圖:奇安信集團解決方案中心高級總監(jiān)金多
近年來,針對軟件供應鏈的攻擊事件一直呈快速增長態(tài)勢,造成的危害也日益嚴重�。2020年12月����,全球最著名的網絡安全管理軟件供應商SolarWinds遭遇國家級APT團伙高度復雜的供應鏈攻擊并植入木馬后門,導致包括美國關鍵基礎設施���、軍隊�、政府在內的18000多家企業(yè)客戶全部受到影響���,成為年度最嚴重的供應鏈安全事件�����。今年2月���,一名研究員通過一種新穎的軟件供應鏈攻擊方式,成功的侵入了微軟����、蘋果、PayPal��、特斯拉���、優(yōu)步等35家國際大型科技公司的內網����。
為應對軟件供應鏈安全挑戰(zhàn)����,美國總統(tǒng)拜登在2021年5月12日簽署了“加強國家網絡安全的行政命令”,明確提出要增強美國聯(lián)邦政府的軟件供應鏈安全���,該行政命令被認為是迄今為止美國聯(lián)邦政府為保護美國軟件供應鏈安全采取的最強勁措施����。在不久前結束的網絡安全行業(yè)年度盛會RSAC 2021上,供應鏈安全成為最熱門的主題之一��。
“在網絡空間對抗不斷升級�����、數(shù)字化加速轉型�����、國家戰(zhàn)略推動���、開源代碼被普遍使用的情況下�,軟件供應鏈安全建設勢在必行����。” 奇安信解決方案中心高級總監(jiān)金多表示�。供應鏈安全建設面向兩個主要的場景:第一是用戶視角的供應鏈安全管理場景;第二是開發(fā)者視角的供應鏈安全開發(fā)場景。針對這兩大場景��,奇安信提供的軟件供應鏈安全解決方案��,包括代碼安全能力��、軟件空間測繪能力、感知與自主測試能力���、自動化流程管理能力等四個部分。
其中��,代碼安全能力主要由代碼衛(wèi)士和開源衛(wèi)士提供���,代碼衛(wèi)士可實現(xiàn)源代碼安全缺陷及后門分析�����,開源衛(wèi)士能實現(xiàn)基于源代碼/二進制成分的風險分析��,幫助客戶盡早發(fā)現(xiàn)和規(guī)避軟件供應鏈安全風險���。軟件空間測繪能力由奇安信天問供應鏈安全分析系統(tǒng)實現(xiàn),可實現(xiàn)多維度的可持續(xù)數(shù)據與全面測繪���,以及軟件深度剖析與元素特征提取��。這兩項能力構成了軟件供應鏈安全解決方案的基礎套件����,滿足廣大企業(yè)客戶最普遍也是急迫的需求。
奇安信天眼的自動化滲透測試工具���,補天平臺的白帽測試等���,可基于攻防環(huán)境下發(fā)現(xiàn)軟件系統(tǒng)的問題和弱點;通過NGSOC和SOAR實現(xiàn)的流程管理,通過安全編排自動化與響應�����,縮短問題和事件響應事件��,顯著提高運營效率�����,實現(xiàn)基于流程的持續(xù)發(fā)現(xiàn)����、實時反應、有效拒止�����。這些產品構成軟件供應鏈安全解決方案的高級套件����,滿足客戶更深層的需求����。
奇安信為供應鏈安全建設提供了三大類有針對性的服務�,分別為供應鏈軟件評估服務,供應鏈軟件管理技術支持服務�����,供應鏈軟件驗證服務�。這些系統(tǒng)化安全服務和奇安信核心安全能力相結合�����,從審查�����、檢查�、持續(xù)測試、感知�、自動化等幾個方面,全面確保企業(yè)客戶的供應鏈安全建設順利落地�����。
據悉,本次研討會還發(fā)布了《2021年中國軟件供應鏈安全分析報告》�,首次對國內軟件供應鏈各個環(huán)節(jié)的安全風險,進行了深入細致的研究和解讀�����,凸顯了軟件供應鏈建設的緊迫性和重要性�����。
