近日,中体彩科技发展有限公司(以下简称“中体彩”)成功签约悬镜安全,通过悬镜灵脉AI-IAST渗透测试平台(以下简称“灵脉”),对上线前的目标系统进行安全检测,帮助开发和测试部门在SDLC早期检测和修复漏洞,实现对风险的有效管控。
中体彩科技发展有限公司是自主研发和运维中国体育彩票核心技术系统的国有高新技术企业,产品和服务覆盖体育彩票核心业务领域,担负着国家主数据中心和第二数据中心的运维重任。
客户场景介绍分析
1应用频繁带病上线,传统开发模式亟需转变
企业用户对业务应用漏洞的发现除了内部自测以外,多半源自外部第三方白帽子或安全厂商。漏洞爆出后,需联系多方人员才能解决漏洞。较之产品生命周期的各阶段,安全测试有其孤立性、滞后性、随机性、覆盖性等问题。
2软件开源大行其道,供应链安全保障迫在眉睫
开源软件的使用范围正在不断扩大,对于开发过程中引入开源软件的执行细节与其中潜在的风险,大多数开发者都无从获知。在软件开发全生命周期过程中,一套优秀的供应链安全威胁的创新解决方案显得至关重要。
3业务规模日趋庞大,全面资产扫描刻不容缓
企业线上应用资产日趋复杂多样,具有大量闲置应用生产系统,需对自身的 Web 应用业务及其关联资产进行清晰、全面的清点,持续收集与自身相关的域名、IP、主机、应用等信息。针对黑客的跳板式攻击,企业需全面检测关联资产,发现薄弱环节,不放过任何可能的跳板风险,确保攻击面全覆盖。
4自动化攻击成为趋势,应用漏洞风险愈发明显
伴随人工智能等新技术的应用,网络武器泄露的延续效应正在逐渐转变网络攻击的逻辑和手段,“攻防不对等”形势更为严峻。
针对客户场景提供解决方案
为确保快速开发和支撑微服务部署新模式,安全团队必须确保安全评估的频率,既要保证安全风险最小化,同时也要考虑安全团队有限资源的可持续性,权衡 DevOps 速度的需求与现有安全的要求。实践方案应能支持应用开发持续交付中的小版本快速迭代测试和版本上线前的业务系统安全验收测试,并能有效监测和检测整个业务系统真实运营环境中的业务安全威胁。
因此,悬镜安全结合中体彩自身需求,从资产发现能力、漏洞检测能力、平台扩展性、易用性、部署形式五个维度出发,为其提供一套自适应威胁管理体系——悬镜灵脉 AI-IAST 渗透测试平台,作为本次项目的安全测试方案。
灵脉作为悬镜 DevSecOps 自适应威胁管理体系全流程安全赋能平台,通过综合多种流量收集手段和原创 AI 启发技术赋能传统 IT 从业人员,政企用户的普通技术员工(研发、测试、运维等)就能完成安全测试和漏洞检测,进而保证安全贯穿于软件开发全生命周期的每一个关键环节,消除上线前的开发安全问题,解决99%的高危漏洞,防止应用带病上线。
关于悬镜
悬镜安全总部位于中关村软件园,由北京大学白帽黑客团队“XMIRROR”主导创立,专注于DevSecOps软件供应链生命周期的高级威胁检测防御。核心业务主要包括AI渗透测试平台“悬镜灵脉”和自适应安全运营平台“悬镜云卫士”等自主创新产品及以实战攻防对抗为特色的政企安全服务,致力为金融、云服务、政务、能源、教育等行业用户提供创新灵活的自适应安全智能管家解决方案。
