11月4日,2021騰訊數(shù)字生態(tài)大會云安全專場在武漢光谷科技會展中心召開。騰訊安全科恩實驗室專家工程師聶森出席專場論壇,結合騰訊安全科恩實驗室的安全研究經驗,分享了他對關鍵信息基礎設施軟件供應鏈安全的思考與實踐。
當今社會的正常穩(wěn)定運行,越來越離不開關鍵信息基礎設施的支撐。為進一步保障關鍵信息基礎設施安全,相關政策陸續(xù)出臺。其中,《關鍵信息基礎設施安全保護條例》(以下簡稱“條例”)已于2021年9月1日正式施行。除了國家級的法律法規(guī),海內外面向特定行業(yè)的安全法規(guī)也已經展開,如UNECE WP.29通過的兩項,分別針對車輛信息安全管理CSMS、軟件更新管理SUMS的聯(lián)合國車輛法規(guī)也已于今年1月22日正式生效。相關政策的發(fā)布,為指導關鍵信息基礎設施安全保護工作提供了基本遵循。
供應鏈安全是保障關鍵信息基礎設施安全的關鍵要素
在條例中,提及一個核心觀點,即“強化供應鏈安全保障工作,保護關鍵信息基礎設施安全”,由此可見供應鏈安全的重要性。然而,供應鏈安全風險在當前日趨嚴峻的網絡安全形勢下日顯突出,且一旦出現(xiàn)問題會將給關鍵信息基礎設施帶來嚴重危害。據(jù)2020年12月FireEye發(fā)布的關于“太陽風”供應鏈攻擊通告顯示,某基礎網絡管理軟件的軟件更新包中被黑客植入后門,造成約超過250家美國聯(lián)邦機構和企業(yè)受到影響。
“需要注意的是,關鍵信息基礎設施行業(yè)的軟件供應鏈有一個非常特殊的特點,區(qū)別于其它場景,我們總結為——以嵌入式軟件為主,且呈現(xiàn)非常嚴重的碎片化特性。”聶森在發(fā)言中強調。而這也讓關鍵信息基礎設施的安全局勢變得更加復雜和嚴峻。據(jù)有關數(shù)據(jù)顯示,480+款固件就檢測出了16000+個安全風險,嚴重與高危風險比例超過50%。經過分析和總結,聶森認為,嵌入式系統(tǒng)總體安全形勢堪憂:版本舊,大量已知漏洞未修復;合規(guī)性檢查缺失;設備廠商安全投入成本高;安全能力不足;用戶回收修復成本高等,這些缺陷將直接影響到軟件供應鏈的安全,并進一步影響關鍵基礎設施和重要信息系統(tǒng)的安全。
sysAuditor解決方案助力企業(yè)提效降本
針對持續(xù)升級的供應鏈攻擊,以及彌補傳統(tǒng)軟件供應鏈的缺陷,騰訊安全科恩實驗室結合其在安全領域的技術研究和服務能力產品化的成果,推出了sysAuditor解決方案。據(jù)了解,sysAuditor是一款聚焦于物聯(lián)網系統(tǒng)的基線合規(guī)檢查和二進制軟件成分分析的自動化平臺,與傳統(tǒng)的嵌入式系統(tǒng)相比,sysAuditor解決方案具有四個核心突破點:核心突破一、格式支持完善度最高的固件解析能力;核心突破二、最小依賴無侵入動態(tài)信息采集能力;核心突破三、首創(chuàng)動靜態(tài)信息結合的基線審計能力;核心突破四、用AI技術構建二進制軟件成分分析引擎。sysAuditor解決方案沉淀了科恩實驗室的滲透測試經驗,能夠助力企業(yè)實現(xiàn)對研發(fā)漏洞檢測、系統(tǒng)安全驗收、潛在風險規(guī)避和行業(yè)安全管理等的自動化審計,從而提升安全基線,降低維護成本。
事實上,早在2020年,sysAuditor就憑借其突出優(yōu)勢入選了國家級試點,主導的核心設計已申請兩項專利,目前已在智能汽車、能源、政府等行業(yè)或機構成功落地。以上汽集團為例,上汽集團與騰訊組建了網絡安全聯(lián)合實驗室,針對智能網聯(lián)汽車開展車輛攻防和安全技術研發(fā)工作,通過sysAuditor私有化版本,補充了自研及上游車機固件、嵌入式系統(tǒng)的安全評估能力,助力上汽集團保障消費者的財產和人身安全。除此之外,騰訊安全sysAuditor解決方案也已在國家電網河南電力公司,以及深圳坪山區(qū)智能網聯(lián)汽車示范平臺建設等國家級項目中投入使用。
作為產業(yè)安全領導者,騰訊安全一直在深耕包括車聯(lián)網、5G、IoT等在內的前沿技術領域的安全研究,未來,也將繼續(xù)通過產品和服務將安全能力轉化成護航產業(yè)互聯(lián)網的安全生產力,持續(xù)為各行各業(yè)輸出高效的安全解決方案。
(免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現(xiàn)的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。 )