freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

基于DevSecOps理念研发的自动化渗透测试系统-灵脉AI
2019-04-23 09:31:24

说到自动化渗透测试平台,悬镜小编想起来近年来流行的一种安全理念:“DevSecOps”,一种全新的安全理念与模式,从DevOps的概念延伸和演变而来,其核心理念为安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发到运营整个业务生命周期的每一个环节。

devsecops-collab-405x308_0.png

透明化和自动化是DevSecOps实践的核心要求。

DevSecOps的出现是为了改变和优化之前安全工作的一些现状,比如安全测试的孤立性、滞后性、随机性、覆盖性、变更一致性等问题;通过固化流程、加强不同人员协作,通过工具、技术手段将可以自动化、重复性的安全工作融入到研发体系内,让安全属性嵌入到整条流水线。

通过加强内部安全测试,主动搜寻安全漏洞,及时修复漏洞、控制风险,实现与业务流程的良好整合。

但目前来看,研发与运维是割裂的。导致这种情况出现的最大原因:业务负责人认为安全是阻碍了整个进度往前推进,安全人员又认为随着业务量增加,如果内部不做好安全风险控制,很容易出现网络安全攻击事件,等真正漏洞爆发出来再去解决的时候,就发现不论是发现问题的成本还是修复问题的成本都是非常高的。

研发与安全.png

据专业机构统计:如果漏洞在研发阶段就被发现,修复成本只有200元,如果漏洞在运维、运营阶段被发现,修复漏洞的成本高达2万。

为了解决以上问题,悬镜安全实验室自主研发“灵脉AI自动化渗透测试平台”,将漏洞发现能力前置,从研发阶段引入安全测试,且不影响研发进度的正常进行。

灵脉AI.png

灵脉自动化渗透测试平台最大的优势:不仅可以检测常规的Owasp top 10的漏洞,还可以深度发现新开发业务系统中存在的各种业务逻辑漏洞,如水平越权、垂直越权、登录接口爆破,短信轰炸等,同时解决了后台管理系统登录后功能化的扫描测试。

同时还具备以下优势:

1.通过交互式灰盒AI测试平台零门槛进行安全测试,不论是不懂安全的研发,测试人员,还是后期的运维人员,都可以快速上手,帮助企业快速建立企业内部安全众测模式,在不增加测试工作量的基础上,零成本,可视化的完成项目安全测试;

2.灵脉自动化渗透测试平台不仅支持传统漏洞嗅探扫描模式,悬镜安全实验室基于机器学习自主研发的AI启发式渗透模式,可以有效的降低企业安全运维、修复漏洞的成本。

3.根据企业系统内不同业务角色属性来智能化配置安全能力,使之能够按需为企业服务。同时支持私有化部署,帮助企业构建立体化风险感知体系,支持软硬件一体化解决方案。

灵脉AI自动化渗透测试平台试用地址:https://xcheck.xmirror.cn/

悬镜安全创立于2014年9月,北京安普诺信息技术有限公司旗下云安全品牌,由北京大学白帽子团队“XMIRROR”主导创立,专注于动态数据中心和云计算租户侧的高级定向攻击防护,核心业务主要包括悬镜云卫士、灵脉AI自动化渗透测试系统等自主创新产品及实战攻防对抗为特色的政企安全服务,专注为媒体云、政务云、教育云、金融云等平台用户提供创新灵活的自适应安全智能管家解决方案。


本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者