“供应链连接着世界的每一个角落,无论是物理空间还是网络空间。一个组织无法再保护自己。”6月2日,在奇安信集团举办的软件供应链安全座谈会上,奇安信集团解决方案中心宣布推出软件供应链安全整体解决方案,助力企业加强供应链安全建设。奇安信集团解决方案中心高级总监,近年来,针对软件供应链的攻击事件快速增加,造成的损害也越来越严重。2020年12月,全球最著名的网络安全供应商SolarWinds管理软件,遭遇国家级APT团伙高精尖供应链攻击并植入木马后门,导致美国关键基础设施、军队、政府等18000多家企业损失,所有客户都受到影响,使得这是今年最严重的供应链安全事件,今年2月,一名研究人员成功黑入了intra通过一种新颖的软件供应链攻击方法,攻击包括微软、苹果、贝宝、特斯拉和优步在内的35家大型国际科技公司的网络。针对软件供应链的安全挑战,美国总统拜登于2021年5月12日签署《加强国家网络安全的行政命令》,明确提出加强美国联邦政府软件供应链的安全。这是迄今为止联邦政府保护美国软件供应链安全的最强有力措施。在不久前结束的一年一度的网络安全行业盛会RSAC2021上,供应链安全成为最热门的话题之一。“在网络空间对抗升级、数字化转型加速、国家战略推进、开源代码广泛应用的背景下,软件供应链安全建设势在必行。”奇安信解决方案中心高级总监金铎表示。供应链安全建设主要面向两大场景:一是用户视角的供应链安全管理场景;二是开发者视角的供应链安全开发场景。针对这两个场景,奇安信提供的软件供应链安全解决方案包括四个部分:代码安全能力、软件空间映射能力、感知与独立测试能力、自动化流程管理能力。其中,代码安全能力主要由CodeGuard和OpenSourceGuard提供。CodeGuard可以实现源代码安全漏洞和后门分析,OpenSourceGuard可以实现基于源代码/二进制组件的风险分析,帮助客户尽早发现和规避软件供应链安全。风险。软件空间测绘能力由奇安新天问供应链安全分析系统实现,可实现多维可持续数据和综合测绘,以及软件深度分析和要素特征提取。这两项功能构成了软件供应链安全解决方案的基本套件,可以满足企业客户最常见和最紧迫的需求。奇安信天眼的自动化渗透测试工具和天眼平台的白帽测试,可以根据攻防环境发现软件系统的问题和弱点;通过NGSOC和SOAR实现的流程管理,通过安全编排自动化和响应,缩短问题和Event对事件的响应,显着提升运营效率,实现基于流程的持续发现、实时响应和有效拒绝。这些产品构成了一套先进的软件供应链安全解决方案,可以满足客户更深层次的需求。奇安信为供应链安全建设提供三类针对性服务,即供应链软件评估服务、供应链软件管理技术支持服务、供应链软件验证服务。这些系统化的安全服务结合奇安信的核心安全能力,从审核、检验、持续测试、感知、自动化等方面全面保障企业客户供应链安全建设的顺利实施。据悉,本次研讨会还发布了《2021年中国软件供应链安全分析报告》,首次对国内软件供应链各个环节的安全风险进行了深入细致的研究解读,凸显了软件供应链建设的紧迫性和重要性。
