11月11-14日,,由浙江省人民政府,、中華人民共和國(guó)商務(wù)部主辦的首屆全球數(shù)字貿(mào)易博覽會(huì)(簡(jiǎn)稱“數(shù)貿(mào)會(huì)”)在杭州國(guó)際博覽中心舉行。本屆數(shù)貿(mào)會(huì)聚焦“數(shù)字貿(mào)易 商通全球”主題,,以“數(shù)字化的貿(mào)易對(duì)象”和“數(shù)字化的貿(mào)易方式”為主線,設(shè)主論壇及數(shù)十場(chǎng)分論壇,打造數(shù)字貿(mào)易產(chǎn)業(yè)發(fā)展風(fēng)向標(biāo),。
眾所周知,杭州是業(yè)內(nèi)多家網(wǎng)絡(luò)安全企業(yè)的大本營(yíng),,安全419注意到,,作為浙江省本土知名的新興網(wǎng)絡(luò)安全公司,默安科技深度參與了本屆數(shù)貿(mào)會(huì),,向來(lái)自全球的數(shù)字化企業(yè)展示中國(guó)網(wǎng)絡(luò)安全技術(shù)能力和安全力量,。12月13日,在同期舉辦的2022首屆全球數(shù)字生態(tài)大會(huì)-數(shù)字應(yīng)用與技術(shù)分論壇上,,默安科技副總裁沈錫鏞以《數(shù)字防線 原生構(gòu)建》為題,,分享了默安科技在軟件供應(yīng)鏈安全方面的實(shí)踐和建設(shè)經(jīng)驗(yàn)。
軟件開(kāi)發(fā)環(huán)境變化催生了新的安全挑戰(zhàn)
沈錫鏞首先談到,,當(dāng)前企業(yè)在做數(shù)字化轉(zhuǎn)型和數(shù)字化業(yè)務(wù)的過(guò)程當(dāng)中,,通常會(huì)面臨兩類(lèi)原生的安全風(fēng)險(xiǎn):其一是數(shù)據(jù)安全風(fēng)險(xiǎn),數(shù)據(jù)泄露或數(shù)據(jù)濫用,;其二是因安全問(wèn)題導(dǎo)致的業(yè)務(wù)中斷,。這兩類(lèi)問(wèn)題都與軟件供應(yīng)鏈息息相關(guān)。
● 首先,數(shù)字化時(shí)代下軟件構(gòu)成的形態(tài)相較過(guò)去已經(jīng)有了很大的差異性,。默安科技此前在對(duì)某一直轄市百萬(wàn)級(jí)日活的政務(wù)應(yīng)用進(jìn)行技術(shù)排查時(shí)發(fā)現(xiàn),,真正由軟件開(kāi)發(fā)供應(yīng)商自己寫(xiě)的代碼僅占5%,“他們是把各種各樣的開(kāi)源組件和功能封裝到了一起,,軟件的核心部分都不是自己真正去寫(xiě)的,。所以當(dāng)時(shí)我們戲稱為,這些軟件是軟件開(kāi)發(fā)商自產(chǎn)的,,而非自研的,,這樣生產(chǎn)出來(lái)的軟件稱不上研究的‘研’字?!?/p>
在他看來(lái),,這也并非軟件開(kāi)發(fā)商之罪,隨著數(shù)字化業(yè)務(wù)轉(zhuǎn)型的加速,,海量的toC場(chǎng)景涌現(xiàn)出來(lái),,要求數(shù)字化應(yīng)用快速上線、快速迭代,。為了降低軟件的開(kāi)發(fā)成本和周期,,研發(fā)人員必須大量地采用第三方組件,避免大量“重復(fù)造輪子”的消耗,。但這不可避免地就帶來(lái)全新的安全風(fēng)險(xiǎn),,大量的組件性漏洞、開(kāi)源性漏洞以及公共云服務(wù)不當(dāng)配置被利用的風(fēng)險(xiǎn),,其中就包括了數(shù)據(jù)安全風(fēng)險(xiǎn),。
● 其次,是軟件供應(yīng)鏈帶來(lái)的業(yè)務(wù)中斷風(fēng)險(xiǎn),?!霸诓痪们暗亩頌蹙W(wǎng)絡(luò)戰(zhàn)中就有一個(gè)典型的例子,美國(guó)不允許俄羅斯的開(kāi)發(fā)者下載 GitHub上的公共庫(kù),,不允許俄羅斯的開(kāi)發(fā)者去下載使用這些開(kāi)源組件,,這就導(dǎo)致俄羅斯許多應(yīng)用停止更新,進(jìn)而導(dǎo)致了整體安全性的下降,?!?/p>
沈錫鏞認(rèn)為,這一案例充分地說(shuō)明了供應(yīng)鏈攻擊的兩大特點(diǎn),,首先它如同“隔山打?!币粯泳邆浜軓?qiáng)的隱蔽性,供應(yīng)鏈往往是構(gòu)成一個(gè)數(shù)字化業(yè)務(wù)的基座,,因此攻擊者無(wú)須直接攻擊數(shù)字化應(yīng)用,,而是通過(guò)攻擊軟件的開(kāi)發(fā)方或是業(yè)務(wù)的托管方,,就能夠在不知不覺(jué)中對(duì)業(yè)務(wù)應(yīng)用發(fā)起攻擊。另一特點(diǎn)是“打一片影響一面”,,年初發(fā)生的Solarwinds事件中就印證了這一點(diǎn),,對(duì)一個(gè)供應(yīng)商發(fā)起的攻擊,能夠?qū)ο掠未罅康钠髽I(yè)造成行業(yè)地震式影響,。
安全往往被軟件開(kāi)發(fā)者所忽視
軟件開(kāi)發(fā)者理應(yīng)得到更好的合規(guī)性監(jiān)管
近年來(lái),,軟件供應(yīng)鏈安全逐漸在國(guó)家層面得到廣泛關(guān)注,一方面是由于數(shù)字化轉(zhuǎn)型趨勢(shì)下,,軟件架構(gòu)復(fù)雜性增加,,外部引入成分占比增加,,供應(yīng)鏈中斷風(fēng)險(xiǎn)增加,。另一方面是軟件供應(yīng)鏈攻擊的投入產(chǎn)出比較高,軟件開(kāi)發(fā)商的網(wǎng)絡(luò)安全防護(hù)和開(kāi)發(fā)安全能力普遍較弱,,組件漏洞和供應(yīng)鏈投毒事件頻發(fā),,成為了縱深防護(hù)層層壁壘中的一道裂縫。
沈錫鏞表示,,一個(gè)軟件的核心污染路徑往存在于軟件的開(kāi)發(fā)環(huán)節(jié),、交付環(huán)節(jié)和使用環(huán)節(jié)三個(gè)階段,隨著我國(guó)網(wǎng)絡(luò)安全建設(shè)的不斷加強(qiáng),,在軟件使用環(huán)節(jié)的安全意識(shí)和安全管控措施相對(duì)健全,,但在開(kāi)發(fā)環(huán)節(jié)仍然較為薄弱。
假設(shè)一家軟件開(kāi)發(fā)供應(yīng)商或部門(mén)接到了一個(gè)數(shù)字化業(yè)務(wù)需求,,要求在短期內(nèi)快速上線一個(gè)移動(dòng)應(yīng)用,、小程序,那大概率優(yōu)先思考三個(gè)問(wèn)題:第一,,業(yè)務(wù)需求中的功能代碼網(wǎng)上有沒(méi)有現(xiàn)成的可以直接抄,?第二,能不能在過(guò)去已有的代碼基礎(chǔ)上直接改,?第三,,我能不能直接外包出去賺個(gè)差價(jià)?
但這樣的做法實(shí)際會(huì)帶來(lái)很多安全隱患,,軟件開(kāi)發(fā)單位無(wú)法知道網(wǎng)上抄來(lái)的代碼是否安全,,不知道層層外包或轉(zhuǎn)包后所引用的組件、框架是否安全,。甚至壓根不知道隱患在哪里,。面臨這些隱患,行業(yè)過(guò)去的做法通常是在軟件上線前進(jìn)行安全測(cè)試,,或是代碼審計(jì),,但安全測(cè)試這種做法不一定保證可靠性,,而代碼審計(jì)不僅成本高,也會(huì)出現(xiàn)很多誤報(bào),。但事實(shí)上,,在攻防嚴(yán)重不對(duì)等的前提下,代碼審計(jì)幾乎很難發(fā)現(xiàn)深層的第三方組件復(fù)用和開(kāi)源框架所帶來(lái)的安全風(fēng)險(xiǎn),。
“我們國(guó)家做了很多年的安全合規(guī),,但我們始終沒(méi)有把安全合規(guī)的重點(diǎn)指向過(guò)?,?海量的軟件公司和開(kāi)發(fā)者,,他們既沒(méi)有被等保約束過(guò),也沒(méi)有被攻防演練過(guò),,,??他們最核心的資產(chǎn)并不是官網(wǎng),,而是開(kāi)發(fā)者們的代碼倉(cāng)庫(kù),,生產(chǎn)代碼的工具,生產(chǎn)代碼的人,,這些是不是經(jīng)得起考驗(yàn),,是不是有明確的標(biāo)準(zhǔn)和合規(guī)要求?,?事實(shí)上并沒(méi)有,。”
在沈錫鏞看來(lái),,從軟件開(kāi)發(fā)的角度來(lái)看,,發(fā)起一次Solarwinds這樣大規(guī)模的攻擊并非難事,只要去攻破關(guān)鍵供應(yīng)商,,在一些核心第三方組件中潛藏進(jìn)去一個(gè)后門(mén)指令,,就能夠完成一次供應(yīng)鏈投毒攻擊,一旦攻擊成功,,便能夠影響下游海量的業(yè)務(wù)應(yīng)用和企業(yè),,通過(guò)勒索攻擊等手段造成巨大的經(jīng)濟(jì)損失,這也是供應(yīng)鏈攻擊最可怕的地方,。
著眼軟件的引入,、生產(chǎn)和應(yīng)用環(huán)節(jié)
多管齊下治理軟件供應(yīng)鏈安全
沈錫鏞談到,作為國(guó)內(nèi)軟件供應(yīng)鏈安全領(lǐng)域的先行者,,默安科技認(rèn)為,,根據(jù)軟件供應(yīng)鏈的特點(diǎn),軟件供應(yīng)鏈的業(yè)務(wù)流程可以抽象成供應(yīng)鏈引入,、軟件生產(chǎn)和軟件應(yīng)用三個(gè)環(huán)節(jié),。
供應(yīng)鏈引入環(huán)節(jié)
沈錫鏞認(rèn)為,,在供應(yīng)鏈引入環(huán)節(jié)主要存在基礎(chǔ)服務(wù)風(fēng)險(xiǎn)、軟件代碼風(fēng)險(xiǎn),、開(kāi)源組件風(fēng)險(xiǎn)和三方服務(wù)未知風(fēng)險(xiǎn),,面臨的供應(yīng)鏈核心安全問(wèn)題是供應(yīng)鏈準(zhǔn)入和供應(yīng)鏈透明,其中最關(guān)鍵是要先摸清家底,。
假設(shè)一個(gè)政企單位所有的軟件應(yīng)用都是直接引入的,,那么就需要對(duì)這些軟件進(jìn)行全面的體檢,把其中的一些技術(shù)組件的風(fēng)險(xiǎn),,軟件代碼的風(fēng)險(xiǎn),,以及開(kāi)源的許可證問(wèn)題都提前篩查出來(lái)。尤其是開(kāi)源許可證風(fēng)險(xiǎn),,當(dāng)前國(guó)內(nèi)許多開(kāi)發(fā)人員認(rèn)為開(kāi)源軟件是綠色軟件,,可以任意使用。但實(shí)際上,,如果開(kāi)發(fā)人員未遵循開(kāi)源軟件許可證而任意進(jìn)行軟件開(kāi)發(fā)的話,,很有可能軟件所屬的政企單位也要承擔(dān)版權(quán)侵權(quán)的責(zé)任,,其所造成的商業(yè)損失可能會(huì)遠(yuǎn)超業(yè)務(wù)價(jià)值本身,。
軟件生產(chǎn)環(huán)節(jié)
在軟件生產(chǎn)環(huán)節(jié)要存在開(kāi)源組件風(fēng)險(xiǎn)、自研代碼安全質(zhì)量風(fēng)險(xiǎn)和三方服務(wù)未知風(fēng)險(xiǎn),,面臨的供應(yīng)鏈核心安全問(wèn)題是供應(yīng)鏈投毒,、軟件生產(chǎn)安全。重點(diǎn)需要考慮如何去防治供應(yīng)鏈各個(gè)環(huán)節(jié)帶來(lái)的安全風(fēng)險(xiǎn),。
對(duì)于政企單位的研發(fā)部門(mén)來(lái)說(shuō),,即使是低代碼平臺(tái)或是小程序,也應(yīng)該圍繞整個(gè)代碼的完整性,、代碼開(kāi)發(fā)環(huán)境,,以及開(kāi)發(fā)工具、開(kāi)發(fā)人員和制度,,針對(duì)相對(duì)應(yīng)的一些安全措施去做加強(qiáng)和保證,,而不是簡(jiǎn)單地靠簽署保密協(xié)議來(lái)提升安全性。
軟件應(yīng)用環(huán)節(jié)
在軟件應(yīng)用環(huán)節(jié),,會(huì)存在軟件部署風(fēng)險(xiǎn),、運(yùn)行期間風(fēng)險(xiǎn),面臨的供應(yīng)鏈核心安全問(wèn)題是供應(yīng)鏈安全事件響應(yīng),。
正如不久前爆發(fā)的Fast Jason反序列化漏洞和log4J2漏洞等等,,軟件上線后經(jīng)常會(huì)爆出各種各樣的漏洞,在領(lǐng)導(dǎo)眼中這個(gè)問(wèn)題很好解決,,如果組件有漏洞不用它就好了,,但實(shí)際上很多核心組件并沒(méi)有替代品,,即使存在安全問(wèn)題也必須帶病上線。
沈錫鏞指出,,“除了沒(méi)有替代組件外,,往往大家政企單位還面臨著另一個(gè)窘迫的現(xiàn)狀,漏洞爆發(fā)后,,定位漏洞位置很慢,。一家數(shù)字化企業(yè)擁有大量的數(shù)字化應(yīng)用,其中又集成了大量不同版本的第三方組件,,很難去一一回溯和甄別所有組件的位置,,但是如果定位速度慢的話,帶來(lái)的只能是十倍百倍的應(yīng)急時(shí)間,,,??業(yè)務(wù)又不能中斷,,因此造成的后果只能是向攻擊者敞開(kāi)大門(mén),。這些問(wèn)題發(fā)展到今天,已經(jīng)不是靠安全部門(mén)就能夠解決了,,而是要靠安全部門(mén)跟開(kāi)發(fā)部門(mén),、業(yè)務(wù)部門(mén)一起去共同承擔(dān)?!?/p>
沈錫鏞最后介紹,,默安科技是國(guó)內(nèi)首批開(kāi)辟開(kāi)發(fā)安全業(yè)務(wù)的安全廠商,在軟件供應(yīng)鏈安全方面有很深的積累實(shí)踐,。從最初的開(kāi)發(fā)安全體系咨詢,,到建設(shè)完整的開(kāi)發(fā)安全工具鏈,積累了大批的項(xiàng)目建設(shè)經(jīng)驗(yàn),,再到參加國(guó)家行業(yè)相關(guān)標(biāo)準(zhǔn)的制定和試點(diǎn)推廣,,將開(kāi)發(fā)安全建設(shè)延展到供應(yīng)鏈安全治理,研發(fā)軟件供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估平臺(tái),,并且依托階段性的標(biāo)準(zhǔn)化建設(shè)成果,,在關(guān)基單位進(jìn)行落地實(shí)踐,最終拉動(dòng)產(chǎn)業(yè)和監(jiān)管逐步勾勒出了默安科技獨(dú)創(chuàng)的軟件供應(yīng)鏈安全管理的體系架構(gòu)和實(shí)現(xiàn)路徑,。
目前默安科技已經(jīng)積累包括在政府機(jī)構(gòu),、數(shù)字化轉(zhuǎn)型單位以及大型集團(tuán)企業(yè)在內(nèi)的大量軟件供應(yīng)鏈安全建設(shè)案例,為各類(lèi)行業(yè)用戶提供軟件供應(yīng)鏈安全解決方案,。未來(lái)默安科技將繼續(xù)深耕優(yōu)勢(shì)領(lǐng)域,,為全球數(shù)字貿(mào)易產(chǎn)業(yè)的創(chuàng)新與高質(zhì)量發(fā)展貢獻(xiàn)更多安全力量。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<