面向安全管理、安全开发两大场景 奇安信发布供应链安全解决方案

供应链连接了这个世界的每个角落,物理空间还是网络空间 。一个组织已经不能只靠保护自己的基础设施来保护自己了 。6月2日,在奇安信集团召开的软件供应链安全专题研讨会上,奇安信集团解决方案中心发表了面向软件供应链安全的总体解决方案,帮助企业加强供应链安全建设 。

图:奇安信集团解决方案中心高级总监金多

近年来,对软件供应链的攻击事件增长,危害也越来越严重 。2020年12月,世界上最著名的网络安全管理软件供应商SolarWinds遭遇国家级APT集团高度复杂的供应链攻击,植入木马后门,美国重要基础设施、军队、政府等18000多家企业客户受到影响,成为年度最严重的供应链安全事件 。今年2月,一研究人员通过新的软件供应链攻击方式,成功地侵入了微软、苹果、PayPal、特斯拉、优步等35家国际大科技公司的内部网络 。

【面向安全管理、安全开发两大场景 奇安信发布供应链安全解决方案】为了应对软件供应链的安全挑战,美国总统拜登于2021年5月12日签署了加强国家网络安全的行政命令,明确提出要加强美国联邦政府的软件供应链安全,该行政命令是迄今为止美国联邦政府为保护美国软件供应链安全采取的最强措施 。不久前结束的网络安全行业年度盛会RSAC旗下2021,供应链安全成为最热门的主题之一 。

在网络空间对抗不断升级、数字化加速转型、国家战略推广、开源码普遍应用的情况下,软件供应链安全建设势在必行 。奇安信解决方案中心高级总监金多表示 。供应链安全建设面向两个主要场景:第一,用户视角供应链安全管理场景;第二,开发人员视角的供应链安全开发场景 。针对这两大场景,奇安信提供的软件供应链安全解决方案包括代码安全能力、软件空间测绘能力、感知和自主测试能力、自动化流程管理能力等四个部分 。

其中,代码安全能力主要由代码卫和开源卫提供,代码卫可以实现源码安全缺陷和后门分析,开源卫可以实现源码/二进制成分的风险分析,帮助客户尽快发现和规避软件供应链的安全风险 。软件空间测绘能力由奇安信天问供应链安全分析系统实现,多维可持续数据和全面测绘,软件深度分析和要素特征提取 。这两种能力构成了软件供应链安全解决方案的基础套件,满足了众多企业客户最普遍、最迫切的需求 。

奇安信天眼的自动渗透测试工具、补充平台的白帽测试等,基于攻防环境可以发现软件系统的问题和弱点的NGSOC和SOAR实现的流程管理,安全地自动化和应对,缩短问题和事件应对事件,显着提高运营效率这些产品构成软件供应链安全解决方案的高端套件,满足客户更深层次的需求 。

奇安信为供应链安全建设提供了三种目标服务,分别为供应链软件评价服务、供应链软件管理技术支持服务、供应链软件验证服务 。这些系统化安全服务与奇安信核心安全能力相结合,从审批、检测、持续测试、感知、自动化等几个方面,全面确保企业客户供应链安全建设顺利落地 。

此次研讨会还发布了《2021年中国软件供应链安全分析报告》,首次对国内软件供应链各环节的安全风险进行了深入细致的研究和解读,强调了软件供应链建设的紧迫性和重要性 。

    推荐阅读