近日，數(shù)說安全針對中國網(wǎng)絡(luò)安全市場宏觀趨勢、政策法規(guī)、市場數(shù)據(jù)、技術(shù)方向、企業(yè)戰(zhàn)略與經(jīng)營、產(chǎn)業(yè)投融資等多維度進行深度分析和詳細研究，發(fā)布了《2024中國網(wǎng)絡(luò)安全市場年報》，比瓴科技被評為2023網(wǎng)絡(luò)安全新星代表企業(yè)。

　　隨著數(shù)字化轉(zhuǎn)型的不斷深入，企業(yè)面臨著日益復(fù)雜且嚴峻的網(wǎng)絡(luò)安全威脅，有效的威脅建模對于企業(yè)至關(guān)重要。在此背景下，大語言模型(LLM)技術(shù)提供了良好的安全底座。比瓴通過結(jié)合大模型和知識增強技術(shù)建立威脅建模系統(tǒng)，幫助企業(yè)落地威脅建模活動。

　　瓴知-應(yīng)用安全威脅建模系統(tǒng)（TMA） 以安全專家知識庫為核心，增強式LLM、需求識別及決策引擎為驅(qū)動，通過自動化安全需求識別、標簽篩選的方式向用戶提供輕量化、便捷式的安全威脅建模能力，為企業(yè)安全開發(fā)活動賦能。

　　安全專家知識庫基于核心內(nèi)容交付團隊十數(shù)年安全行業(yè)積累所形成的安全專家知識庫，為企業(yè)所面臨的各類常見安全問題提供覆蓋全流程的安全能力;

　　安全需求識別及決策引擎通過不同維度標簽體系將安全專家知識庫數(shù)據(jù)條目之間建立關(guān)聯(lián)為上層應(yīng)用提供了迅速便捷的安全基線分析、識別能力;

　　增強式LLM引擎基于私域知識召回的增強式大語言模型(LLM)生成引擎，專注于實現(xiàn)復(fù)雜或特定深度安全知識的迅速檢索與查詢；

　　自動化安全需求識別通過大模型對開發(fā)設(shè)計文檔進行總結(jié)，通過向量匹配和多路召回等技術(shù)快速實現(xiàn)安全威脅建模。

　　某保險集團經(jīng)典案例

　　 項目背景 某保險集團積極推進數(shù)字化轉(zhuǎn)型建設(shè)，不斷開展科技創(chuàng)新，豐富業(yè)務(wù)生態(tài)，以向客戶提供更優(yōu)質(zhì)的服務(wù)。為貫徹安全左移理念，完善安全開發(fā)體系建設(shè)，提升企業(yè)信息化業(yè)務(wù)的安全性，開展本項目建設(shè)。擬在立項、需求、開發(fā)、測試、發(fā)布等階段增加安全活動，同時盡量降低對原有工作流程的影響。

　　方案實施 比瓴科技根據(jù)用戶需求建設(shè)瓴域安全開發(fā)管理平臺產(chǎn)品，與用戶內(nèi)部項目管理系統(tǒng)、需求管理系統(tǒng)、IT服務(wù)管理系統(tǒng)進行對接。把安全融入開發(fā)過程，實施安全過程保障。

　　安全開發(fā)管理平臺以“API即服務(wù)”的形式嵌入集團開發(fā)流程，在軟件開發(fā)不同階段提供不同能力，降低安全開發(fā)阻力，為安全開發(fā)活動賦能。

　　立項階段： 對接項目管理系統(tǒng)，提供系統(tǒng)定級能力，通過問卷形式，輔助應(yīng)用系統(tǒng)安全定級工作，保障安全資源分配的合理性。

　　需求、開發(fā)、測試階段： 對接需求管理平臺，通過內(nèi)置知識庫輔助安全需求的輸出，提供安全設(shè)計、安全組件以及安全測試要點等內(nèi)容，并同步記錄安全需求的提出、實現(xiàn)、驗證情況。

　　發(fā)布階段： 對接IT服務(wù)管理系統(tǒng)，記錄經(jīng)過安全需求驗證的系統(tǒng)的發(fā)版信息。

　　效果評估 從試點項目安全開發(fā)體系運行狀態(tài)來看，安全需求輸出較以往更加規(guī)范化，安全需求覆蓋度顯著提升，測試發(fā)現(xiàn)安全漏洞數(shù)量明顯下降，實現(xiàn)了應(yīng)用安全水平提升、安全開發(fā)總成本降低的目標