吳雲坤:供應鏈安全是工業軟件發展的底板
釋出日期:2021-04-26 作者:國際在線
“在工業軟件發展過程中,保障開發、交付和應用全生命週期中的安全已成為‘底板’工程,這就需要首先建立工業軟件的供應鏈安全體系,確保供應鏈安全。”在4月26日舉辦的數字中國建設峯會數字技術創新分論壇上,奇安信集團總裁吳雲坤演講時強調,目前,針對工業軟件的供應鏈攻擊已經成為主流攻擊手段,多樣化的方式實施攻擊,給政企機構及關鍵信息基礎設施帶來了巨大的安全風險。
吳雲坤:供應鏈安全是工業軟件發展的底板
工業軟件面臨三大供應鏈安全挑戰
吳雲坤認為,作為工業互聯網的重要支撐技術,工業軟件面臨着三大供應鏈安全挑戰:
第一,開源軟件安全挑戰。我國工業軟件基礎薄弱,對開源軟件的依賴度高,而開源軟件的安全漏洞,會直接影響工業軟件的安全。奇安信在一次針對國內2188個軟件項目的研究中發現,所有軟件均使用了開源組件,其中存在漏洞的項目為1695個,佔比高達77.5%。
第二,軟件開發帶來的安全挑戰。程序員在編寫代碼過程當中,缺陷是無法避免的,而能夠被黑客利用的缺陷就成了漏洞。統計數據顯示,程序員手敲原始代碼1000行會出現14.22個缺陷,其中可能包含有0.72個高危缺陷。
第三,複雜的軟件圖譜帶來的安全挑戰。軟件圖譜複雜,代碼重複使用帶來了漏洞和後門擴散、惡意模塊傳播、不可靠的網絡資源引入等安全隱患。新的軟件中,可能包含有漏洞的老模塊;一個漏洞爆發後,可能會影響到大量軟件。2020年12月,網絡安全管理軟件供應商SolarWinds遭遇APT團伙供應鏈攻擊並植入木馬後門,該攻擊直接導致18000+機構受到影響:可任由攻擊者操控。其中,很多工業控制系統中,都存在着可被攻擊者利用的SolarWinds版本,因此受到很大影響。
以內生安全框架解決工業軟件供應鏈安全挑戰
吳雲坤説:“軟件供應鏈之所以被攻擊,是因為供應鏈的每個環節都存在的大量的漏洞,可以被攻擊者利用。”
在開發環節,存在開源組件的漏洞和後門、程序員編碼帶來的漏洞、編譯環境污染等安全隱患;在交付環節,存在下載源不可靠、代理商或者集成商引入惡意代碼等隱患;在使用環節,存在軟件升級、打補丁過程中被攻擊者劫持等安全隱患。
面對無所不在的供應鏈安全隱患,“頭痛醫頭腳痛醫腳”的局部安全建設模式已經不能滿足需求,政企機構需要把工業軟件供應鏈安全融入到整個工業信息化和工業互聯網角度來統籌規劃。
對此,奇安信基於長期的網絡安全實踐提出了內生安全框架,以系統工程方法論結合內生安全理念,從工業軟件、工業互聯網視角,構建包括工業軟件在內的工業信息系統整體防護體系;通過分解為可落地實施的“十大工程五大任務”,推動工業供應鏈全生命週期的安全體系規劃、建設和運行,滿足數字化轉型和智能化升級的信息化保障需求。
吳雲坤説,“十大工程五大任務”對每個組件的部署位置、部署順序、部署要求都給予了詳細的説明,就像房子裝修有水電改造、刷漆、鋪地板等固定流程。在某個項目安全建設過程中,奇安信依託“十大工程五大任務”的,為136個信息化組件,總結出了29個安全區域場景,部署了79類安全組件。
作為“十大工程五大任務”中重要任務之一,“應用安全能力支撐”任務中的一個建設重點就是供應鏈安全體系建設。據介紹,奇安信推出的軟件供應鏈全生命週期安全解決方案,在整個軟件生命週期融入安全培訓、安全需求評估、安全設計、安全開發、安全測試、安全部署運行、安全使用等八大流程和措施,來保障軟件從開發、交付到應用的全過程、全生命週期安全。
四大關鍵技術能力打造供應鏈安全“護身符”
吳雲坤錶示,奇安信推出的軟件供應鏈全生命週期安全解決方案運用了四大關鍵技術能力:
第一,軟件空間測繪能力。它通過採集不同平台、不同類型的全網軟件,藉助靜態結構分析、動態跟蹤分析、沙箱行為分析等手段,從不同維度對軟件進行深度分析和細粒度拆解,形成軟件空間測繪能力,為軟件供應鏈安全分析相關工作提供支撐。
第二,源代碼成分風險分析。通過智能化數據收集引擎,奇安信可在全球範圍內獲取開源軟件資產信息及其相關漏洞信息,並利用自主研發的開源軟件分析引擎,為企業提供開源軟件資產識別、安全風險分析、漏洞告警及安全管理等功能。截止目前,奇安信代碼安全實驗室已檢測3000餘款開源軟件,積累了大量的開源軟件安全缺陷基礎數據。
第三,源代碼安全缺陷及後門分析。奇安信能夠將源代碼安全檢測融入企業開發流程,實現軟件源代碼安全目標的統一管理、自動化檢測、差距分析、Bug修復追蹤等功能,幫助企業以最小代價建立代碼安全保障體系並落地實施,解決軟件開發過程中的安全缺陷及漏洞、安全合規性等問題。
第四,聯網設備成分風險分析。2019年初,奇安信發起了一個針對聯網設備固件的安全檢測計劃,其中一項重要檢測內容是針對固件中引用的開源軟件的檢測和漏洞分析。
據瞭解,奇安信軟件供應鏈安全解決方案已經在工信部工業互聯網創新發展工程的工業軟件源代碼漏洞檢測工具項目、北京冬奧組委應用系統生命週期管理等多個場景中落地實踐。
另外在論壇期間,由工信部五所聯合奇安信、華為、阿里、百度、騰訊、浪潮、麒麟、統信等公司發起的“關鍵基礎軟件供應鏈保障聯合創新實驗室”正式成立,為我國軟件供應鏈安全保駕護航。
責編:陳晨
來源:國際在線