近日,數(shù)說安全針對中國網(wǎng)絡(luò)安全市場宏觀趨勢、政策法規(guī)、市場數(shù)據(jù)、技術(shù)方向、企業(yè)戰(zhàn)略與經(jīng)營、產(chǎn)業(yè)投融資等多維度進行深度分析和詳細(xì)研究,發(fā)布了《2024中國網(wǎng)絡(luò)安全市場年報》,比瓴科技被評為2023網(wǎng)絡(luò)安全新星代表企業(yè)。
隨著數(shù)字化轉(zhuǎn)型的不斷深入,企業(yè)面臨著日益復(fù)雜且嚴(yán)峻的網(wǎng)絡(luò)安全威脅,有效的威脅建模對于企業(yè)至關(guān)重要。在此背景下,大語言模型(LLM)技術(shù)提供了良好的安全底座。比瓴通過結(jié)合大模型和知識增強技術(shù)建立威脅建模系統(tǒng),幫助企業(yè)落地威脅建?;顒?。
瓴知-應(yīng)用安全威脅建模系統(tǒng)(TMA) 以安全專家知識庫為核心,增強式LLM、需求識別及決策引擎為驅(qū)動,通過自動化安全需求識別、標(biāo)簽篩選的方式向用戶提供輕量化、便捷式的安全威脅建模能力,為企業(yè)安全開發(fā)活動賦能。
安全專家知識庫基于核心內(nèi)容交付團隊十?dāng)?shù)年安全行業(yè)積累所形成的安全專家知識庫,為企業(yè)所面臨的各類常見安全問題提供覆蓋全流程的安全能力;
安全需求識別及決策引擎通過不同維度標(biāo)簽體系將安全專家知識庫數(shù)據(jù)條目之間建立關(guān)聯(lián)為上層應(yīng)用提供了迅速便捷的安全基線分析、識別能力;
增強式LLM引擎基于私域知識召回的增強式大語言模型(LLM)生成引擎,專注于實現(xiàn)復(fù)雜或特定深度安全知識的迅速檢索與查詢;
自動化安全需求識別通過大模型對開發(fā)設(shè)計文檔進行總結(jié),通過向量匹配和多路召回等技術(shù)快速實現(xiàn)安全威脅建模。
某保險集團經(jīng)典案例
項目背景 某保險集團積極推進數(shù)字化轉(zhuǎn)型建設(shè),不斷開展科技創(chuàng)新,豐富業(yè)務(wù)生態(tài),以向客戶提供更優(yōu)質(zhì)的服務(wù)。為貫徹安全左移理念,完善安全開發(fā)體系建設(shè),提升企業(yè)信息化業(yè)務(wù)的安全性,開展本項目建設(shè)。擬在立項、需求、開發(fā)、測試、發(fā)布等階段增加安全活動,同時盡量降低對原有工作流程的影響。
方案實施 比瓴科技根據(jù)用戶需求建設(shè)瓴域安全開發(fā)管理平臺產(chǎn)品,與用戶內(nèi)部項目管理系統(tǒng)、需求管理系統(tǒng)、IT服務(wù)管理系統(tǒng)進行對接。把安全融入開發(fā)過程,實施安全過程保障。
安全開發(fā)管理平臺以“API即服務(wù)”的形式嵌入集團開發(fā)流程,在軟件開發(fā)不同階段提供不同能力,降低安全開發(fā)阻力,為安全開發(fā)活動賦能。
立項階段: 對接項目管理系統(tǒng),提供系統(tǒng)定級能力,通過問卷形式,輔助應(yīng)用系統(tǒng)安全定級工作,保障安全資源分配的合理性。
需求、開發(fā)、測試階段: 對接需求管理平臺,通過內(nèi)置知識庫輔助安全需求的輸出,提供安全設(shè)計、安全組件以及安全測試要點等內(nèi)容,并同步記錄安全需求的提出、實現(xiàn)、驗證情況。
發(fā)布階段: 對接IT服務(wù)管理系統(tǒng),記錄經(jīng)過安全需求驗證的系統(tǒng)的發(fā)版信息。
效果評估 從試點項目安全開發(fā)體系運行狀態(tài)來看,安全需求輸出較以往更加規(guī)范化,安全需求覆蓋度顯著提升,測試發(fā)現(xiàn)安全漏洞數(shù)量明顯下降,實現(xiàn)了應(yīng)用安全水平提升、安全開發(fā)總成本降低的目標(biāo)
相關(guān)稿件