11月4日��,2021騰訊數(shù)字生態(tài)大會云安全專場在武漢光谷科技會展中心召開���。騰訊安全科恩實驗室專家工程師聶森出席專場論壇���,結(jié)合騰訊安全科恩實驗室的安全研究經(jīng)驗��,分享了他對關(guān)鍵信息基礎(chǔ)設(shè)施軟件供應(yīng)鏈安全的思考與實踐�����。
當(dāng)今社會的正常穩(wěn)定運行����,越來越離不開關(guān)鍵信息基礎(chǔ)設(shè)施的支撐。為進一步保障關(guān)鍵信息基礎(chǔ)設(shè)施安全�����,相關(guān)政策陸續(xù)出臺���。其中�����,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》(以下簡稱“條例”)已于2021年9月1日正式施行����。除了國家級的法律法規(guī)�,海內(nèi)外面向特定行業(yè)的安全法規(guī)也已經(jīng)展開,如UNECE WP.29通過的兩項���,分別針對車輛信息安全管理CSMS���、軟件更新管理SUMS的聯(lián)合國車輛法規(guī)也已于今年1月22日正式生效�����。相關(guān)政策的發(fā)布��,為指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作提供了基本遵循��。
供應(yīng)鏈安全是保障關(guān)鍵信息基礎(chǔ)設(shè)施安全的關(guān)鍵要素
在條例中����,提及一個核心觀點���,即“強化供應(yīng)鏈安全保障工作,保護關(guān)鍵信息基礎(chǔ)設(shè)施安全”���,由此可見供應(yīng)鏈安全的重要性�。然而�,供應(yīng)鏈安全風(fēng)險在當(dāng)前日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢下日顯突出,且一旦出現(xiàn)問題會將給關(guān)鍵信息基礎(chǔ)設(shè)施帶來嚴(yán)重危害����。據(jù)2020年12月FireEye發(fā)布的關(guān)于“太陽風(fēng)”供應(yīng)鏈攻擊通告顯示�,某基礎(chǔ)網(wǎng)絡(luò)管理軟件的軟件更新包中被黑客植入后門����,造成約超過250家美國聯(lián)邦機構(gòu)和企業(yè)受到影響。
“需要注意的是�,關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)的軟件供應(yīng)鏈有一個非常特殊的特點,區(qū)別于其它場景����,我們總結(jié)為——以嵌入式軟件為主,且呈現(xiàn)非常嚴(yán)重的碎片化特性����。”聶森在發(fā)言中強調(diào)���。而這也讓關(guān)鍵信息基礎(chǔ)設(shè)施的安全局勢變得更加復(fù)雜和嚴(yán)峻�。據(jù)有關(guān)數(shù)據(jù)顯示����,480+款固件就檢測出了16000+個安全風(fēng)險,嚴(yán)重與高危風(fēng)險比例超過50%���。經(jīng)過分析和總結(jié)�����,聶森認(rèn)為���,嵌入式系統(tǒng)總體安全形勢堪憂:版本舊���,大量已知漏洞未修復(fù);合規(guī)性檢查缺失��;設(shè)備廠商安全投入成本高�;安全能力不足;用戶回收修復(fù)成本高等���,這些缺陷將直接影響到軟件供應(yīng)鏈的安全��,并進一步影響關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的安全��。
sysAuditor解決方案助力企業(yè)提效降本
針對持續(xù)升級的供應(yīng)鏈攻擊,以及彌補傳統(tǒng)軟件供應(yīng)鏈的缺陷�,騰訊安全科恩實驗室結(jié)合其在安全領(lǐng)域的技術(shù)研究和服務(wù)能力產(chǎn)品化的成果,推出了sysAuditor解決方案���。據(jù)了解��,sysAuditor是一款聚焦于物聯(lián)網(wǎng)系統(tǒng)的基線合規(guī)檢查和二進制軟件成分分析的自動化平臺����,與傳統(tǒng)的嵌入式系統(tǒng)相比,sysAuditor解決方案具有四個核心突破點:核心突破一���、格式支持完善度最高的固件解析能力�;核心突破二�����、最小依賴無侵入動態(tài)信息采集能力�;核心突破三、首創(chuàng)動靜態(tài)信息結(jié)合的基線審計能力����;核心突破四、用AI技術(shù)構(gòu)建二進制軟件成分分析引擎�。sysAuditor解決方案沉淀了科恩實驗室的滲透測試經(jīng)驗,能夠助力企業(yè)實現(xiàn)對研發(fā)漏洞檢測�、系統(tǒng)安全驗收、潛在風(fēng)險規(guī)避和行業(yè)安全管理等的自動化審計,從而提升安全基線�����,降低維護成本��。
事實上�����,早在2020年��,sysAuditor就憑借其突出優(yōu)勢入選了國家級試點���,主導(dǎo)的核心設(shè)計已申請兩項專利����,目前已在智能汽車���、能源��、政府等行業(yè)或機構(gòu)成功落地�����。以上汽集團為例��,上汽集團與騰訊組建了網(wǎng)絡(luò)安全聯(lián)合實驗室���,針對智能網(wǎng)聯(lián)汽車開展車輛攻防和安全技術(shù)研發(fā)工作,通過sysAuditor私有化版本�,補充了自研及上游車機固件、嵌入式系統(tǒng)的安全評估能力����,助力上汽集團保障消費者的財產(chǎn)和人身安全。除此之外�,騰訊安全sysAuditor解決方案也已在國家電網(wǎng)河南電力公司,以及深圳坪山區(qū)智能網(wǎng)聯(lián)汽車示范平臺建設(shè)等國家級項目中投入使用�����。
作為產(chǎn)業(yè)安全領(lǐng)導(dǎo)者���,騰訊安全一直在深耕包括車聯(lián)網(wǎng)�����、5G�����、IoT等在內(nèi)的前沿技術(shù)領(lǐng)域的安全研究��,未來�����,也將繼續(xù)通過產(chǎn)品和服務(wù)將安全能力轉(zhuǎn)化成護航產(chǎn)業(yè)互聯(lián)網(wǎng)的安全生產(chǎn)力��,持續(xù)為各行各業(yè)輸出高效的安全解決方案�����。
