悬镜灵脉在灰盒测试领域创新实践：低成本+高效率

安全需要考虑成本，原因之一就是因为安全建设是一个无限期的投入过程，甚至可能很长时间内都无法明显看到回报，这一点在企业堆叠大量设备、投入大量人力物力后，却得到一堆更耗费精力的噪声数据的情况中尤为，明显。

交互式应用安全测试（IAST）和软件组件分析（SCA）是近一年来测试效果好，且比较新的技术，也是践行DevSecOps最佳实施方案。IAST解决方案的出现是帮助企业识别和管理应用系统潜在的漏洞，从而规避安全风险，降低企业运营成本。

Verizon 公司刚刚发布一年一度的《2019年 数据泄露调查报告 (DBIR)》(2019 data breach investigations report)，分析了包含2013起已经证实的数据泄露事件在内的41,686起安全事件。

52%的漏洞以黑客攻击为特征，可见web应用程序攻击仍然是数据泄露最常见的载体方式之一。目前还是有很多企业以业务优先，安全滞后的观点，上线后补救，但带来的后果也是显而易见的，比如修复成本高，修复周期长等困扰。

根据某研究机构发布的2018年开源安全和风险分析报告显示，被扫描的应用程序中存在96%的开源组件，每个应用程序中平均有200多个组件。很多企业开发人员并不知道他们使用多少甚至使用什么类型的开源组件，显而更不知道使用过的开源组件是否存在安全漏洞。

有些企业，特别是对安全要求非常高的，金融、证券、保险、能源等行业，所在的开发团队和安全团队会用一些静态应用安全测试工具（SAST)和软件成份分析解决方案（SCA）来识别web应用程序中的安全缺陷和漏洞，从实际使用效果来看，静态应用安全测试工具存在漏报率高，漏洞检测不全的问题，当然资金充裕的企业，也会采用动态应用安全测试工具（DAST），俗称白盒测试，即源代码审计工具，悬镜安全在和众多政企客户交流的过程中发现白盒测试误报率高，很多开发人员拿到报告时还需要确认到底是不是真的漏洞，长此以往，开发人员对白盒测试工具出具的报告也不是很信服，导致最终漏洞修复成本高。

根据我们多年攻防实践和客户服务经验，IAST是目前web应用安全领域最佳实践，也是最好能推动企业建立DevSecOps，推动企业软件生命周期流程规范化建设。

很多人会问：我们之前买了这么多的安全设备，类似的安全检测工具，为什么还要再购买灰盒安全测试工具呢？谈到这里，我们有一个观点分享给大家。在软件开发生命周期环节中，每一个都是必不可缺的。IAST在软件开发生命周期早期阶段是发现漏洞的能力要强于白盒测试和黑盒测试，且在修复漏洞时更容易、更快速且成本也是最低的。IAST也是更容易集成到CI/CD和devops工作流程中。单元测试环节，采用人工+自动化的形式进行源代码安全扫描，进一步发现代码层面是否存在漏洞。上线运营环节，采用常规的黑盒测试进行日常的监控与检测，避免新爆出漏洞不知道或者晚知道而影响业务的正常运行。灰盒安全测试工具的出现不是要取代某个工具，我们希望不同的阶段采用最适合的工具做到效果最大化，而所实施的一系列的行为动作都是为了保证我们的应用系统更加安全，让用户用的放心、安全。

 

悬镜安全参加了WIT2019网络安全创新年度评选，历时近3个月，86天，累计百余个项目申报及提名，经由大众投票、甲方投票、专家投票及现场投票的公平、完善的评审，悬镜安全旗下悬镜灵脉AI-IAST渗透测试平台荣获年度创新产品奖。

下面是组委会针对悬镜灵脉AI-IAST渗透测试平台的点评：

和以往的安全测试方案不同的是，灵脉创新地采用了AI技术+IAST架构。通过AI训练，将人工漏洞检测经验转化为机器学习样本，深度挖掘客户业务场景，使系统具备全面自适应能力。而交互式应用安全测试（Interactive Application Security Testing），也称灰盒测试，在《2019企业安全威胁统一应对指南》有所提及，其融合了DAST和SAST技术的优点，大大提高了安全测试的效率和准确率。人工渗透正在从以往的测试成本高、专业要求高、检测效率低走向自适应的低成本自动化的模式，并借助第三方平台高效地应用到从开发到生产的应用生命周期全流程。

同时评委会专家在颁奖典礼上给予了悬镜灵脉高度的评价：

• 人工智能靠谱落地，助力真正实现DevSecOps
• 将安全检查点前置，在开发过程中强化安全性，减少业务上线后漏洞，降低安全风险。DevSecOps理念的践行落地。产品思路创新，准确瞄准用户实际问题。