DevDecOps 落地之路:悬镜的思考与实践 – 作者:悬镜安全实验室

微软2003年开始实施的SDL(Security Development Lifecycle)安全开发理论框架,距今已有十多年历史,当年的直接落地成果Windows Vista也已经退出历史舞台,而国内的SDL建设主要还是停留在互联网大甲方的定制化场景中,通用的SDL落地方案及做起来的乙方厂商几乎没有,为什么?因为SDL体系本身的场景化属性太重,大甲方的SDL建设经验是不太可能直接拿出来做复制的,如果没有适合落地的支撑技术,强行SDL会对政企组织现有的流程和文化产生比较大的挑战。这也是为什么RSAC自2017开始兴起DevSecOps战略框架,并于2018年首次提出DevSecOps黄金管道的理念,重点强调了其中CI/CD的自动化工具链技术。

虽然国内的金融、能源、交通等产业头部用户没有像美国Comcast那样做DevSecOps的深度转型,大部分还是现有的SDL体系,但这并不妨碍他们开始积极拥抱DevSecOps的理念及黄金管道涉及的五大关键活动。正是这些关键活动涉及的新兴技术的逐渐成熟和DevSecOps新理念的普及,推动了国内SDL安全开发体系的逐渐落地,关键标志之一就是像悬镜这样专注DevSecOps的创新安全厂商开始涌现,他们的通用技术方案开始被越来越多的行业头部用户采纳,并分阶段持续为甲方建立起逐渐完善的安全开发体系。

结合多年的DevSecOps实践经验,悬镜探索出了DevSecOps智适应威胁管理体系,它作为DevSecOps全流程安全赋能平台,从构筑之初就注重技术落地的柔和低侵入性,从驱动DevSecOps CI/CD管道持续运转的几大关键实践点入手,通过对威胁建模、威胁发现、威胁模拟及检测响应等关键技术创新赋能政企组织现有人员,帮助甲方建立起更加高效完善的安全开发和安全运营体系。

产品体系.jpg

悬镜DevSecOps智适应威胁管理体系

悬镜夫子(开发安全管控)

一款融合悬镜DevSecOps持续威胁管理思想的S-SDLC全流程安全开发赋能平台,不仅聚焦开发早期需求分析、架构设计阶段的威胁建模,还重点解决当下软件应用漏洞管理中普遍存在的漏洞发现能力孤立、漏洞管理难闭环、开发流程难管控等核心痛点问题。它的核心定位就是从SDL源头开始将专家团队的安全能力持续赋能给传统IT项目人员,使安全思想注入SDL全生命周期,帮助企业组织流程化、自动化、持续化地保障业务安全。

平台特点:

  • 威胁建模:结合实际业务需求,场景化轻量级威胁建模,源头管控早期威胁,并可直接指派处置任务,实现跨部门职能协助。

  • 闭环管理:动态跟踪威胁的处理流程,从需求提出、威胁发现到安全需求验证,提供全流程闭环管理。

  • 关联分析:全流程对接各种第三方漏洞发现工具(含灵脉),并实现漏洞趋势、部门健康度、产品风险的综合关联分析。

  • 弹性扩展:以漏洞管理为核心,插件化组件设计,根据组织架构的特点弹性调整处置流程,不受平台固定架构和流程约束。

悬镜夫子平台详细介绍:https://fuse.xmirror.cn/

悬镜灵脉IAST灰盒安全测试平台(开发安全灰盒安全测试)

灵脉IAST灰盒安全测试平台(以下简称“灵脉IAST”),作为悬镜DevSecOps智适应威胁管理体系中CI/CD管道中的威胁发现平台,通过全场景流量分析技术,如运行时插桩(含主动及被动)、启发式爬虫、代理/VPN及流量管家等和原创AI渗透启发技术赋能传统IT从业人员,在政企用户的组织内部快速建立安全众测模式,使传统安全小白(研发、测试、QA等)完成应用功能测试的同时即可透明实现深度业务安全测试,有效覆盖90%以上中高危漏洞,防止应用带病上线。

161585809344_.pic.jpg

灵脉IAST全场景流量采集技术

平台特点:

Ø 透明安全赋能:交互式灰盒AI测试平台,快速建立企业内部安全众测模式,不增加研发、测试、运营及安全部门的工作量,不变更原有的工作方式,低门槛透明实现全员参与安全众测,防止应用带病上线。

Ø 全场景威胁检测:内置AI启发渗透、动态污点追踪、主动嗅探扫描、供应链威胁审查四种核心检测引擎。采用启发式爬虫信息抓取技术,同步页面的抓取能力和强大的规则更新能力保证了网站嗅探扫描的出色表现。在此基础上,灵脉拥有业界领先的AI启发渗透,将人工漏洞检测思路转化为机器语言,通过机器学习、模型训练深度挖掘客户业务场景,系统具备全面自适应能力,支持传统DAST技术无法具备的业务逻辑检测能力。供应链威胁审查引擎可全自动、高性能、智能化分析应用中是否包含木马后门等威胁,方便用户第一时间发现并解决问题,避免部署及应用安装环节带“毒”上线。

Ø 安全可编程:检测引擎插件化,决策引擎经验化,并支持高度自定义漏洞检测规则,形成适配甲方自身业务场景的特有检测能力。此外,用户可根据自身需求,针对指定类型的安全漏洞进行针对性扫描,有效应对突发漏洞和上级监管机构的紧急排查需求。

Ø 闭环漏洞管理:全流程漏洞及项目管理,动态跟踪整个开发测试过程中的漏洞爆发及修复情况,智能分析各开发部门漏洞收敛进度,实现漏洞从发现、确认、修复、复查等关键生命周期的全流程闭环管理。

Ø API接口开放:可根据用户需求,提供报告API接口,便于政企用户在内部管理中控台上统一集成管理漏洞信息,形成功能、性能、安全多维度测试应用控制闭环。同时全面开放API接口,支持Jenkins、Jira、Git等CI/CD管道及第三方平台。

灵脉IAST灰盒安全测试平台详细介绍:https://iast.xmirror.cn/

灵脉PTE AI智慧渗透测试平台(运营安全自动化渗透测试)

灵脉AI智慧渗透测试平台(以下简称“灵脉PTE”),作为悬镜DevSecOps智适应威胁管理体系中运营环节的威胁模拟平台,它是国内率先实现“AI+威胁模拟”的智能攻防演练机器人系统,创造性将白帽子在大量渗透过程中积累的实战经验转化为机器可存储、识别、处理的结构化经验,并且在自动化测试过程中借助人工智能算法不断进行“智力”成长和逻辑推理决策,以贴近实际人工渗透的方式,对给定目标进行从信息收集到漏洞利用的完整渗透过程。主动发现演练目标的风险点,并实时展现渗透决策路径及渗透全景图,“灵脉PTE”打破传统网络安全风险评估平台针对威胁利用的单一性和不连贯性,在测试过程中更加注重多个风险点之间的关联利用,支持对目标的持续性安全检测,提供辅助渗透测试和安全隐患的解决方案,降低人工成本。

171585809354_.pic.jpg灵脉PTE平台架构

平台特点:

  • 综合资产探测:依托启发式爬虫技术、纵深流量分析技术及智能指纹识别算法,可识别广泛类别的IT资产,包括IP、域名、主机、操作系统、中间件、Web应用、插件等。

  • 深度漏洞发现:原创发明专利级启发式漏洞发现技术,丰富的漏洞库及安全事件数据知识,各种风险模型及专家知识库,提供强大的漏洞发现能力。

  • 漏洞利用与复现:基于AI决策引擎,智能调度渗透策略,自由选择攻击路径。丰富的攻击组件,可支持外网、内网和本地攻击;后渗透阶段,基于特征字典进行数据搜索,收集进一步渗透的支撑数据。

  • 攻击全景可视化:基于获得数据、权限等实际攻击成果的风险度量,自动生成攻击链图,攻击全景等可视化的黑客剧本及攻击过程。

灵脉PTE AI智慧渗透测试平台 详细介绍: https://pte.xmirror.cn/

悬镜云卫士

悬镜云卫士是基于服务器端的EDR检测响应平台,以部署在Linux/Windows云主机上的轻量级探针Agent为功能核心,通过基于分布式云脉分析平台量化安全威胁并智能优选防御策略,可提供Web、PC、移动App等多屏互动方式进行批量配置更新及数据分析,真正实现对政企组织核心业务系统7*24常态化的安全管控和持续响应。

平台特性:

  • 资产梳理:轻量级主机探针+插件式安全能力+统一管理平台,IT资产动态梳理,业务风险清晰可度量;

  • 哨兵式防御:网格式哨兵部署,且东西向流量精确可视化,实时监控内部网络信息流动,针对性微隔离虚拟网络边界;

  • 常态化运营:基于攻击链模型的多锚点入侵检测引擎,实时发现失陷主机,智能优选主动防御策略,避免影子IT给业务带来被入侵风险;7*24持续监控,可辅助应对高级持续入侵威胁。

悬镜云卫士体验地址:https://cg.xmirror.cn/

悬镜安全介绍

悬镜安全(北京安普诺信息技术有限公司)由北京大学白帽黑客团队“XMIRROR”主导创立,致力以AI人工智能技术赋能信息安全,专注于DevSecOps软件供应链生命周期的高级威胁检测防御。核心的DevSecOps智适应威胁管理解决方案包括以机器学习技术为核心的威胁建模、威胁发现、威胁模拟、检测响应等多个维度的自主创新产品及实战攻防对抗为特色的政企安全服务,为金融、电信、政务、能源、教育等行业用户提供创新灵活的智适应安全管家解决方案。

来源:freebuf.com 2020-04-02 15:08:54 by: 悬镜安全实验室

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论