“供應(yīng)鏈連接了這個(gè)世界的每個(gè)角落����,無論物理空間還是網(wǎng)絡(luò)空間。一個(gè)組織已經(jīng)不能僅僅通過保護(hù)自己的基礎(chǔ)設(shè)施來保護(hù)自己������! 6月2日,在奇安信集團(tuán)舉辦的軟件供應(yīng)鏈安全專題研討會(huì)上�,奇安信集團(tuán)解決方案中心宣布推出面向軟件供應(yīng)鏈安全的整體解決方案,助力企業(yè)加強(qiáng)供應(yīng)鏈安全建設(shè)���。
圖:奇安信集團(tuán)解決方案中心高級(jí)總監(jiān)金多
近年來����,針對(duì)軟件供應(yīng)鏈的攻擊事件一直呈快速增長態(tài)勢���,造成的危害也日益嚴(yán)重。2020年12月���,全球最著名的網(wǎng)絡(luò)安全管理軟件供應(yīng)商SolarWinds遭遇國家級(jí)APT團(tuán)伙高度復(fù)雜的供應(yīng)鏈攻擊并植入木馬后門����,導(dǎo)致包括美國關(guān)鍵基礎(chǔ)設(shè)施、軍隊(duì)��、政府在內(nèi)的18000多家企業(yè)客戶全部受到影響��,成為年度最嚴(yán)重的供應(yīng)鏈安全事件�。今年2月,一名研究員通過一種新穎的軟件供應(yīng)鏈攻擊方式���,成功的侵入了微軟���、蘋果、PayPal��、特斯拉�、優(yōu)步等35家國際大型科技公司的內(nèi)網(wǎng)。
為應(yīng)對(duì)軟件供應(yīng)鏈安全挑戰(zhàn)��,美國總統(tǒng)拜登在2021年5月12日簽署了“加強(qiáng)國家網(wǎng)絡(luò)安全的行政命令”�,明確提出要增強(qiáng)美國聯(lián)邦政府的軟件供應(yīng)鏈安全,該行政命令被認(rèn)為是迄今為止美國聯(lián)邦政府為保護(hù)美國軟件供應(yīng)鏈安全采取的最強(qiáng)勁措施��。在不久前結(jié)束的網(wǎng)絡(luò)安全行業(yè)年度盛會(huì)RSAC 2021上���,供應(yīng)鏈安全成為最熱門的主題之一��。
“在網(wǎng)絡(luò)空間對(duì)抗不斷升級(jí)��、數(shù)字化加速轉(zhuǎn)型�、國家戰(zhàn)略推動(dòng)、開源代碼被普遍使用的情況下�����,軟件供應(yīng)鏈安全建設(shè)勢在必行��������! 奇安信解決方案中心高級(jí)總監(jiān)金多表示����。供應(yīng)鏈安全建設(shè)面向兩個(gè)主要的場景:第一是用戶視角的供應(yīng)鏈安全管理場景���;第二是開發(fā)者視角的供應(yīng)鏈安全開發(fā)場景。針對(duì)這兩大場景����,奇安信提供的軟件供應(yīng)鏈安全解決方案��,包括代碼安全能力�����、軟件空間測繪能力��、感知與自主測試能力�、自動(dòng)化流程管理能力等四個(gè)部分�。
其中,代碼安全能力主要由代碼衛(wèi)士和開源衛(wèi)士提供�����,代碼衛(wèi)士可實(shí)現(xiàn)源代碼安全缺陷及后門分析�,開源衛(wèi)士能實(shí)現(xiàn)基于源代碼/二進(jìn)制成分的風(fēng)險(xiǎn)分析,幫助客戶盡早發(fā)現(xiàn)和規(guī)避軟件供應(yīng)鏈安全風(fēng)險(xiǎn)�。軟件空間測繪能力由奇安信天問供應(yīng)鏈安全分析系統(tǒng)實(shí)現(xiàn),可實(shí)現(xiàn)多維度的可持續(xù)數(shù)據(jù)與全面測繪�,以及軟件深度剖析與元素特征提取。這兩項(xiàng)能力構(gòu)成了軟件供應(yīng)鏈安全解決方案的基礎(chǔ)套件���,滿足廣大企業(yè)客戶最普遍也是急迫的需求��。
奇安信天眼的自動(dòng)化滲透測試工具��,補(bǔ)天平臺(tái)的白帽測試等�,可基于攻防環(huán)境下發(fā)現(xiàn)軟件系統(tǒng)的問題和弱點(diǎn);通過NGSOC和SOAR實(shí)現(xiàn)的流程管理���,通過安全編排自動(dòng)化與響應(yīng)�����,縮短問題和事件響應(yīng)事件���,顯著提高運(yùn)營效率,實(shí)現(xiàn)基于流程的持續(xù)發(fā)現(xiàn)�����、實(shí)時(shí)反應(yīng)���、有效拒止�����。這些產(chǎn)品構(gòu)成軟件供應(yīng)鏈安全解決方案的高級(jí)套件��,滿足客戶更深層的需求�。
奇安信為供應(yīng)鏈安全建設(shè)提供了三大類有針對(duì)性的服務(wù)����,分別為供應(yīng)鏈軟件評(píng)估服務(wù),供應(yīng)鏈軟件管理技術(shù)支持服務(wù)��,供應(yīng)鏈軟件驗(yàn)證服務(wù)��。這些系統(tǒng)化安全服務(wù)和奇安信核心安全能力相結(jié)合��,從審查��、檢查���、持續(xù)測試����、感知���、自動(dòng)化等幾個(gè)方面���,全面確保企業(yè)客戶的供應(yīng)鏈安全建設(shè)順利落地��。
據(jù)悉����,本次研討會(huì)還發(fā)布了《2021年中國軟件供應(yīng)鏈安全分析報(bào)告》��,首次對(duì)國內(nèi)軟件供應(yīng)鏈各個(gè)環(huán)節(jié)的安全風(fēng)險(xiǎn)����,進(jìn)行了深入細(xì)致的研究和解讀,凸顯了軟件供應(yīng)鏈建設(shè)的緊迫性和重要性�。
(責(zé)任編輯:王治強(qiáng) HF013)
【免責(zé)聲明】本文僅代表合作供稿方觀點(diǎn),不代表和訊網(wǎng)立場����。投資者據(jù)此操作,風(fēng)險(xiǎn)請(qǐng)自擔(dān)���。
最新評(píng)論