近日,中信建投证券股份有限公司(以下简称“中信建投”)与悬镜安全成功签约,通过悬镜灵脉IAST灰盒安全测试平台(以下简称“灵脉IAST”),对上线前的目标系统进行安全检测,帮助开发和测试部门在项目早期检测和修复漏洞,实现对应用风险的有效管控。
中信建投证券注册资本76.46亿元,在全国30个省、市、自治区设有327家营业网点,自2010年起连续十年被中国证监会评为目前行业最高级别的A类AA级证券公司。2016年中信建投证券在香港联交所上市,股票代码6066.HK。并于2018年在上交所A股主板上市,股票代码601066.SH。
金融行业应用面临的风险l 攻击技术越发先进智能,攻击手段在潜伏性、隐蔽性、定向性、自主性、融合性等方面能力日益增强,智能分析使得快速绕过多重防御手段成为可能。
l 网络武器研发和利用提速,基于已知和未知漏洞的自动化攻击利用不断涌现,攻击门槛大幅度降低,敏感数据泄露等安全事件频频发生。
l 软件开源大行其道,基于信任的软件供应链攻击(Software Supply Chain Attack)事件频发,攻击对象范围广、攻击方式隐蔽,给金融用户业务安全防御带来了极大的挑战。
客户需求客户希望通过引入灰盒应用安全测试平台,在业务系统的开发和测试阶段及时发现安全漏洞并修复,使得安全能力在整个业务生命周期中左置前移。测试平台要能够支持最多15个并发任务同时测试,实施中要和中信建投的CAS(单点登录系统),OA系统进行对接,以便各开发人员查看相关的漏洞信息。
客户选择应用安全测试领域高手林立,尤其在金融行业更是不缺竞擂者。灵脉IAST之所以能从中脱颖而出,凭借的是领先的技术能力及场景落地化的产品形态。中信建投结合自身需求,从系统架构、流量采集模式、检测能力、漏洞管理、系统管理等多个维度进行综合性评价,最终选择了灵脉IAST作为开发阶段的应用安全测试解决方案。
灵脉IAST全场景流量采集技术
悬镜IAST--灰盒安全测试最佳实践灵脉IAST作为悬镜DevSecOps智适应威胁管理体系中CI/CD管道中的威胁发现平台,通过全场景流量分析技术,如运行时应用插桩(含主动及被动)、启发式爬虫、代理/VPN及流量管家等和原创AI渗透启发技术赋能传统IT从业人员,在政企用户的组织内部快速建立安全众测模式,使传统安全小白(研发、测试、QA等)完成应用功能测试的同时即可透明实现深度业务安全测试,有效覆盖90%以上中高危漏洞,防止应用带病上线。
灵脉IAST运行时应用缺陷检测技术
通过主动IAST插桩算法,灵脉IAST不仅解决了传统DAST无法精确定位漏洞位置的问题,还有着比传统SAST技术低得多的误报率。此外,在脏数据处理上也有着优秀的表现,并且可以针对应用测试结果进行全方位复现和验证测试。在非复杂数据包加密、内部测试流量管控等特殊场景下,它更加符合敏捷开发和DevOps模式下软件产品快速迭代、快速交付的要求。