行业案例 | 悬镜DevSecOps智适应威胁管理解决方案获评信通院“2021云安全守

小雨敲窗y · 发表于 2022-3-26 10:32:36

2021年12月28日，由中国信息通信研究院（以下简称“中国信通院”）主办，云计算开源产业联盟承办的“2021可信云安全论坛”在北京成功举行。论坛上，中国信通院发布了2021年度“云安全守卫者计划”优秀案例评选结果，悬镜安全DevSecOps智适应威胁管理解决方案凭借在通信行业应用实践案例所展示出的高成熟度和行业示范作用，获评“2021云安全守卫者计划优秀案例”。

为了引导云安全领域产品的发展方向，中国信通院自2021年10月启动“云安全守卫者计划”优秀案例征集评选，旨在于当前云计算安全态势日益严峻，云安全产品、解决方案大量涌现的环境中，基于云计算安全信任体系的权威评估标准，为企业遴选出以安全性影响云计算充分发挥其作用的核心要素，为云上资产安全提供有力保障。
此次由悬镜安全申报获评的“电信研究院的DevSecOps智适应威胁管理解决方案实践案例”，全面展示了悬镜DevSecOps敏捷安全解决方案在电信行业建立安全开发体系过程中的实施需求分析、关键技术、解决方案、创新点等，突出了其案例的创新性与产生的价值成效。
案例简介
应用单位需求分析
互联网业务模式下，某电信集团研究院要求信息系统敏捷开发、快速迭代，由此也导致安全性往往被牺牲或让步。以往的安全工作仅在上线前进行安全防护或上线后开展安全运营工作，这种传统安全防护模式无法满足和适应新形势下的各类安全威胁。同时，随着网络安全态势的发展，监管政策日趋完善且严格，某电信集团研究院作为电信行业重要的研究机构，如何做到快速有效地获取最新监管政策并具体落实，同样成为困扰安全管理部门的难题。
DevOps和敏捷开发模式加速了企业业务上线速度，如何既能确保业务正常上线，又能保障足够的安全措施，成为企业普遍面临的困扰之一。安全性贯穿软件开发生命周期的每个环节，且必不可少，由此，从DevOps到DevSecOps的转变是一个自然而然的过程。怎样将各种工具融入到现有的流程和体系中，让安全嵌入整条流水线中，是某电信集团研究院需要解决的问题。
解决方案简介
悬镜安全根据某电信集团研究院自身的DevOps体系，提供了一套完整的DevSecOps智适应威胁管理解决方案，将灵脉IAST灰盒安全测试平台、源鉴OSS开源威胁管控平台、灵脉PTE AI智慧渗透测试平台、夫子SDL安全开发赋能平台等工具与其现有工具链相结合，帮助客户构建了一套完善的敏捷开发体系，将安全自动化、无侵入地融入到其内部开发流程中，实现了透明化的深度应用安全测试，可覆盖90%以上的中高危漏洞，有效地防止了应用带病上线。

DevSecOps智适应威胁管理解决方案融合悬镜安全的红蓝对抗经验，全流程的产品和服务为电信行业客户提供包括威胁建模、开源治理、风险发现、威胁模拟、检测响应在内的全生命周期解决方案，协助某电信集团研究院客户建立DevSecOps CI/CD 黄金管道，利用关键CI/CD自动化工具链技术，实现CI/CD自动化工具链对业务系统的支撑。
1. 需求和架构阶段
通过夫子SDL安全开发赋能平台基于业务场景的威胁建模，以威胁建模赋能和提供针对性Checklist的方式，指导需求分析与架构审计人员对项目内场景潜在风险进行识别和剥离，通过威胁建模提出针对性安全方案，以解决、规避后续研发等环节中的安全问题。
2. 编码阶段
在该阶段进行静态应用安全测试（SAST）、开源组件检测（OSS）、软件成分分析（SCA）。通过阶梯式检测方案，在研发不同阶段介入最为合适的检测方式和最优检测规则，确保在每个流程上都只检出真实有效的漏洞。所有需要确认的漏洞，交由IAST过程使用真实漏洞攻击代码进行检测，确保最为有效的真实漏洞检出概率，降低误报导致的人工分析成本和落地阻力。
3. 软件测试阶段
灵脉IAST灰盒安全测试平台通过获取功能测试人员测试交互流量，并以此取代DAST的自行构造模式。基于模糊测试对流量进行攻击代码随机插入和攻击流量的构建，自动化对被测程序进行安全测试，并在测试过程中借助插桩监控平台对被测程序的运行轨迹进行实时跟踪和介入，一旦攻击流量触发安全问题，插桩平台不仅可以第一时间捕获安全问题，还能精确定位到漏洞所在的代码文件、行数、函数及参数。通过插桩的方式，既能保证检出漏洞的有效性，降低误报，还能精准定位漏洞代码行位置，帮助研发人员更好的进行漏洞修复和回归测试，有效提升测试的综合检测能力和水平。
同时，通过IAST交互式创新测试模式，还可以覆盖更多传统DAST无法触及的安全检测范围，包括逻辑类漏洞检测自动化、双向加密数据获取等，实现更为良好的安全检测能力。
4. 上线运营阶段
通过灵脉PTE自动化渗透测试和云鲨RASP运行时应以自保护，实现常态化安全运营，让风险管理贯穿所有阶段，对项目上线后所有的服务器资产、中间件以及系统项目进行7*24小时周期性安全检查。相当于有一个安全团队或渗透测试工程师全天候管理线上资产、站点以及中间依赖的安全问题，有效确保安全性。
5. 平台
悬镜DevSecOps智适应威胁管理解决方案可通过统一平台，将上述各流程的介入工具检测结果进行统一展示和操作，方便用户闭环安全问题、发现高频安全盲区，以及进行安全量化统计等。
夫子SDL安全开发赋能平台作为悬镜DevSecOps智适应威胁管理解决方案中的全流程管理平台，不仅聚焦开发早期需求分析、架构设计阶段的威胁建模，还重点解决当下软件应用漏洞管理中普遍存在的漏洞发现能力孤立、漏洞管理难闭环、开发流程难管控等核心痛点问题。核心定位从开发源头将专家团队的安全能力持续赋能给传统IT项目人员，使安全思想注入DevSecOps全生命周期中，帮助企业组织智能化、自动化、持续化地保障系统业务安全。
用户价值
悬镜安全为某电信集团研究院建设DevSecOps敏捷安全体系带来四大核心价值：
真正实现将安全引入现有的DevOps的体系
通过固化敏捷流程、加强不同人员协作，通过“平台+工具+服务”的形式可以将自动化、重复性的安全工作融入到研发测试体系，让安全属性嵌入到整个开发流程中。在快速迭代模式下，安全从开发到运营贯穿整个业务生命周期的每一个环节的DevSecOps体系模式。
全面降低漏洞风险，实现闭环的漏洞管理
夫子作为悬镜DevSecOps智适应威胁管理体系的全流程管理平台，通过插件化API接口，可灵活调用并获取各类型安全检测工具的实时漏洞检测结果，通过可调控的评级规则，解决由于应用阶段、检测技术、定级规范的不同所导致检测出的漏洞难以统一评估管理、分析的问题，并将各个阶段收集的检测数据统一分析，总体关联，实现漏洞从发现、确认、修复、复查、关闭等关键生命周期的全流程闭环管理。
形成安全运营闭环，实现常态化安全运营
灵脉PTE可对线上运行系统定时进行主机层和应用层安全监测，帮助企业及时发现线上运行系统的最新安全问题，同时定期出具安全巡检报告。云鲨RASP能有效避免误报，获取来自应用程序体系结构和运行时的丰富信息，从而做出正确的决策，使得零误报成为可能。云鲨RASP可以“无感知”的方式监控和组织绝大多数类型对应用程序的攻击，形成全面的威胁防御能力。通过部署灵脉PTE和云鲨RASP，全面实现常态化安全运营，形成安全运营闭环。
满足电信行业政策法令监管要求
电信行业的网络系统是以数据通信为基础的计算机综合信息网，以实现信息通信和资源共享，面向社会提供网络服务和信息服务，因此网络信息安全政策在电信行业内的落地有更加强烈的需求。悬镜夫子平台的建设，将行业政策要求与业务需求结合，帮助某电信集团研究院在高效建设DevSecOps敏捷安全体系的过程中，落实相关监管政策要求。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

账号		自动登录	找回密码
密码			立即注册

行业案例 | 悬镜DevSecOps智适应威胁管理解决方案获评信通院“2021云安全守

本帖子中包含更多资源