通过结合最先进的安全工具，改善您的网络安全态势

如今，市场上有很多网络安全工具。现在比以往任何时候都更重要的是，您决定使用的工具能够很好地协同工作。如果他们不这样做，你将无法得到完整的画面，你将无法从整体的角度分析整个系统。

这意味着您将无法采取正确的缓解措施来改善您的安全态势。以下是两个工具的例子，它们可以很好地协同工作，以及它们如何帮助您全面了解您的网络安全态势。

Debricked-安全地使用开源

开源如何构成安全风险？

开源本身并不是一种安全风险；在很多方面，它比专有软件更安全！由于代码是公开的，周围的社区更容易识别漏洞，修复也可以很快完成。

不过，你需要记住的是，开源中的任何漏洞都会被公开，并向任何人公开。这意味着，如果攻击者想在基于开放源代码构建的系统中发现漏洞，他们可能不需要付出太多努力。一切都在外面，向所有人开放。

开源安全是如何工作的？

正如上面所解释的，开源安全最常见的方面是漏洞。但据Debricked说，有三个主要方面需要记住：漏洞、许可证和健康。

影响这三个领域的主要问题是，在摄入包裹之前通常没有进行大量研究。开发人员通常没有时间担心将新的漏洞或不符合要求的许可证带入代码库。

Debricked的工具解决了这个问题，允许开发人员在安全性上花费更少的时间，而在他们要做的事情上花费更多的时间——编写代码。要做到这一点，需要识别漏洞和不符合要求的软件包，提出解决方案，并最终防止新软件包被导入。

在使用Debricked的工具时，如何提高我的开源安全性？

如上所述；它能让你在放手的同时获得更多的控制。您可以更好地了解漏洞和许可证，同时减少手动安全工作的时间和精力。

创新功能

Debricked喜欢关注两件事：

首先也是最重要的是数据质量。Debricked使用一系列来源，而不仅仅是传统来源，来构建他们的漏洞数据库。他们的工具基于机器学习，这有助于我们比任何人更快、更准确地发现新的漏洞。到目前为止，debricked在debricked支持的大多数语言中的准确率都超过了90%，debricked一直在寻找新的改进方法。

debricked称之为开放源代码健康，这是他们产品的最新添加，现在甚至还没有在该工具中提供。OSH是一种定量衡量开源项目福祉的方法。它为我们提供了一系列方面的数据，比如安全性（项目暴露漏洞的速度有多快？），社区健康（核心维护者是否仍在活动？），受欢迎程度（过去一年有多少次提交，数量是否在减少？）还有更多。它最大限度地减少了在导入软件包之前研究软件包所需的时间，并且更容易做出明智的决策

Preveneti和#8211的securiCAD；通过攻击模拟持续管理您的安全风险态势

Preveneti的securiCAD是管理网络安全风险态势的领先工具。它使用户能够全面、深入地了解网络安全风险态势，对风险进行分类和优先排序，并识别和优先排序具有最佳风险缓解效果的风险缓解行动。这是通过最先进的自动威胁建模和攻击模拟实现的。

模拟可以在云中或prem环境中连续运行–；为您的安全和DevOps团队提供持续的风险洞察和主动的缓解行动建议。由于模拟是在您环境的数字双胞胎/模型上进行的，因此您不会干扰您的真实环境，并且可以在模型中测试不同的假设情景和缓解措施，而不会产生任何风险。

该产品背后的科学依据是斯德哥尔摩皇家理工学院数十年的研究。securiCAD简化了确保您可以控制您的环境。这是通过分析您的配置来防止违规，允许您检测错误配置、潜在的横向移动，并确定漏洞的优先级来实现的。

securiCAD概念

生成模型：

通过securiCAD API导入数据，可以自动创建数字孪生模型。在AWS和Azure等云环境中，只需导入云配置数据。如果有漏洞扫描数据，也可以将其导入模型。然后自动创建环境的数字孪生模型。

在on-prem环境中，逻辑完全相同。您还可以手动创建模型–；在设计案例威胁建模中就是这样。向securiCAD提供模型数据后，定义高价值资产并选择攻击者配置文件。

模拟攻击：

模拟部分最好的一点是，它是在环境的数字孪生模型上完成的。这样测试就不会以任何方式影响你的生活环境。设置参数后，该工具会自动模拟针对数字孪生模型的数千次AI攻击。攻击者将尝试所有可能的攻击，并尝试接触和破坏基础设施的所有部分。

管理风险敞口——发现、优先考虑并缓解：

每个模拟都会生成一份包含详细信息的报告，包括：

• 环境的可视化
• 所有高价值资产组合的风险敞口。
• 攻击者访问您的高价值资产的关键路径。
• 体系结构中的阻塞点是模型中攻击（针对攻击步骤并对其产生影响）汇聚的资源。
• 威胁摘要，包括排名的威胁和描述。
• 降低风险敞口的建议缓解措施。

结合工具

来自Debricked的数据

由于开源安全最常见的方面是漏洞，因此获得正确的数据并根据应该缓解的风险做出决策非常重要。这就是为什么如果你的项目中有任何基于开源的代码，在分析你的环境时，你应该包括Debricked的漏洞数据库。

来自securiCAD的预测性攻击模拟

securiCAD支持来自Debricked等第三方的数据。这使您能够在一个地方收集所有数据，而且由于所有优先级都是自动完成的，这是对资源的有效利用。环境可能很难可视化，securiCAD让这变得很容易，因为所有概念、服务和配置都在digital twin中表示，如果您将其与Debricked的工具结合使用，也可以可视化依赖关系。

整体观

严重程度最高的漏洞并不总是最危险的。它通常是几个具有破坏性的漏洞的组合。Debricked提供漏洞数据，securiCAD将从主动和整体的角度分析架构。

有了完整的图片，您将发现环境中的弱点——攻击者进入您的高价值资产的关键路径——并了解您需要采取哪些措施来降低风险。随着时间的推移，不断地，大规模地。