说到自动化渗透测试平台,悬镜小编想起来近年来流行的一种安全理念:“DevSecOps”,一种全新的安全理念与模式,从DevOps的概念延伸和演变而来,其核心理念为安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发到运营整个业务生命周期的每一个环节。
透明化和自动化是DevSecOps实践的核心要求。
DevSecOps的出现是为了改变和优化之前安全工作的一些现状,比如安全测试的孤立性、滞后性、随机性、覆盖性、变更一致性等问题;通过固化流程、加强不同人员协作,通过工具、技术手段将可以自动化、重复性的安全工作融入到研发体系内,让安全属性嵌入到整条流水线。
通过加强内部安全测试,主动搜寻安全漏洞,及时修复漏洞、控制风险,实现与业务流程的良好整合。
但目前来看,研发与运维是割裂的。导致这种情况出现的最大原因:业务负责人认为安全是阻碍了整个进度往前推进,安全人员又认为随着业务量增加,如果内部不做好安全风险控制,很容易出现网络安全攻击事件,等真正漏洞爆发出来再去解决的时候,就发现不论是发现问题的成本还是修复问题的成本都是非常高的。
据专业机构统计:如果漏洞在研发阶段就被发现,修复成本只有200元,如果漏洞在运维、运营阶段被发现,修复漏洞的成本高达2万。
为了解决以上问题,悬镜安全实验室自主研发“灵脉AI自动化渗透测试平台”,将漏洞发现能力前置,从研发阶段引入安全测试,且不影响研发进度的正常进行。
灵脉自动化渗透测试平台最大的优势:不仅可以检测常规的Owasp top 10的漏洞,还可以深度发现新开发业务系统中存在的各种业务逻辑漏洞,如水平越权、垂直越权、登录接口爆破,短信轰炸等,同时解决了后台管理系统登录后功能化的扫描测试。
同时还具备以下优势:
1.通过交互式灰盒AI测试平台零门槛进行安全测试,不论是不懂安全的研发,测试人员,还是后期的运维人员,都可以快速上手,帮助企业快速建立企业内部安全众测模式,在不增加测试工作量的基础上,零成本,可视化的完成项目安全测试;
2.灵脉自动化渗透测试平台不仅支持传统漏洞嗅探扫描模式,悬镜安全实验室基于机器学习自主研发的AI启发式渗透模式,可以有效的降低企业安全运维、修复漏洞的成本。
3.根据企业系统内不同业务角色属性来智能化配置安全能力,使之能够按需为企业服务。同时支持私有化部署,帮助企业构建立体化风险感知体系,支持软硬件一体化解决方案。
灵脉AI自动化渗透测试平台试用地址:https://xcheck.xmirror.cn/
悬镜安全创立于2014年9月,北京安普诺信息技术有限公司旗下云安全品牌,由北京大学白帽子团队“XMIRROR”主导创立,专注于动态数据中心和云计算租户侧的高级定向攻击防护,核心业务主要包括悬镜云卫士、灵脉AI自动化渗透测试系统等自主创新产品及实战攻防对抗为特色的政企安全服务,专注为媒体云、政务云、教育云、金融云等平台用户提供创新灵活的自适应安全智能管家解决方案。
来源:freebuf.com 2019-04-23 09:31:24 by: 悬镜安全实验室
请登录后发表评论
注册