信息化觀察網(wǎng)

中標(biāo)喜報(bào)

近日，懸鏡安全成功中標(biāo)國(guó)有政策性銀行“IAST交互式應(yīng)用安全測(cè)試”項(xiàng)目，中標(biāo)產(chǎn)品為靈脈IAST灰盒安全測(cè)試平臺(tái)。

該用戶是由國(guó)家出資設(shè)立、直屬國(guó)務(wù)院領(lǐng)導(dǎo)、具有獨(dú)立法人地位的國(guó)有政策性銀行，在對(duì)外經(jīng)貿(mào)發(fā)展和跨境投資、“一帶一路”建設(shè)、國(guó)際產(chǎn)能和裝備制造合作、實(shí)施“走出去”戰(zhàn)略和開(kāi)放型經(jīng)濟(jì)建設(shè)等方面發(fā)揮重要作用。截至2023年底，該用戶在國(guó)內(nèi)設(shè)有32家營(yíng)業(yè)性分支機(jī)構(gòu)和香港代表處，資產(chǎn)總額突破6萬(wàn)億元，營(yíng)業(yè)收入達(dá)到兩百億元。

金融數(shù)字化轉(zhuǎn)型

應(yīng)用安全成主戰(zhàn)場(chǎng)

當(dāng)前金融數(shù)字化轉(zhuǎn)型持續(xù)深入推進(jìn)，一方面，云環(huán)境、微服務(wù)、API、DevOps等新技術(shù)模式的大量應(yīng)用，推動(dòng)數(shù)字業(yè)務(wù)應(yīng)用快速增長(zhǎng)；另一方面，隨著業(yè)務(wù)互聯(lián)網(wǎng)化和金融科技發(fā)展，應(yīng)用安全已成為攻防雙方主戰(zhàn)場(chǎng)，NIST數(shù)據(jù)顯示，超過(guò)92%的黑客安全事故都發(fā)生在軟件應(yīng)用本身，應(yīng)用安全漏洞的利用和防御成為主要焦點(diǎn)。

傳統(tǒng)的漏洞檢測(cè)主要包括SAST、DAST等漏洞掃描工具和安全專家人工滲透測(cè)試，安全專家成本高、水平參差不齊，漏掃工具則難以適應(yīng)金融行業(yè)新技術(shù)架構(gòu)和新業(yè)務(wù)環(huán)境，同時(shí)還存在高誤報(bào)率、無(wú)法提供代碼細(xì)節(jié)的局限性。

IAST（交互式應(yīng)用程序安全測(cè)試，Interactive Application Security Testing）解決了復(fù)雜業(yè)務(wù)場(chǎng)景下的精準(zhǔn)應(yīng)用安全測(cè)試問(wèn)題，相比于其他技術(shù)，具備顯著優(yōu)勢(shì)：

1

IAST運(yùn)行時(shí)插樁技術(shù)基于請(qǐng)求、代碼、數(shù)據(jù)流、控制流綜合分析判斷漏洞，漏洞測(cè)試準(zhǔn)確性高，誤報(bào)率極低；

2

IAST可獲取更多的應(yīng)用程序信息，安全漏洞既可定位到代碼行，還可以得到完整的請(qǐng)求和響應(yīng)信息，完整的數(shù)據(jù)流和堆棧信息，便于定位、修復(fù)和驗(yàn)證安全漏洞；

3

IAST可以在完成應(yīng)用程序功能測(cè)試的同時(shí)完成安全測(cè)試，不受軟件復(fù)雜度的影響，適用于各種復(fù)雜度的軟件產(chǎn)品。

因此，為進(jìn)一步完善應(yīng)用系統(tǒng)安全測(cè)試體系，強(qiáng)化應(yīng)用系統(tǒng)安全檢測(cè)能力，有效提升應(yīng)用系統(tǒng)漏洞檢測(cè)效率及準(zhǔn)確率、降低漏洞修復(fù)成本及誤報(bào)率，全面提升行內(nèi)應(yīng)用系統(tǒng)安全性、可靠性與穩(wěn)定性，該用戶決定引入IAST交互式應(yīng)用安全測(cè)試平臺(tái)。

守衛(wèi)金融安全

靈脈IAST構(gòu)筑自動(dòng)化安全防線

靈脈IAST灰盒安全測(cè)試平臺(tái)是全球首個(gè)代碼疫苗內(nèi)核驅(qū)動(dòng)的新一代交互式應(yīng)用安全測(cè)試平臺(tái)，也是國(guó)內(nèi)語(yǔ)言支持?jǐn)?shù)量和測(cè)試覆蓋場(chǎng)景類型數(shù)量均第一、具備探針技術(shù)領(lǐng)先和實(shí)踐成熟度的IAST產(chǎn)品，率先具備API接口安全檢測(cè)及敏感數(shù)據(jù)鏈路追蹤能力，透明集成于現(xiàn)有IT流程，自動(dòng)化完成業(yè)務(wù)代碼上線前安全測(cè)試，重點(diǎn)覆蓋90%以上中高危漏洞，防止應(yīng)用帶病上線，保障數(shù)字供應(yīng)鏈開(kāi)發(fā)環(huán)節(jié)的安全運(yùn)行。

全面的應(yīng)用漏洞檢測(cè)

1

靈脈IAST獨(dú)具六大檢測(cè)模式，動(dòng)態(tài)污點(diǎn)追蹤模式（被動(dòng)插樁）、交互式缺陷定位模式(主動(dòng)插樁)、流量代理/VPN模式、主機(jī)流量嗅探和旁路流量鏡像模式、Web日志分析模式，能夠全面覆蓋漏洞場(chǎng)景，多角度深入挖掘其他測(cè)試工具難以發(fā)現(xiàn)的安全缺陷及漏洞。

2

靈脈IAST不僅可以檢測(cè)出傳統(tǒng)OWASP TOP10中的主流Web應(yīng)用漏洞，還能檢測(cè)出一些和業(yè)務(wù)設(shè)計(jì)缺陷息息相關(guān)的業(yè)務(wù)邏輯漏洞，如水平越權(quán)、垂直越權(quán)、批量注冊(cè)、驗(yàn)證碼繞過(guò)及短信轟炸等。

3

除了全面的檢測(cè)范圍，靈脈IAST在檢測(cè)時(shí)提供具體的定位信息，幫助開(kāi)發(fā)人員迅速定位并修復(fù)問(wèn)題，減少修復(fù)的時(shí)間和成本；同時(shí)可輕松集成到CI/CD流程中，并將漏洞結(jié)果同步至Jira、禪道等缺陷跟蹤平臺(tái)，實(shí)現(xiàn)完善的漏洞全生命周期閉環(huán)跟蹤管理。

深入的供應(yīng)鏈風(fēng)險(xiǎn)治理

1

基于懸鏡獨(dú)有的代碼疫苗專利技術(shù)，靈脈IAST可通過(guò)單探針精準(zhǔn)檢測(cè)應(yīng)用實(shí)際運(yùn)行過(guò)程中動(dòng)態(tài)加載的第三方組件及依賴，識(shí)別引入的開(kāi)源組件安全漏洞及開(kāi)源許可證風(fēng)險(xiǎn)，并對(duì)漏洞的利用難度、許可證的兼容性給出可靠建議；

2

支持導(dǎo)入導(dǎo)出SBOM清單，快速建立供應(yīng)鏈資產(chǎn)數(shù)據(jù)庫(kù)；

3

全面接入XSBOM數(shù)字供應(yīng)鏈安全情報(bào)，實(shí)現(xiàn)自動(dòng)化獲取情報(bào)-檢測(cè)漏洞-驗(yàn)證漏洞-漏洞防護(hù)的過(guò)程。

兼具API安全和數(shù)據(jù)安全

1

傳統(tǒng)基于流量、日志分析的API安全難以適用微服務(wù)、云原生等新型場(chǎng)景，靈脈IAST基于探針技術(shù)深入應(yīng)用內(nèi)部，可針對(duì)API風(fēng)險(xiǎn)進(jìn)行代碼級(jí)的分析。

2

靈脈IAST可檢測(cè)敏感信息泄露威脅，如手機(jī)號(hào)、身份證、銀行卡號(hào)等，追蹤敏感數(shù)據(jù)在應(yīng)用間產(chǎn)生-處理-流轉(zhuǎn)-輸出-存儲(chǔ)-銷毀的全生命周期，獲取包含敏感信息接口的調(diào)用時(shí)間、調(diào)用來(lái)源、請(qǐng)求與響應(yīng)等詳細(xì)信息。

3

支持靈活定義敏感數(shù)據(jù)檢測(cè)規(guī)則，并支持分類分級(jí)的數(shù)據(jù)安全治理，結(jié)合鏈路拓?fù)鋱D，可視化展示敏感數(shù)據(jù)和漏洞風(fēng)險(xiǎn)的傳遞路徑。

領(lǐng)先的強(qiáng)大性能與兼容性

1

基于懸鏡百萬(wàn)級(jí)的插樁應(yīng)用實(shí)踐經(jīng)驗(yàn)，靈脈IAST的探針CPU占用均值<5%、內(nèi)存影響<5%、QPS影響率<5%，性能遙遙領(lǐng)先。

2

基于懸鏡自研的XSensor主機(jī)級(jí)Agent安裝助手，靈脈IAST可對(duì)普通進(jìn)程、容器內(nèi)進(jìn)程批量安裝、升級(jí)、卸載Agent，Java Agent還支持在不重啟應(yīng)用和容器的情況下安裝或卸載Agent，有效簡(jiǎn)化Agent插樁安裝流程、提升管理效率。

3

此外，為應(yīng)對(duì)應(yīng)用系統(tǒng)自身配置較低或高并發(fā)的極端情況，靈脈IAST提供了探針自動(dòng)恢復(fù)和熔斷機(jī)制，包括CPU、內(nèi)存、GC熔斷和QPS高頻限流熔斷，用戶可以結(jié)合自身業(yè)務(wù)情況自定義熔斷閾值，確保業(yè)務(wù)優(yōu)先；在低于熔斷閾值并穩(wěn)定保持一段時(shí)間后，探針會(huì)自動(dòng)恢復(fù)正常運(yùn)行。

作為懸鏡第三代DevSecOps數(shù)字供應(yīng)鏈安全管理體系中上線前測(cè)試環(huán)節(jié)的應(yīng)用風(fēng)險(xiǎn)發(fā)現(xiàn)平臺(tái)，靈脈IAST連續(xù)三年市場(chǎng)應(yīng)用率第一，并在國(guó)內(nèi)首批通過(guò)中國(guó)信通院開(kāi)展的《交互式應(yīng)用程序測(cè)試工具》評(píng)測(cè)和CWE兼容性認(rèn)證。截至目前，靈脈IAST探針累計(jì)插樁應(yīng)用達(dá)300萬(wàn)+，廣泛實(shí)踐于金融、泛互聯(lián)網(wǎng)、政企、通信、能源等行業(yè)頭部用戶，幫助用戶構(gòu)建起安全、高效、智能的企業(yè)數(shù)字應(yīng)用，夯實(shí)數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展的技術(shù)底座，持續(xù)守護(hù)中國(guó)數(shù)字供應(yīng)鏈安全。