在美國“輕量化”網路武器威脅之下, 企業如何保護自身網路安全?

haiyunan發表於2022-04-24

在美國“輕量化”網路武器威脅之下, 企業如何保護自身網路安全?

 Secidea 

VOL.1   美國“輕量化”網路武器威脅背景


國家計算機病毒應急處理中心釋出報告指出,現有國際網際網路骨幹網和世界各地的重要關鍵資訊基礎設施當中,只要包含美國公司提供的軟硬體,就極有可能被內嵌各類的“後門程式”,從而成為美國政府網路公積的目標。


中國國家計算機病毒應急處理中心日前就美國政府對各國開展網路攻擊發出預警併發布相關報告,曝光了美國政府專用的“輕量化”網路武器,以及在全球範圍部署網路攻擊平臺,並在法國、德國、加拿大、土耳其、馬來西亞等設定多層跳板伺服器和VPN通道。對此,外交部發言人汪文斌4月20日在例行記者會上應詢表示,中方對美國政府不負責任的惡意網路活動表示嚴重關切,敦促美方作出解釋,並立即停止相關惡意活動。


中華人民共和國外交部發言人汪文斌指出,一段時間以來,美以提升能力為由,極力鼓動相關國家,特別是中國周邊國家與美開展網路安全合作,甚至實施所謂的網路軍事力量“前沿部署”。“此類合作是否會為美惡意網路活動洞開‘後門’?是否會淪為美方鼓動地緣對抗的棋子?我們相信相關國家自有判斷。”


 Secidea 

VOL.2   如何保護企業原始碼安全


現實生活中,網路攻擊無處不在,資訊保安關係你我,資訊保安馬虎不得。應對網路攻擊,保護程式碼安全是保護網路安全的第一步。

從源程式碼層面進行安全測試,是保障業務系統安全性不可或缺的一個方向。原始碼安全檢測,就是從程式碼的控制流、資料流、安全配置等方向,對業務系統開發過程的原始碼進行安全審計以白盒測試的方式對原始碼進行測試分析,從根本上發現業務系統的潛在漏洞。與滲透測試、功能測試、效能測試、合規性測試等黑盒測試形成互補,解決黑盒測試設計的大量用例未能覆蓋到的問題。原始碼安全檢測一方面能夠提前發現應用軟體設計或實現中存在安全漏洞,促進及時對應用系統漏洞進行修復,從未降低業務系統安全運維、漏洞挖掘和漏洞修復的成本。另一方面,透過對原始碼安全檢測貫徹安全開發規範,使用審計過程中發現的漏洞及相關解決方案,與開發人員進行安全開發宣貫、互動與共鳴,可以有效地提高開發人員的安全開發意識,解決大量開發人員安全開發意識參差不齊的問題。

對原始碼進行安全檢測,最大的優勢是可在軟體開發生命週期早期發現安全問題。原始碼安全檢測可以在開發週期程式碼編寫階段實施,早期發現安全隱患。如果是在釋出後執行程式碼修復,其修復成本相當於在設計階段執行修復的30倍,做原始碼安全檢測,可以大大降低程式碼修復成本。不僅如此,對原始碼進行安全檢測還可指出問題的根源,而不僅僅是症狀;當出現一種新的安全問題時,靜態分析工具可以對大量程式碼進行重新檢查,改進程式碼質量,提高攻擊的門檻。原始碼審計是SDL中不可或缺的環節,在DevOps中扮演著重要的角色。


海雲安原始碼檢測分析管理平臺(SCAP)以發現應用程式開發過程中造成的安全漏洞為目的,對已有的程式碼進行深度檢測、分析對導致安全漏洞的錯誤程式碼進行定位和驗證,從根源上分析軟體的安全隱患,降低原始碼出現的安全漏洞,提供補救建議,從底層保障應用系統本身的安全,降低應用系統的開發及維護成本


該平臺可實現多環境整合,多種程式碼來源對接,Cl構建環境整合,一鍵提交,自動掃描,完美融合到安全開發過程中。且可實現多引擎檢測,分散式部署,融合多維檢測引擎,快速審計分析,漏洞精準定位,減少誤報漏報。支援Java,C,C++,C#,JSP,PHP,ASP, Python,Go等多種語言。最後生成多種報告報表,多層面分析,快速一鍵匯出報告。


 Secidea 

VOL.3  如何應對企業開源元件安全風險


當前開源軟體的整體安全形勢也不容樂觀,隨著開源元件的不斷增多,大量的第三方開源元件被放到產品中,導致軟體供應鏈變得越來越複雜。


在近兩年來爆發的各類開源軟體安全事件中,如SolarWinds事件中其旗下被駭客在原始碼中植入後門的Orion基礎設施管理平臺、Apache Log4j漏洞事件中Apache Log4j日誌記錄元件等等,這些事實上都是軟體開發人員日常會使用到的開源元件,也就是說,風險事實上就在我們身邊。


作為一家專業的開發安全廠商,海雲安在服務使用者的過程中發現,許多使用者會更加關注自身程式編碼安全本身的風險,也為之採購了大量的AST工具來解決編碼過程中的安全問題。但在另一個層面,由開源軟體帶來的外在風險卻並沒有得到足夠的重視。


海雲安開源元件安全管理平臺是一個基於B/S架構的系統,分為前端瀏覽器訪問、內容展示和後臺檢測引擎、服務端管理等兩大模組。從平臺整體功能來說,開源元件安全檢測系統能夠支援Java、JS、Python等語言開源元件進行掃描檢測,能夠對檢測後的結果進行展示、稽核和整改跟進管理,並且可以對檢測和和稽核後的結果快速形成報告進行匯出。在系統前端,可以實現一鍵上傳開源元件、提交後臺自動掃描檢測,並且能夠快速生成報告。另外,在平臺上還可以根據自動化掃描結果進行人工開源元件稽核,排查誤報,對報告的內容進行加工處理,並且可以在平臺上可以與多使用者進行漏洞確認和修復情況跟進。在系統後端,是結合資料庫管理、任務分發管理和源開元件掃描引擎於一體的綜合性平臺。能夠根據前端提交的開源元件自動啟動相應的掃描引擎,掃描結束後能夠把掃描結果自動入庫管理。


從系統的使用特點來說,開源元件檢測分析管理系統是一個整合一鍵上傳、自動檢測、誤報加白、掃描結果人工稽核、元件漏洞確認、開源元件修復跟進、檢測版本對比、報告匯出、漏洞管理、使用者管理等功能與一體的綜合性檢測管理平臺。


當前企業層面對風險管理的意識也正在逐漸增強,這進一步促進了市場上SCA產品的發展。實際上在當前很多軟體專案中,除了一些特別核心的業務功能外,很多功能都是由開源元件來實現的,甚至還有一部分是直接外包給第三方開發團隊來完成,在這種情況下,企業更應去關注相關的安全風險,提升相應的安全能力。



相關文章