企业动态 / 文章 / 2023.04.26

如何应对愈演愈烈的供应链安全风险?|物盾安全解决方案总监石杰参与《产业互联网安全十大趋势》(2023)系列沙龙

近日,物盾安全解决方案总监石杰参与了由腾讯安全主办的《产业互联网安全十大趋势》(2023)系列沙龙之如何应对愈演愈烈的供应链安全风险,并与工业和信息化部电子第五研究所高级工程师柴思跃、腾讯安全专家姚慰围绕软件供应链安全的范畴、软件供应链安全事件高发的原因、提升应对供应链攻击“免疫力”等问题展开系列讨论。本次沙龙由腾讯研究院产业研究中心产业安全专家宋扬主持,以下为石杰回应主持人所提出的供应链安全相关问题的具体内容:

640-1.jpeg

主持人(宋扬):软件供应链的具体含义是什么?软件供应链与安全之间的关系是什么?目前软件供应链在国内外有哪些著名的案例及其后果警示?

物盾安全(石杰):当下的软件开发并非不是从头到尾都是一个代码开发与设计,大多数的开发人员都会用已经具备第三方的库和镜像进行整合,开发人员不需要重新造轮子,而是集中更多的精力在于软件实现和提高代码能力上。软件供应链的威胁存在于开发的全生命周期的过程中,供应链的攻击手段及实施途径相较于其他的攻击手段更加多元化,攻击更具有隐蔽性,更加难以预防。近几年软件供应链安全事件的激增,表明软件供应链攻击已经成为重要的突破手段。传统的攻击方式从边界侧进行突围很难去进行漏洞的一个渗透。大部分的黑客利用供应链攻击可以在开源社区、开源公共仓库中插入恶意代码和户门,最著名的当属2020年底的solarwinds安全事件和21年底的log4j的安全事件。solarwinds安全事件引起了多个联邦政府多个机构的敏感信息的泄漏,被称之为联邦政府最无法容忍的安全事件,可见供应链攻击对于联邦政府所产生的影响之广。再就是21年底的log4j的安全事件,开源组件被曝出漏洞,这个组件被应用于各个系统和安全厂商当中,导致很多安全厂商设备被曝出供应链安全的问题,由此可见我们应该更加注重上下游的软件供应链的安全性的问题。

主持人(宋扬):聚焦产业供应链安全,产业的上下游有哪些?有哪些技术和方法帮助企业及客户更好的增强安全免疫力?

物盾安全(石杰):目前软件供应链安全的产业上下游主要是工具加服务类的,针对软件供应链检测的工具的技术也非常之多,那么现在业界提的比较多的思路就是开发左移,通过编码介入供应链安全的一个检测,把风险规避在编码阶段,尽早发现并修复减少应用上线前的风险,以降低修复成本。当然也有很多新的技术,比如静态安全检测,它是从研发阶段就进行安全漏洞的检测,还有动态的安全检测,在测试上线运营阶段进行安全成分分析及检测,再如交互式的应用安全检测,在应用测试阶段进行动态插装的形式对软件安全性进行检测。不管采取任何什么形式,都是检测应用引用的开发包、开发组件包括组件之间的依赖关系,最终形成软件的SBOM物料清单,使用者包括上下游的企业清晰的了解自己正在使用的产品的成分组成。从管理角度来说,企业应该建立自己上下游的供应链安全的规章和制度,结合管理和技术相中和的体系制定软件供应链安全的顶层设计,从管理角度去覆盖包括开发、交付到使用整个供应链的全生命周期的建设,从管理者角度进行安全建设。

主持人(宋扬):软件供应链在物联网安全领域有哪些特点及独特的要求,哪些解决方案及工具?

物盾安全( 石杰):我们在物联网领域的供应链检测方式与传统的还是有一些区别。由于物联网终端类型海量且异构,云边协同、边缘计算等业务场景下传输协议多种多样,所以导致物联网终端的风险和暴露面增多。物联网终端安全不仅要考虑上下游的软件供应商,还要考虑物联网终端使用协健壮性?它本体的一些特征进行提取,建立一套针对于物联终端的安全分析模型。那么区别于传统的软件供应链,物联终端的供应链更应该从物联终端本体进行安全检测和分析,比如物联终端传输协议安全性的分析。由于物联终端有各种各样的协议,我们需要适配各种协议,同时也需要适配终端系统的各种环境。有些物联终端使用Docker去运行业务,还有直接运行裁剪版Linux,还有会运行信创的这种操作系统。所以从物联终端供应链检测的角度来说,终端环境的适配性也相对要求要高,同时也要掌握不同环境漏洞的风险的区别。由于物联终端有天然的传输的职能,所以对于物联终端无线通讯,无线信道的安全检测包括信道的健壮性检测也要进行分析。我们要去适配相应的蓝牙、LORA、zigbee等等协议,去检测协议的版本号、包括协议的兼容性。因为物联终端大部分分布于能源、电力、交通、医疗等这种关基行业,这种行业一旦遭受攻击将产生巨大的影响。但是由于应用边缘下沉,很多的计算节点和计算数据都会在边缘的网关处进行计算,那么可能导致敏感信息的泄漏。所以说对于物联终端的供应链检测,是需要尽快有一个比较好的针对物联终端的安全检测工具。我们物盾就是围绕整个物联终端供应链构建了安全可感知、风险可发现、威胁可处置的全方位检测,包括攻击漏洞溯源,回溯分析的能力。

主持人(宋扬):未来软件供应链有哪些发展趋势?未来技术供应商及企业如何应对这个趋势?

物盾安全(石杰):未来供应链还是朝着智能化和自动化的方向发展,比如终端组件实现智能化、自动化的识别,漏洞智能化的检测,还有结合工具类和模糊测试类的工具进行人工智能的安全检测。换个角度来说,供应链需要不断的管理和运营的,也永远无法避免软件供应链安全事件的发生,更应该从现有的技防手段加管理加运营的思路去应对供应链的发展趋势。利用现有的检测工具启动对软件风险管理的自查,安全人员不断的对风险进行梳理检查,筛查异常行为,同时对现有软件进行安全测试,采取有效措施建立软件安全的物料清单和风险应对的应急预案去持续降低供应链带来的影响。其实供应链风险就像0day洞管理,我们永远不能避免这种事件发生,我们只能通过不断的流程化和工具化的手段去降低供应链给我们带来的安全风险。

猜你喜欢