应用安全中有两个假设:一是程序员每写一千行代码,就会出现一个逻辑性缺陷。每个逻辑性的缺陷,或者若干个逻辑性缺陷,最终导致一个漏洞;“缺陷是天生的,漏洞是必然的”。
二是近四分之一的数据泄露,是由于组织内部人员造成的,“违规”和“内鬼”等威胁成为数据泄露的主要原因之一,供应链、外包商、员工等随时都可能变成“内部威胁” 。
通常来说,政企应用的开发流程往往强调“业务先上线,安全问题后补救”,但是随着应用业务的不断增多,安全很容易出现资源不足和脱节的情况,无法有效覆盖核心业务,安全修复成本更是不断提升。
传统观点认为,安全会减慢业务发展,就像刹车会减缓汽车的速度一样。但创新的观点则认为,正是刹车赋予了司机勇气和信息,才能让他们跑得尽可能快,而不用担心停不下来。
基于DevSecOps模式的最佳实践IAST,悬镜安全推出了“悬镜IAST多核监测方案”,通过悬镜灵脉多核检测引擎,全面支持App与Web应用安全测试。
“悬镜IAST多核监测方案”可以对复杂业务模型、Web API、隐藏后台等无法被爬虫覆盖的业务进行检测,并且支持主动爬取和被动流量采集,实现零成本完成业务安全渗透测试。
而通过“灵脉AI-IAST渗透测试平台”,则还可以快速建立企业内部安全众测模式,在不增加测试工作量的基础上,零门槛透明完成项目安全测试。
除此以外,“悬镜IAST多核监测方案”还包括漏洞及项目管理平台,动态跟踪整个开发过程中的漏洞爆发及修复情况,智能分析各开发部门漏洞收敛进度;针对供应链威胁,提供审查引擎,主动分析上线部署环节的各类应用安装包,深度挖掘潜藏的各类第三方组件缺陷及后门威胁。
最后,关联资产发现平台,主动梳理企业海量应用资产,持续评估业务安全风险,防止跳板攻击。
专家观点
专家:这套系统可扩展主要是哪方面的支持?
子芽:分几个维度。第一个是检测能力,我们的产品分低中高版本,当检测能力并发能力不够的时候,通过扩容予以支持;第二个是我们开放了API接口,可以接入一些平台;第三个就是自定义规则,甲方往往希望建立符合他自己场景的安全能力,这样就可以在规则允许范围内做一些自定义的东西,让安全与业务的贴合越来越紧密。
来源:freebuf.com 2019-12-16 16:09:25 by: 悬镜安全实验室
请登录后发表评论
注册