“97%的金融服务/金融科技行业代码库包含开源,其中超过60%的代码库存在漏洞。”根据公开数据显示,金融行业的软件供应链安全形势十分严峻,从源头解决软件开发安全问题、实现安全左移势在必行。
供应链安全风险繁杂 涵盖技术、管理等多个环节
近年来,国内外供应链安全事件屡见不鲜,例如大家所熟知的SolarWinds事件等,导致包括美国关基、军队、政府在内的18000多家客户全部受到影响,成为年度最严重的供应链安全事件。在国内,部分软件供应商在开发过程中缺少安全活动,或供应商自身存在网络安全缺陷,进而导致的源代码泄露、运维权限泄露,直接影响了最终用户的引用系统安全性。
软件供应链安全影响重大,各国纷纷推行政策法规推动软件供应链安全保护工作。2021 年 5 月 12 日,美国总统拜登签署发布《改善国家网络安全行政令》,明确提出改善软件供应链安全,要求构建更有弹性且安全的软件供应链环境,确保美国的国家安全。同年 7 月,美国国家标准与技术所(NIST)发布《开发者软件验证最低标准指南》,进一步为加强软件供应链安全加码。
我国对软件供应链安全问题也给予了高度重视,除了等保2.0等标准要求之外,今年有多个重点行业推出针对供应链安全的详细工作要求。
奇安信安全专家认为,供应链的安全风险很繁杂,这些风险来自软件开发、集成交付、运维运营等环节,也可能来自提供咨询、系统集成、运维测评等服务的服务商。这些风险大体上可以归纳成两个大类,第一类是软件产品本身的安全隐患,例如开源组件缺陷、软件漏洞等;第二类是软硬件产品服务提供商自身存在的安全隐患,例如重要系统端口暴露、弱口令、人员权限管理不善等。攻击者可以利用上述的两类隐患,通过植入、替换、源代码分析、跳板攻击等手法,实现对应用系统的攻击。
供应链安全建设涉及企业和组织内的多个部门,除了网络安全部、项目建设、运维运营、质量管理等部门外,还涉及供应商管理、商务采购等部门。同时供应链安全建设也涉及管理制度、管理流程的设计和落地。
五大建议三项举措 帮助重点行业应对供应链安全风险
结合上述背景,国家多个行业监管部门近期提出了对供应链安全风险的警示,并作出了工作部署和工作要求。针对供应链安全风险,奇安信总结了以下五个方面的建设意见。
第一是增强自身的风险防范意识,提高对供应链安全关注。组织内部相关部门学习供应链安全知识,了解软件供应链风险。建设涵盖代码检测、开源检测、软件成分分析、软件行为分析、渗透测试在内的安全检测能力,并以上述检测能力,支持风险评估和审计工作。
第二是明确供应链安全责任部门和流程。这里既要明确供应链安全的核心责任部门,也需要明确相关部门的责任。同时根据自己的业务特点和既有的业务流程,制定供应链安全的管理制度、管理流程和应急响应预案。
第三是建立供应商安全评估能力体系,建立开源组件检测能力和开源情报系统。供应商安全评估能力体系至少包括了两部分的内容,一个是供应商安全能力要求,另一个是供应商安全审查的机制。特别是要求供应商建设开源组件分析能力,能提供开源组件台账和开源风险情报,以及开源漏洞响应机制、漏洞修补的能力。
第四是建设软件安全开发体系。在执行开发软件系统和由供应商定制开发软件系统两个场景内,开发团队应结合实际的开发流程,参考软件安全开发的模型与最佳实践,在开发流程中引入响应的安全活动。这些安全活动包括但是不限于安全需求分析、安全特性设计、安全编码规范、安全测试、安全交付、安全运行等环节。这个过程中应重点关注开源组件的引入和管理,以及长期的漏洞检测机制建设、安全事件响应机制建设。
第五是督促供应商加强自身的网络安全建设。供应商应按照甲方要求,或参考等级保护等安全标准,建设建全自身的网络安全管理机制和技术体系。防止供应商自身的信息安全隐患威胁到最终用户的安全性。
针对广大客户在供应链安全领域遇到的安全问题,奇安信可以为客户提供以下三类服务。
首先是咨询规划服务。奇安信结合自身的供应链安全实践以及对监管政策的理解,和客户一起,结合客户的具体业务,为客户打造符合自身实际情况的供应链管理制度、管理流程。包括供应商安全要求、供应商准入制度、供应商安全检查制度、安全开发流程制度、安全编码规范、供应链安全响应机制等。
其次是供应链安全相关能力。这其中包括源代码审计能力、开源组件审计能力、开源漏洞情报、渗透测试能力、软件安全分发、运行环境加固、权限管理、供应链安全攻防等,更广泛的安全能力还包括为供应商建设完整的网络安全体系。
最后是供应链安全相关标准和体系的落地。随着未来供应链相关标准的推出,奇安信也希望能与软件开发方、使用方一起,打造支持相关标准和流程的具体落地的业务系统,例如安全开发管理平台、开源管理平台、供应链安全管理平台等。
“在网络空间对抗不断升级、数字化加速转型、国家战略推动、开源代码被普遍使用的情况下,软件供应链安全建设是大势所趋。”此前,奇安信解决方案中心高级总监金多表示。接下来,奇安信愿意与软件使用方、开发商、服务商一起,结合行业背景与实际业务情况,遵照标准要求,助力金融等行业客户共同打造更安全的软件供应链体系。
【免责声明】本文仅代表合作供稿方观点,不代表和讯网立场。投资者据此操作,风险请自担。
最新评论