近日,數(shù)說安全針對中國網(wǎng)絡安全市場宏觀趨勢、政策法規(guī)、市場數(shù)據(jù)、技術方向、企業(yè)戰(zhàn)略與經(jīng)營、產業(yè)投融資等多維度進行深度分析和詳細研究,發(fā)布了《2024中國網(wǎng)絡安全市場年報》,比瓴科技被評為2023網(wǎng)絡安全新星代表企業(yè)。
隨著數(shù)字化轉型的不斷深入,企業(yè)面臨著日益復雜且嚴峻的網(wǎng)絡安全威脅,有效的威脅建模對于企業(yè)至關重要。在此背景下,大語言模型(LLM)技術提供了良好的安全底座。比瓴通過結合大模型和知識增強技術建立威脅建模系統(tǒng),幫助企業(yè)落地威脅建?;顒?。
瓴知-應用安全威脅建模系統(tǒng)(TMA) 以安全專家知識庫為核心,增強式LLM、需求識別及決策引擎為驅動,通過自動化安全需求識別、標簽篩選的方式向用戶提供輕量化、便捷式的安全威脅建模能力,為企業(yè)安全開發(fā)活動賦能。
安全專家知識庫基于核心內容交付團隊十數(shù)年安全行業(yè)積累所形成的安全專家知識庫,為企業(yè)所面臨的各類常見安全問題提供覆蓋全流程的安全能力;
安全需求識別及決策引擎通過不同維度標簽體系將安全專家知識庫數(shù)據(jù)條目之間建立關聯(lián)為上層應用提供了迅速便捷的安全基線分析、識別能力;
增強式LLM引擎基于私域知識召回的增強式大語言模型(LLM)生成引擎,專注于實現(xiàn)復雜或特定深度安全知識的迅速檢索與查詢;
自動化安全需求識別通過大模型對開發(fā)設計文檔進行總結,通過向量匹配和多路召回等技術快速實現(xiàn)安全威脅建模。
某保險集團經(jīng)典案例
項目背景 某保險集團積極推進數(shù)字化轉型建設,不斷開展科技創(chuàng)新,豐富業(yè)務生態(tài),以向客戶提供更優(yōu)質的服務。為貫徹安全左移理念,完善安全開發(fā)體系建設,提升企業(yè)信息化業(yè)務的安全性,開展本項目建設。擬在立項、需求、開發(fā)、測試、發(fā)布等階段增加安全活動,同時盡量降低對原有工作流程的影響。
方案實施 比瓴科技根據(jù)用戶需求建設瓴域安全開發(fā)管理平臺產品,與用戶內部項目管理系統(tǒng)、需求管理系統(tǒng)、IT服務管理系統(tǒng)進行對接。把安全融入開發(fā)過程,實施安全過程保障。
安全開發(fā)管理平臺以“API即服務”的形式嵌入集團開發(fā)流程,在軟件開發(fā)不同階段提供不同能力,降低安全開發(fā)阻力,為安全開發(fā)活動賦能。
立項階段: 對接項目管理系統(tǒng),提供系統(tǒng)定級能力,通過問卷形式,輔助應用系統(tǒng)安全定級工作,保障安全資源分配的合理性。
需求、開發(fā)、測試階段: 對接需求管理平臺,通過內置知識庫輔助安全需求的輸出,提供安全設計、安全組件以及安全測試要點等內容,并同步記錄安全需求的提出、實現(xiàn)、驗證情況。
發(fā)布階段: 對接IT服務管理系統(tǒng),記錄經(jīng)過安全需求驗證的系統(tǒng)的發(fā)版信息。
效果評估 從試點項目安全開發(fā)體系運行狀態(tài)來看,安全需求輸出較以往更加規(guī)范化,安全需求覆蓋度顯著提升,測試發(fā)現(xiàn)安全漏洞數(shù)量明顯下降,實現(xiàn)了應用安全水平提升、安全開發(fā)總成本降低的目標
相關稿件