近日,数说安全针对中国网络安全市场宏观趋势、政策法规、市场数据、技术方向、企业战略与经营、产业投融资等多维度进行深度分析和详细研究,发布了《2024中国网络安全市场年报》,比瓴科技被评为2023网络安全新星代表企业。

  随着数字化转型的不断深入,企业面临着日益复杂且严峻的网络安全威胁,有效的威胁建模对于企业至关重要。在此背景下,大语言模型(LLM)技术提供了良好的安全底座。比瓴通过结合大模型和知识增强技术建立威胁建模系统,帮助企业落地威胁建模活动。

  瓴知-应用安全威胁建模系统(TMA) 以安全专家知识库为核心,增强式LLM、需求识别及决策引擎为驱动,通过自动化安全需求识别、标签筛选的方式向用户提供轻量化、便捷式的安全威胁建模能力,为企业安全开发活动赋能。

  安全专家知识库基于核心内容交付团队十数年安全行业积累所形成的安全专家知识库,为企业所面临的各类常见安全问题提供覆盖全流程的安全能力;

  安全需求识别及决策引擎通过不同维度标签体系将安全专家知识库数据条目之间建立关联为上层应用提供了迅速便捷的安全基线分析、识别能力;

  增强式LLM引擎基于私域知识召回的增强式大语言模型(LLM)生成引擎,专注于实现复杂或特定深度安全知识的迅速检索与查询;

  自动化安全需求识别通过大模型对开发设计文档进行总结,通过向量匹配和多路召回等技术快速实现安全威胁建模。

  某保险集团经典案例

   项目背景 某保险集团积极推进数字化转型建设,不断开展科技创新,丰富业务生态,以向客户提供更优质的服务。为贯彻安全左移理念,完善安全开发体系建设,提升企业信息化业务的安全性,开展本项目建设。拟在立项、需求、开发、测试、发布等阶段增加安全活动,同时尽量降低对原有工作流程的影响。

  方案实施 比瓴科技根据用户需求建设瓴域安全开发管理平台产品,与用户内部项目管理系统、需求管理系统、IT服务管理系统进行对接。把安全融入开发过程,实施安全过程保障。

  安全开发管理平台以“API即服务”的形式嵌入集团开发流程,在软件开发不同阶段提供不同能力,降低安全开发阻力,为安全开发活动赋能。

  立项阶段: 对接项目管理系统,提供系统定级能力,通过问卷形式,辅助应用系统安全定级工作,保障安全资源分配的合理性。

  需求、开发、测试阶段: 对接需求管理平台,通过内置知识库辅助安全需求的输出,提供安全设计、安全组件以及安全测试要点等内容,并同步记录安全需求的提出、实现、验证情况。

  发布阶段: 对接IT服务管理系统,记录经过安全需求验证的系统的发版信息。

  效果评估 从试点项目安全开发体系运行状态来看,安全需求输出较以往更加规范化,安全需求覆盖度显著提升,测试发现安全漏洞数量明显下降,实现了应用安全水平提升、安全开发总成本降低的目标