接上回说到
“微软蓝屏”事件引发
默安科技对软件供应链安全的思考
对此大家反响热烈
那么本期默安科技产品总监满弘鹏
又会带来哪些巧妙的思考呢
请各位看官往下看
上期节目听下来,软件供应链带来的安全问题比我们想象中更复杂呀!
是的,本期我先给大家分享一个直采软件导致安全问题的案例。
某大型企业业务涉及多个领域,需要采购各种商业软件来支持其日常运营和业务发展。这些采购的软件通常以二进制形式提供,供应商不提供源代码或详细的组件信息。该公司需要确保这些采购软件在使用过程中不存在安全漏洞、后门或其他潜在的安全风险,只是采取了渗透测试和漏洞扫描的方式对商业软件进行安全检测,在检测中未发现安全漏洞。
图源 AI作图
2024年2月,该公司采购的一款商业数据库软件被发现其核心组件存在严重的安全漏洞。该漏洞允许攻击者通过远程代码执行方式获取数据库管理权限,进而访问和篡改敏感数据。由于该公司在采购过程中无法获取软件的详细成分信息和漏洞信息,这一漏洞在部署后的安全扫描中未能被及时发现,导致攻击者成功入侵系统,造成重大数据泄露和业务中断。
看明白了,软件采购作为软件供应链重要的一环,但是采购的软件不同于开源软件或自研软件,只能提供制品或二进制文件这种很难通过常规手段获取组件的材料,那面对这种情况我们有什么好的解决方案吗?
问题五
很多时候,理论有了,真正落地发挥效果也非常重要。那我们想要保证软件供应链安全落地,有没有什么好的手段呢?
借助工具高效地修复组件漏洞至关重要!
那面对大量的组件和漏洞风险信息,我们能否给一个方案来辅助组件漏洞的修复呢?
问题六
可能讲得太技术了,我这里还有个客户案例可以分享给大家,我们有个客户是某大型互联网企业,旗下拥有多个在线平台和服务。这些平台和服务使用了大量开源组件和第三方库,这些组件和库在不断被更新和发布新的版本。该公司通过定期的安全扫描(如SCA工具)来检测其软件供应链中的漏洞,但每次扫描都会产生大量的漏洞结果,给漏洞修复带来了巨大的挑战。
2024年3月,该公司在一次定期安全扫描中发现了部分组件的高危安全漏洞,这些漏洞涉及到核心业务系统和外围应用。由于安全团队无法直接对这些组件漏洞的可利用性进行有效的验证,同时研发团队和安全团队对于漏洞的真实有效性存在分歧,导致未能及时有效地修复这些漏洞,攻击者利用其中一个高危漏洞成功入侵了该公司的某个核心系统,窃取了大量用户数据,最终导致严重的数据泄露和业务中断。
所以啊,软件供应链安全作为一个十分庞大的概念,要建设相关的体系其实并不容易。
是的,我曾经还碰到的一个客户,这个客户呢是某大型国企,他们在数字化转型的过程中使用了大量的信息管理系统,软件供应链非常复杂,包括商采、自研、外包开发等多种场景,因此非常重视软件供应链安全问题。
他们的安全部门着手开展软件供应链安全体系建设并购买SCA产品,对自研和定制的软件进行组件安全检查。面对严峻的国际形势,又开展了对供应商的严格的资格审查和安全评估。但是在一次攻防演练中,攻击者利用外包服务人员使用的VPN软件的0day漏洞进行攻击,获得重要信息系统的服务器管理员权限,于是该企业又开始进行外包服务人员的安全意识培训,但成效甚微。
亡羊补牢肯定不是好办法,那你认为在建设过程中的一个最重要最直接的抓手是什么呢?
问题七
说了这么久啊,提到了好几次我们默安科技的软件供应链安全评估平台,那你认为平台的核心优势有哪些呢?
问题八
非常感谢小满为我们带来了两期精彩的软件供应链安全问题解答,安小默研学季持续进行中,接下来我们还会给大家带来更精彩的软件供应链安全主题内容,敬请关注!