié)的應(yīng)用風(fēng)險發(fā)現(xiàn)平臺,通過新一代全場景實時數(shù)據(jù)流情景分析技術(shù),如運行時應(yīng)用插樁(含動態(tài)污點追蹤及交互式缺陷定位)、終端流量代理、旁路流量鏡像、主機流量嗅探、啟發(fā)式爬蟲、Web日志實時分析等和原創(chuàng)AI啟發(fā)滲透測試技術(shù)賦能傳統(tǒng)IT從業(yè)人員,在甲方用戶的組織內(nèi)部快速建立安全眾測模式,使傳統(tǒng)安全小白(如研發(fā)、測試、QA等)完成應(yīng)用功能測試的同時即可透明實現(xiàn)深度業(yè)務(wù)安全測試,運行時動態(tài)監(jiān)測開源風(fēng)險,精準(zhǔn)覆蓋95%以上中高危漏洞,有效防止應(yīng)用帶病上線。
孫子兵法中曾言:“用兵之法,無恃其不來,恃吾有以待也;無恃其不攻,恃吾有所不可攻也。”攻防對抗是網(wǎng)絡(luò)安全建設(shè)過程中永恒的主題,是檢驗現(xiàn)有安全體系防御應(yīng)對未知威脅成效能力最為直接的方式,如持續(xù)的安全眾測、不定期進行攻防演練并輔以配套的檢測響應(yīng)手段等。
懸鏡安全旗下另外一款明星級產(chǎn)品靈脈BAS智慧威脅模擬平臺,作為懸鏡DevSecOps智適應(yīng)威脅管理體系中運營環(huán)節(jié)的自動化威脅模擬和安全驗證平臺,在國內(nèi)率先實現(xiàn)“AI+威脅模擬”的智能攻防演練機器人系統(tǒng),創(chuàng)造性將安全專家在大量滲透測試過程中積累的實戰(zhàn)經(jīng)驗轉(zhuǎn)化為機器可存儲、識別、處理的結(jié)構(gòu)化經(jīng)驗,并且在自動化測試過程中借助人工智能算法不斷進行“自我思考”和邏輯推理決策,以貼近實際專家滲透測試的方式,對給定目標(biāo)進行從信息收集、掃描探測、漏洞發(fā)現(xiàn)、漏洞利用、后滲透到持續(xù)驗證的整個完整入侵模擬和安全度量過程,全方位檢驗甲方用戶現(xiàn)有安全防御措施的有效性,從“真實黑客”視角持續(xù)動態(tài)評估目標(biāo)組織的安全態(tài)勢,并大幅度彌補安全人員水平參差不齊和效率低下的問題。
隨著云原生技術(shù)的迅猛發(fā)展、應(yīng)用開源的快速普及和DevSecOps實踐的規(guī)模化落地,網(wǎng)絡(luò)安全正在經(jīng)歷從邊界安全到端點安全、再到應(yīng)用安全的發(fā)展演進,下一代應(yīng)用安全的技術(shù)重心將是運行時情境感知。
懸鏡安全“積極防御”體系中的關(guān)鍵產(chǎn)品之一-云鯊RASP自適應(yīng)威脅免疫平臺,作為懸鏡DevSecOps智適應(yīng)威脅管理體系中運營環(huán)節(jié)的檢測響應(yīng)平臺,通過專利級應(yīng)用漏洞攻擊免疫算法、運行時安全切面調(diào)度算法、Webshell深度AI檢測引擎及縱深流量學(xué)習(xí)算法等關(guān)鍵技術(shù), 實現(xiàn)RASP與IAST關(guān)鍵技術(shù)深度融合,將主動防御能力“注入”到數(shù)字化業(yè)務(wù)應(yīng)用中,借助強大的應(yīng)用上下文情景分析能力,可捕捉并防御各種繞過流量檢測的攻擊方式(如分段傳輸、編碼混淆變形、應(yīng)用內(nèi)存馬等),提供兼具業(yè)務(wù)透視和功能解耦的內(nèi)生主動安全免疫能力,為業(yè)務(wù)應(yīng)用出廠默認安全免疫迎來革新發(fā)展。
結(jié)合多年的敏捷安全落地實踐經(jīng)驗和軟件供應(yīng)鏈安全研究成果,懸鏡安全探索出了一套基于原創(chuàng)專利級“敏捷流程平臺+關(guān)鍵技術(shù)工具鏈+組件化軟件供應(yīng)鏈安全服務(wù)”的第三代DevSecOps智適應(yīng)威脅管理體系。
圖1:懸鏡第三代DevSecOps智適應(yīng)威脅管理體系
它作為DevSecOps全流程敏捷安全賦能平臺,從構(gòu)筑之初就注重技術(shù)落地的柔和低侵入性,從驅(qū)動DevSecOps CI/CD管道持續(xù)運轉(zhuǎn)的幾大關(guān)鍵實踐點入手,通過對威脅建模、開源治理、風(fēng)險發(fā)現(xiàn)、威脅模擬及檢測響應(yīng)等關(guān)鍵技術(shù)創(chuàng)新賦能企業(yè)組織現(xiàn)有人員,幫助用戶逐步構(gòu)筑一套適應(yīng)自身業(yè)務(wù)彈性發(fā)展、面向敏捷業(yè)務(wù)交付并引領(lǐng)未來架構(gòu)演進的內(nèi)生積極防御體系。
懸鏡安全創(chuàng)始人兼CEO子芽在接受采訪時表示:“安全的本質(zhì)是風(fēng)險和信任的動態(tài)平衡,懸鏡這些年一直在做的一件事就是如何幫助甲方用戶更好地擁抱變化,更快速地適應(yīng)云原生技術(shù)普及,做好內(nèi)生敏捷安全。相比過往傳統(tǒng)的原生軟件應(yīng)用,我們可以看到一個很明顯的技術(shù)趨勢,未來絕大多數(shù)被發(fā)布出來的數(shù)字化應(yīng)用將是安全可信的,它可以借助代碼疫苗技術(shù)的賦能,實現(xiàn)應(yīng)用自身缺陷和風(fēng)險的自發(fā)現(xiàn)和外部未知威脅的出廠免疫。 ”
圖2:DevSecOps敏捷安全工具金字塔v2.0
DevSecOps敏捷安全工具金字塔作為懸鏡安全每年更新的深度研究實踐成果,它前瞻性地預(yù)測了未來DevSecOps關(guān)鍵技術(shù)演進的路線,為業(yè)內(nèi)組織后續(xù)的體系化安全建設(shè)指明了方向。
雷峰網(wǎng)(公眾號:雷峰網(wǎng))
