喜报丨持续赋能金融行业,中信建投携手悬镜灵脉IAST – 作者:悬镜安全实验室

 

aHR0cHM6Ly9tbWJpei5xbG9nby5jbi9tbWJpel9n

近日,中信建投证券股份有限公司(以下简称“中信建投”)成功签约悬镜安全,通过悬镜灵脉IAST灰盒安全测试平台(以下简称“灵脉IAST”),对上线前的目标系统进行安全检测,帮助开发和测试部门在项目早期检测和修复漏洞,实现对应用风险的有效管控。

1221587381720_.pic.jpg

中信建投证券注册资本76.46亿元,在全国30个省、市、自治区设有327家营业网点,自2010年起连续十年被中国证监会评为目前行业最高级别的A类AA级证券公司。2016年中信建投证券在香港联交所上市,股票代码6066.HK。并于2018年在上交所A股主板上市,股票代码601066.SH。

金融行业应用面临的风险图片[3]-喜报丨持续赋能金融行业,中信建投携手悬镜灵脉IAST – 作者:悬镜安全实验室-安全小百科

l  攻击技术越发先进智能,攻击手段在潜伏性、隐蔽性、定向性、自主性、融合性等方面能力日益增强,智能分析使得快速绕过多重防御手段成为可能。

l  网络武器研发和利用提速,基于已知和未知漏洞的自动化攻击利用不断涌现,攻击门槛大幅度降低,敏感数据泄露等安全事件频频发生。

l  软件开源大行其道,基于信任的软件供应链攻击(Software Supply Chain Attack)事件频发,攻击对象范围广、攻击方式隐蔽,给金融用户业务安全防御带来了极大的挑战。

客户需求

客户希望通过引入灰盒应用安全测试平台,在业务系统的开发和测试阶段及时发现安全漏洞并修复,使得安全能力在整个业务生命周期中左置前移。测试平台要能够支持数十个并发任务同时测试,实施中要和中信建投相关系统进行对接,以便各开发人员查看相关的漏洞信息。

客户选择

应用安全测试领域高手林立,尤其在金融行业更是不缺竞擂者。灵脉IAST之所以能从中脱颖而出,凭借的是领先的技术能力及场景落地化的产品形态。中信建投结合自身需求,从系统架构、流量采集模式、检测能力、漏洞管理、系统管理等多个维度进行综合性评价,最终选择了灵脉IAST作为开发阶段的应用安全测试解决方案。

0hc9JHnT4_Ftzv.jpg

灵脉IAST全场景流量采集技术

悬镜IAST–灰盒安全测试最佳实践

灵脉IAST作为悬镜DevSecOps智适应威胁管理体系中CI/CD管道中的威胁发现平台,通过全场景流量分析技术,如运行时应用插桩(含主动及被动)、启发式爬虫、代理/VPN及流量管家等和原创AI渗透启发技术赋能传统IT从业人员,在政企用户的组织内部快速建立安全众测模式,使传统安全小白(研发、测试、QA等)完成应用功能测试的同时即可透明实现深度业务安全测试,有效覆盖90%以上中高危漏洞,防止应用带病上线。

1251587381755_.pic.jpg

灵脉IAST运行时应用缺陷检测技术

通过主动IAST插桩算法,灵脉IAST不仅解决了传统DAST无法精确定位漏洞位置的问题,还有着比传统SAST技术低得多的误报率。此外,在脏数据处理上也有着优秀的表现,并且可以针对应用测试结果进行全方位复现和验证测试。在非复杂数据包加密、内部测试流量管控等特殊场景下,它更加符合敏捷开发和DevOps模式下软件产品快速迭代、快速交付的要求。

关于悬镜

产品

悬镜灵脉IAST灰盒安全测试平台

灵脉PTE AI智慧渗透测试平台

悬镜夫子安全开发赋能平台

悬镜云卫士

典型客户

中国银行丨中信建投丨国家电网丨中国石化

 国家信息中心丨中央人民广播电台丨阿里云

北京大学丨中体彩科技丨人民网丨中邮证券

阿里云丨紫光云丨卫士通丨乐有家丨中国普天

来源:freebuf.com 2020-04-21 15:45:26 by: 悬镜安全实验室

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论