立即咨询

电话咨询

微信咨询

立即试用
商务合作

默安科技 雳鉴STAC-威胁建模分析系统

威胁建模分析系统专注解决软件开发流程(SDL)中需求与设计阶段的安全问题。分析项目场景与软件架构,自动化识别可能存在的威胁,提出安全需求。在设计之初就考虑安全问题,以最小成本解决安全风险,为软件植入“先天的”安全基因。
立即咨询
icon默安科技雳鉴STAC威胁建模分析系统icon

默安科技雳鉴 STAC 系统是默安科技自主知识产权的安全产品,雳鉴 STAC 专注于解决软件开发流程中需求与设计阶段的安全问题,采用自动化技术,能够做到场景精准匹配,自定义更新知识库储备,同时可直接输出威胁建模报告,在需求和研发阶段无缝集成,既可高效率跨部门传达系统威胁,又可文字形式准确描述安全需求。在设计之初就为客户考虑安全问题,以最小成本解决安全风险,为软件植入先天安全基因。

icon产品架构icon

雳鉴STAC是一款在业务开发前应用的安全需求分析工具。用户只需在雳鉴 STAC 的管理界面配置需要分析的应用,雳鉴 STAC 会通过发起调查问卷的方式,调研业务单元所涉及到的场景与架构,并关联知识库中预设完成的安全内容,在需求验证后快速生成威胁建模报告,提供专业安全解决方案。雳鉴 STAC 主要包括应用管理模块、知识库管理模块、数据分析模块、系统管理模块等模块组成。

icon产品功能icon

默安科技雳鉴 STAC 专注为企业或组织机构提供软件安全开发流程中产品设计阶段的安全产品解决方案,基于人工智能算法进行分析,客户提供精准的数据分析解决方案,覆盖全场景,以抽象模型的概念,根据软件内部数据传递、变换的关系,自顶向下逐层分解产品需求,帮助企业建立自主可控的安全需求分析解决方案。建立健全的安全需求管理流程

默安科技雳鉴系统通过项目经理建立威胁分析应用,不同的应用指定不同的安全人员,安全人员通过查看场景问答和审核威胁及对应的安全需求,每个安全人员的威胁确认工作可以做到“定岗定责”。 同时,项目经理较安全人员更加熟悉业务系统的架构和功能,采用通过项目经理建立管理应用,并完成调查问卷的方式,极大缩短了安全人员前期对于功能场景的调研,做到“专人做专事”,建立起一套从设计到开发再到产品上线的安全需求管理流程,使安全成为整个 IT 团队(包括项目经理、开发及安全团队)每个人的责任,安全贯穿从开发到上线整个业务生命周期的各个环节,让人人都能参与安全管理流程。

威胁周期闭环管理

传统的威胁建模工作需要专业的安全人员执行,人工输出安全需求分析报告,并人为主动跟踪威胁,但而默安科技雳鉴系统利用全流程自动化的方式协助我们的安全专家跟踪威胁的处理流程,从威胁提出到安全需求验证,提供威胁的全流程闭环管理。

沉淀安全架构

默安威胁建模分析系统将应用安全问题逐层分析并将结果可视化呈现,运行时自动化挖掘应用之间同类潜在威胁和安全需求,将公共威胁抽象为顶层安全架构设计,不断沉淀企业自身的安全架构。

全场景知识库覆盖

威胁建模是一个不断循环的动态模型,知识库需要随着时间的推移不断更改调整,以此来适应并发现新的威胁和攻击。 雳鉴威胁建模分析系统除涵盖了专业的内置知识库外,还为用户提供了自定义新增、编辑、删除知识库的操作。针对用户的特殊场景,提供灵活的场景、威胁、安全需求、落地方案的自定义功能,通过用户的维护和完善,使平台更加匹配企业自身业务,提高威胁建模的准确性。

icon产品价值icon
早期风险预警

依据“需求-设计-开发-测试-上线”的软件开发生命周期,利用威胁建模,将安全活动提前至产品设计或架构评审阶段,在新系统或新功能开发的设计阶段增加安全需求说明。通 过威胁建模实现软件安全设计工作,使潜在的安全问题无需花费过多成本即可相对容易解决。在早期发现并规避安全风险可以为后续的 SDL 流程减轻压力。 威胁建模的工作过程也是对开发和业务的安全意识培训,在设计阶段建立安全性需求,降低安全设计缺陷导致的修复成本,能够极大的提高系统的安全质量。。

与研发、安全测试工作深度融合

根据威胁建模结果,为研发提供一份从业务场景功能到对应存在的威胁再到威胁解决方案的文档,可以有效降低安全人员和研发反复沟通的频率并深入理解安全需求。安全人员可以通过梳理业务功能,通过威胁建模的方式发现可能存在的新风险点,结合渗透测试,查看是否有控制措施,控制措施是否有效,并能减少渗透测试遗漏的测试点。

赋能非安全项目成员

通过建立起一套从设计到测试的安全需求管理流程,使安全成为整个 IT 团队(包括项目经理、开发及安全团队)每个人的责任,安全贯穿从开发到运营整个业务生命周期的各个环节,将安全能力赋予不懂安全的项目成员,共同解决项目安全风险。

安全风险闭环管理

提供风险关联,风险确认,风险忽略等功能,覆盖威胁生命周期中的每个阶段。提供威胁详情、威胁备注、威胁附件、与威胁相关联的安全需求报告、与威胁相关联的安全设计方案、与威胁相关联的安全测试用例等帮助研发人员建立安全意识并在开发过程中尽可能规避风险。

满足合规要求

威胁建模是国际安全行业通用的方法论,帮助项目团队遵守全球法律法规的要求,并保障产品的安全性。

形成DevSecOps 解决方案

雳鉴系统全流程、零门槛实现研发能力的安全赋能及升级,通过威胁建模、SAST 测试、IAST 测试到运营全流程的嵌入式解决方案,在不增加用户教育成本、改变工作流程的前提下,实现系统开发全流程的安全能力导入。落实了 devsecops 中“安全是整个 IT 团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发到运营整个业务生命周期的每一个环节”的核心理念。

icon场景及应用icon

产品设计及线上运行阶段

在软件开发的产品设计、架构设计阶段,将安全需求分析嵌入其中,发现系统中存在的漏洞和风险。该过程中要尽量保障知识库与产品实际情况的重合性和覆盖度,支持手动丰富知识库总量,自动化匹配需求及相关信息。 在软件开发的产品上线运行阶段,为渗透测试提供辅助工作,尽可能发现所有漏洞。并且默安科技可提供渗透测试服务,深度挖掘系统中存在的漏洞,并借助威胁分析报告,评估安全需求方案是否有效,降低系统安全风险。

icon公司介绍icon
icon技术团队icon
从业经历
团队由原供职于阿里巴巴、蚂蚁金服、 腾讯、百度、华为、趋势科技、绿盟等 知名企业的多名安全专家组成。在互联网金融、电商、运营商、政府、 金融、物流等领域都有非常成熟的安全经验。
技术实力
拥有多项技术专利和软件著作权,涉及网站防篡改、设备识别、业务逻辑漏洞等多个前沿领域。
 
 
实战经验
为G20峰会保驾护航,圆满完成“两会”信息安全保障工作。为第十九次全国代表大会、世界互联网大会乌镇峰会、进博会、改革开放40周年暨港珠澳大桥开通等重要活动提供网络安全保障服务。
三大实验室
影武者实验室:为Apple、Microsoft、Google、IBM等国际知名公司发现漏洞并获得致谢。数据实验室:研究并发布业内首个AI安全大脑。加特林实验室:多次红蓝对抗中成绩优异。云计算安全实验室:研发出检测响应一体化的云平台安全解决方案业内率先推出混合云安全管理平台。
icon资质证书icon
✓ 国家互联网应急中心浙江分中心合作支撑单位
✓ 浙江省互联网协会网络安全技术服务支撑单位
✓ 信息安全服务资质证书(安全开发类一级)
✓ 信息安全服务资质认证证书(信息安全风险评 估三级服务资质) ✓ 信息安全服务资质认证证书(信息系统安全运 维三级服务资质) ✓ 中国通信企业协会通信网络安全服务能力评定 证书(一级风险评估能力)
✓ ISO9001质量管理体系认证
✓ 杭州市高新技术企业
icon资质证书icon
✓ 2017年最具投资价值企业
✓ 2018中国网络安全产业发展及投资价值60强
✓ 2018CCF-GAIR“AI+安全”最佳商用成长奖
✓ 2018CSS Future Power 50 安全新锐力量
✓ 2018《互联网周刊》“数字中国推动者TOP100”
✓ 2018ISC“安全创客汇” 年度十强 ✓ IDC中国威胁情报安全服务市场创新者
✓ 2018安全牛“网络安全行业全景图”酷厂商
✓ 2018年度双11企业服务企服英雄榜第18位
✓ 政务云安全方案获2018年广东省电子政务优秀案例
✓ 万科应用系统开发安全项目获i黑马2018企业服务企服案例TOP50
✓ 2018年赛迪网络安全潜力企业榜80强
✓ 2019年杭州准独角兽企业

产品推荐

网易云商·营销自动化
网易云商·营销自动化,整合企业全域数据,配合网易大数据能力,建立深度用户画像,提供丰富的营销工具,自动执行精细化分群运营策略,全程数据监测还原真实用户旅程,让企业营销更简单。
免费试用
查看详情
致远互联A8数智化会议管理系统
致远互联A8数智化会议管理系统,聚焦办会的专用产品,专有安装程序、产品线,纯净化办会专用APP,信息聚集,两种应用模式,突出会议应用,办会界面风格。实际招标采购中,会议,特别是无纸化会议是独立招标。实际客户场景中,无纸化会议是独立的系统,与协同办公平台,互相独立。
免费试用
查看详情
Boardmix博思白板协同解决方案
Boardmix博思白板协同解决方案,支持插入任意文件,支持插入任意媒体资源,支持嵌入任意网站和第三方在线产品。一体化工具平台,支持思维导图、流程图、综合绘图、画笔、文档、看板、表格、资源库等多种创意工作和内容;支持每一个参与者自由挥洒自己的创意。
免费试用
查看详情
简单云研发效能度量ezInsight
ezInsight是一款简单云自研的效能洞察分析产品。面向企业管理层、决策者,基于研发过程的数据分析,提供跨项目、跨仓库的效能度量以及人员分析能力,推动整个软件生命周期的持续改进和组织人才发展。
免费试用
查看详情