面向安全管理、安全开发两大场景 奇安信发布供应链安全解决方案
“供应链连接了这个世界的每个角落,无论物理空间还是网络空间。一个组织已经不能仅仅通过保护自己的基础设施来保护自己。” 6月2日,在奇安信集团举办的软件供应链安全专题研讨会上,奇安信集团解决方案中心宣布推出面向软件供应链安全的整体解决方案,助力企业加强供应链安全建设。
图:奇安信集团解决方案中心高级总监金多
近年来,针对软件供应链的攻击事件一直呈快速增长态势,造成的危害也日益严重。2020年12月,全球最著名的网络安全管理软件供应商SolarWinds遭遇国家级APT团伙高度复杂的供应链攻击并植入木马后门,导致包括美国关键基础设施、军队、政府在内的18000多家企业客户全部受到影响,成为年度最严重的供应链安全事件。今年2月,一名研究员通过一种新颖的软件供应链攻击方式,成功的侵入了微软、苹果、PayPal、特斯拉、优步等35家国际大型科技公司的内网。
为应对软件供应链安全挑战,美国总统拜登在2021年5月12日签署了“加强国家网络安全的行政命令”,明确提出要增强美国联邦政府的软件供应链安全,该行政命令被认为是迄今为止美国联邦政府为保护美国软件供应链安全采取的最强劲措施。在不久前结束的网络安全行业年度盛会RSAC 2021上,供应链安全成为最热门的主题之一。
“在网络空间对抗不断升级、数字化加速转型、国家战略推动、开源代码被普遍使用的情况下,软件供应链安全建设势在必行。” 奇安信解决方案中心高级总监金多表示。供应链安全建设面向两个主要的场景:第一是用户视角的供应链安全管理场景;第二是开发者视角的供应链安全开发场景。针对这两大场景,奇安信提供的软件供应链安全解决方案,包括代码安全能力、软件空间测绘能力、感知与自主测试能力、自动化流程管理能力等四个部分。
其中,代码安全能力主要由代码卫士和开源卫士提供,代码卫士可实现源代码安全缺陷及后门分析,开源卫士能实现基于源代码/二进制成分的风险分析,帮助客户尽早发现和规避软件供应链安全风险。软件空间测绘能力由奇安信天问供应链安全分析系统实现,可实现多维度的可持续数据与全面测绘,以及软件深度剖析与元素特征提取。这两项能力构成了软件供应链安全解决方案的基础套件,满足广大企业客户最普遍也是急迫的需求。
奇安信天眼的自动化渗透测试工具,补天平台的白帽测试等,可基于攻防环境下发现软件系统的问题和弱点;通过NGSOC和SOAR实现的流程管理,通过安全编排自动化与响应,缩短问题和事件响应事件,显著提高运营效率,实现基于流程的持续发现、实时反应、有效拒止。这些产品构成软件供应链安全解决方案的高级套件,满足客户更深层的需求。
奇安信为供应链安全建设提供了三大类有针对性的服务,分别为供应链软件评估服务,供应链软件管理技术支持服务,供应链软件验证服务。这些系统化安全服务和奇安信核心安全能力相结合,从审查、检查、持续测试、感知、自动化等几个方面,全面确保企业客户的供应链安全建设顺利落地。
据悉,本次研讨会还发布了《2021年中国软件供应链安全分析报告》,首次对国内软件供应链各个环节的安全风险,进行了深入细致的研究和解读,凸显了软件供应链建设的紧迫性和重要性。