軟件供應鏈安全攻擊事件頻發 奇安信推出供應鏈安全解決方案
責編:gltian |2021-06-04 10:10:31“供應鏈連接了這個世界的每個角落,無論物理空間還是網絡空間。一個組織已經不能僅僅通過保護自己的基礎設施來保護自己。” 6月2日,在奇安信集團舉辦的軟件供應鏈安全專題研討會上,奇安信集團解決方案中心宣布推出面向軟件供應鏈安全的整體解決方案,助力企業加強供應鏈安全建設。
圖:奇安信集團解決方案中心高級總監金多
近年來,針對軟件供應鏈的攻擊事件一直呈快速增長態勢,造成的危害也日益嚴重。2020年12月,全球最著名的網絡安全管理軟件供應商SolarWinds遭遇國家級APT團伙高度復雜的供應鏈攻擊并植入木馬后門,導致包括美國關鍵基礎設施、軍隊、政府在內的18000多家企業客戶全部受到影響,成為年度最嚴重的供應鏈安全事件。今年2月,一名研究員通過一種新穎的軟件供應鏈攻擊方式,成功的侵入了微軟、蘋果、PayPal、特斯拉、優步等35家國際大型科技公司的內網。
為應對軟件供應鏈安全挑戰,美國總統拜登在2021年5月12日簽署了“加強國家網絡安全的行政命令”,明確提出要增強美國聯邦政府的軟件供應鏈安全,該行政命令被認為是迄今為止美國聯邦政府為保護美國軟件供應鏈安全采取的最強勁措施。在不久前結束的網絡安全行業年度盛會RSAC 2021上,供應鏈安全成為最熱門的主題之一。
“在網絡空間對抗不斷升級、數字化加速轉型、國家戰略推動、開源代碼被普遍使用的情況下,軟件供應鏈安全建設勢在必行。”?奇安信解決方案中心高級總監金多表示。供應鏈安全建設面向兩個主要的場景:第一是用戶視角的供應鏈安全管理場景;第二是開發者視角的供應鏈安全開發場景。針對這兩大場景,奇安信提供的軟件供應鏈安全解決方案,包括代碼安全能力、軟件空間測繪能力、感知與自主測試能力、自動化流程管理能力等四個部分。
其中,代碼安全能力主要由代碼衛士和開源衛士提供,代碼衛士可實現源代碼安全缺陷及后門分析,開源衛士能實現基于源代碼/二進制成分的風險分析,幫助客戶盡早發現和規避軟件供應鏈安全風險。軟件空間測繪能力由奇安信天問供應鏈安全分析系統實現,可實現多維度的可持續數據與全面測繪,以及軟件深度剖析與元素特征提取。這兩項能力構成了軟件供應鏈安全解決方案的基礎套件,滿足廣大企業客戶最普遍也是急迫的需求。
奇安信天眼的自動化滲透測試工具,補天平臺的白帽測試等,可基于攻防環境下發現軟件系統的問題和弱點;通過NGSOC和SOAR實現的流程管理,通過安全編排自動化與響應,縮短問題和事件響應事件,顯著提高運營效率,實現基于流程的持續發現、實時反應、有效拒止。這些產品構成軟件供應鏈安全解決方案的高級套件,滿足客戶更深層的需求。
奇安信為供應鏈安全建設提供了三大類有針對性的服務,分別為供應鏈軟件評估服務,供應鏈軟件管理技術支持服務,供應鏈軟件驗證服務。這些系統化安全服務和奇安信核心安全能力相結合,從審查、檢查、持續測試、感知、自動化等幾個方面,全面確保企業客戶的供應鏈安全建設順利落地。
據悉,本次研討會還發布了《2021年中國軟件供應鏈安全分析報告》,首次對國內軟件供應鏈各個環節的安全風險,進行了深入細致的研究和解讀,凸顯了軟件供應鏈建設的緊迫性和重要性。
來源:安全牛