懸鏡安全宣布完成數(shù)千萬元Pre-A輪融資

懸鏡安全融資 A輪

數(shù)據(jù)猿 | 2020-06-09 14:12

【數(shù)據(jù)猿導(dǎo)讀】 6月8日，業(yè)內(nèi)頭部DevSecOps敏捷安全公司懸鏡安全正式宣布完成數(shù)千萬元人民幣的Pre-A輪融資，本輪融資由紅杉中國種子基金獨家領(lǐng)投。融資完成后，懸鏡安全將進一步完善產(chǎn)品布局，擴充專業(yè)銷售及市場團隊，加速進軍金融、電力、能源及互聯(lián)網(wǎng)企業(yè)安全市場。

數(shù)據(jù)猿報道 6月8日，業(yè)內(nèi)頭部DevSecOps敏捷安全公司懸鏡安全正式宣布完成數(shù)千萬元人民幣的Pre-A輪融資，本輪融資由紅杉中國種子基金獨家領(lǐng)投。融資完成后，懸鏡安全將進一步完善產(chǎn)品布局，擴充專業(yè)銷售及市場團隊，加速進軍金融、電力、能源及互聯(lián)網(wǎng)企業(yè)安全市場。

據(jù)悉，懸鏡安全由北京大學(xué)網(wǎng)絡(luò)安全技術(shù)研究團隊“XMIRROR”主導(dǎo)創(chuàng)立，專注DevSecOps軟件供應(yīng)鏈持續(xù)威脅一體化檢測防御，旗下原創(chuàng)懸鏡DevSecOps智適應(yīng)威脅管理體系主要覆蓋從威脅建模、威脅發(fā)現(xiàn)、威脅模擬到檢測響應(yīng)等關(guān)鍵環(huán)節(jié)的開發(fā)運營一體化敏捷安全產(chǎn)品及以實戰(zhàn)攻防對抗為特色的政企安全服務(wù)。

在此先解釋一下DevSecOps的概念，DevSecOps IT戰(zhàn)略框架最早由Gartner提出，其核心理念為安全前置，強調(diào)安全需要貫穿從開發(fā)到運營整個業(yè)務(wù)生命周期的每個關(guān)鍵環(huán)節(jié)。DevSecOps的關(guān)聯(lián)概念有DevOps（Development和Operations的組合詞）指的是一組過程、方法與系統(tǒng)的統(tǒng)稱，用于促進開發(fā)、技術(shù)運營和質(zhì)量保障（QA）部門之間的溝通、協(xié)作與整合。它是一種重視“軟件開發(fā)人員（Dev）”和“IT運維技術(shù)人員（Ops）”之間溝通合作的文化、運動或慣例，希望使構(gòu)建、測試、發(fā)布軟件能夠更加敏捷、頻繁和可靠。但敏捷可能會出現(xiàn)一個問題，即在傳統(tǒng)安全（滲透測試或人工方式等）的方式下，敏捷會影響研發(fā)交付，這是企業(yè)所不能接受的。于是從2017年開始，新的戰(zhàn)略方法DevSecOps開始流行，核心是將安全（security）嵌入DevOps中。"從2017年起，國際上專注DevSecOps的廠商逐漸多了起來，國內(nèi)也有越來越多的甲方和廠商開始重視開發(fā)安全。它的核心是解決在DevOps敏捷開發(fā)模式下，如何柔和地將安全嵌入進來實現(xiàn)安全前置的問題。”「懸鏡安全」創(chuàng)始人子芽介紹。

從開發(fā)源頭做敏捷安全治理

根據(jù)第三方權(quán)威調(diào)查，接近92%的已知安全漏洞都發(fā)生在軟件應(yīng)用程序中，且應(yīng)用中每1000行代碼至少出現(xiàn)一個業(yè)務(wù)邏輯缺陷。目前絕大多數(shù)政企用戶對業(yè)務(wù)應(yīng)用漏洞的發(fā)現(xiàn)除了內(nèi)部自測以外，多半源自外部第三方白帽子或安全廠商。整個軟件開發(fā)生命周期中，不同階段修復(fù)安全漏洞的成本差距顯著，研發(fā)測試階段與線上運營階段的修復(fù)成本甚至相差數(shù)百倍。因此，如何前置安全工作，把漏洞風(fēng)險消滅在萌芽狀態(tài)，防止應(yīng)用帶病上線，十分迫切且必要。

懸鏡旗下明星產(chǎn)品之一靈脈IAST灰盒安全測試平臺，作為懸鏡DevSecOps智適應(yīng)威脅管理體系中CI/CD管道的應(yīng)用風(fēng)險發(fā)現(xiàn)平臺，通過新一代全場景實時流量分析技術(shù)，如運行時應(yīng)用插樁（含主動及被動）、啟發(fā)式爬蟲、代理/VPN及流量管家等和原創(chuàng)AI啟發(fā)滲透測試技術(shù)賦能傳統(tǒng)IT從業(yè)人員，在甲方用戶的組織內(nèi)部快速建立安全眾測模式，使傳統(tǒng)安全小白（如研發(fā)、測試、QA等）完成應(yīng)用功能測試的同時即可透明實現(xiàn)深度業(yè)務(wù)安全測試，有效覆蓋90%以上中高危漏洞，防止應(yīng)用帶病上線。從原理來看，基于IAST的灰盒測試可以通過在測試服務(wù)器上安裝的探針（可理解為插件，用作收集流量），拿到程序運行交互的一些請求上下文，再利用動態(tài)污點追蹤等方式追蹤從輸入到敏感操作之間整個傳播路徑，進而分析、確認漏洞。而且由于請求上下文是從內(nèi)存中拿到，工作人員可以定位漏洞所在的代碼位置，所以檢出率很高，同時也很精準(zhǔn)。

用持續(xù)攻防對抗來度量安全

攻防對抗是網(wǎng)絡(luò)安全建設(shè)過程中永恒的主題，是檢驗現(xiàn)有安全體系防御應(yīng)對未知威脅成效能力最為直接的方式，如RSAC 2018中黃金管道涉及的BUG懸賞，本質(zhì)也是鼓勵主動建立攻防對抗體系，如持續(xù)的安全眾測、不定期進行攻防演練并輔以配套的檢測響應(yīng)手段等。

懸鏡旗下另外一款明星產(chǎn)品靈脈AI智慧滲透測試平臺，作為懸鏡DevSecOps自適應(yīng)威脅管理體系運營環(huán)節(jié)中的威脅模擬平臺，在國內(nèi)率先實現(xiàn)“AI+威脅模擬”的智能攻防演練機器人系統(tǒng)，將安全專家在大量滲透測試過程中積累的實戰(zhàn)經(jīng)驗轉(zhuǎn)化為機器可存儲、識別、處理的結(jié)構(gòu)化經(jīng)驗，并且在自動化測試過程中借助人工智能算法不斷進行“自我思考”和邏輯推理決策，以貼近實際人工滲透測試的方式，對給定目標(biāo)進行從信息收集到漏洞利用的完整滲透測試過程，全方位檢驗甲方用戶現(xiàn)有安全防御措施的有效性，盡可能彌補安全人員水平參差不齊和效率低下的問題。

將安全能力賦能給IT人員

人及團隊文化在整個安全體系建設(shè)中有著巨大的影響力，人的行為自始至終與數(shù)據(jù)、威脅、風(fēng)險、隱私及管理等因素交織在一起，也是整個DevSecOps實踐框架中最不穩(wěn)定的因素。為此RSAC2020的主題專門設(shè)定為“Human Element”。一個完善的DevOps安全體系建設(shè)，不僅要全流程考慮人和技術(shù)的因素，更要從源頭抓起，所以早期的安全意識培訓(xùn)、需求階段的威脅建模等都是十分必要的安全活動。

懸鏡旗下DevSecOps全流程賦能平臺夫子Xfuse，作為融合懸鏡DevSecOps持續(xù)威脅管理思想的全流程安全開發(fā)賦能框架，不僅聚焦開發(fā)早期需求分析、架構(gòu)設(shè)計階段的威脅建模，還重點解決當(dāng)下軟件應(yīng)用漏洞管理中普遍存在的漏洞發(fā)現(xiàn)能力孤立、漏洞管理難閉環(huán)、開發(fā)流程難管控、實踐效果難度量等核心痛點。它的核心定位是從SDL/DevOps源頭開始將專家團隊的安全能力持續(xù)賦能給傳統(tǒng)IT項目人員，使安全思想注入軟件供應(yīng)鏈全生命周期，幫助企業(yè)組織流程化、自動化、持續(xù)化地保障業(yè)務(wù)安全。

DevSecOps智適應(yīng)威脅管理體系

整體來看，結(jié)合多年敏捷安全落地實踐經(jīng)驗，懸鏡探索出一套基于原創(chuàng)專利級“平臺+工具+服務(wù)” 的DevSecOps智適應(yīng)威脅管理體系。它作為DevSecOps全流程AI安全賦能平臺，從構(gòu)筑初就注重技術(shù)落地的柔和低侵入性，從驅(qū)動DevSecOps CI/CD管道持續(xù)運轉(zhuǎn)的幾大關(guān)鍵實踐點入手，通過對威脅建模、威脅發(fā)現(xiàn)、威脅模擬及檢測響應(yīng)等關(guān)鍵技術(shù)創(chuàng)新賦能政企組織現(xiàn)有人員，幫助甲方建立更高效完善的安全開發(fā)和安全運營體系，并根據(jù)各流程頻現(xiàn)的漏洞類型、研發(fā)人員知識盲區(qū)等再次提供針對性培訓(xùn)，最終針對性制定規(guī)章制度，實現(xiàn)制度精準(zhǔn)逆推落地。
懸鏡DevSecOps智適應(yīng)威脅管理體系

當(dāng)前懸鏡安全的客戶主要集中在金融行業(yè)、能源、電力行業(yè)等較為關(guān)注安全且正在逐步建設(shè)自身開發(fā)體系的領(lǐng)域。在交付上，根據(jù)客戶的自身需求分為軟件、硬件和SaaS的三種形態(tài)。在銷售模式上，懸鏡安全目前分為直銷和渠道兩種方式。直銷客戶大多來源于客戶的自身調(diào)研，渠道包括代理和合作伙伴兩種，國內(nèi)頭部綜合型安全廠商奇安信此前也曾投資懸鏡安全，現(xiàn)在也是公司的重要合作伙伴之一。

懸鏡創(chuàng)始人子芽在接受采訪時表示，“安全的本質(zhì)是風(fēng)險和信任的平衡，懸鏡在做的事是幫助甲方用戶跟上變化，做好內(nèi)生敏捷安全。”在數(shù)字化時代的業(yè)務(wù)安全目標(biāo)，更強調(diào)對風(fēng)險和信任的評估分析，這個分析的過程就是動態(tài)平衡的過程，用戶需要告別過去傳統(tǒng)安全門式允許/阻斷的處置方式，通過情境分析來評估業(yè)務(wù)風(fēng)險，放棄追求絕對的安全，不要求零風(fēng)險，不要求100%信任，尋求一種0和1之間的風(fēng)險與信任的平衡。當(dāng)前，公司的標(biāo)桿客戶包括中國銀行、中信建投證券、中國石化、中體彩、人民網(wǎng)、湖南電網(wǎng)、北京大學(xué)等。

來源：數(shù)據(jù)猿

收藏分享

聲明：數(shù)據(jù)猿尊重媒體行業(yè)規(guī)范，相關(guān)內(nèi)容都會注明來源與作者；轉(zhuǎn)載我們原創(chuàng)內(nèi)容時，也請務(wù)必注明“來源：數(shù)據(jù)猿”與作者名稱，否則將會受到數(shù)據(jù)猿追責(zé)。