打造软件安全风险感知能力 | 某经济特区安全实践
2024-9-20 18:23:52 Author: mp.weixin.qq.com(查看原文) 阅读量:6 收藏

 扫码订阅《中国信息安全》

邮发代号 2-786

征订热线:010-82341063

文 | 深圳开源互联网安全技术有限公司 周剑冬 邓龙 汪杰 徐增智
软件技术是数字政府和企业数字化发展的基石,是关键信息基础设施中的重要组成部分,软件安全则是保障政府和企业数字化健康发展的前提和安全发展的底座。近年来,由于软件安全缺陷而引发的安全事件层出不穷。“永恒之蓝”勒索病毒攻击、“太阳风”软件供应链攻击及代码测试和数据托管平台(Codecov)敏感信息泄露等事件的发生,说明软件自身的安全保障和实时软件安全风险感知将成为信息化项目建设最重要的考虑因素之一。2016年4月19日,习近平总书记在主持召开网络安全和信息化工作座谈会时提出:“要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。”随着软件供应链安全风险日益加剧,以软件安全为核心的风险感知已成为网络空间安全领域不可或缺的重要版图,可为用户应对日益严峻的软件安全挑战提供坚实的系统级保障。

软件安全风险感知平台的建设思路

软件系统的安全建设是一个复杂的体系,覆盖了软件设计、开发、测试、上线、部署、运维等各个阶段,它不仅包括系统软件、应用软件和第三方软件的安全管理,还包括软件许可协议、代码归属权等合规性管理。若不加防范或者处理不当,可能给软件使用单位带来巨大的负面影响。

软件安全风险感知平台可通过检测源代码包、部署包等方式从源头减少漏洞的产生,实现安全左移;同时通过系统插桩等技术手段在运行时实时监测外部访问,动态梳理软件资产;此外,借助平台检测和防御零日漏洞能力,也可大幅降低网络安全风险的处置压力与整改难度。通过一系列技术手段帮助用户在软件生命周期的各个阶段从容应对软件安全威胁与风险。
软件安全风险感知平台主要包含软件物料清单管理系统(SBOM)、运行时应用自我保护系统(RASP)、软件安全风险感知系统(ASPM)三大核心子系统。可实现以下四项基本能力:
1. 检测与监控:提供持续软件开发、上线前的检测能力和上线后的持续监控能力,及时发现各种安全漏洞和攻击威胁,特别是来自软件供应链的攻击;
2. 分析与响应:建立研判分析能力及威胁自动防御能力,对威胁的影响范围、攻击路径、目的、手段进行快速研判,辅助安全运营人员进行有效的安全决策,或者根据自定义安全策略进行自动防御;
3. 预测与预防:建立大数据分析、威胁可视化能力、威胁预警机制,全面掌握攻击者战略目的、技战术等信息,对威胁进行预测预防;
4. 防御与加固:建立风险通报、事件溯源、整改建议等能力,利用掌握的攻击者情报,进一步完善防御体系。
软件安全风险感知平台作为软件系统,其自身的安全也同样重要。平台按照OWASP S-SDLC软件安全开发生命周期的方法论进行开发,在软件开发的需求分析、设计、开发、测试、部署、运维等各个阶段均开展了合适的安全活动,确保平台本身自身的安全性。同时,平台严格遵循GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》等相关标准和规范进行了软件安全设计。

软件安全风险感知3大价值助推特区数字经济建设

软件安全风险感知是“安全左移”的重要实践,目前该解决方案已在某经济特区落地实施,且与当地各类政务服务平台对接,当外部发生重大安全事件时,可在第一时间准确定位到受影响的软件资产,及时做出响应和处置,并对各类数据进行综合分析,直观呈现软件系统风险等指数,及时下达整改任务并跟踪处理进度。其主要为建设单位实现以下3大价值:

1.提升基于工具、人员、制度、流程全维度可闭环的软件安全运营能力
建设可持续的安全运营体系,通过建设软件安全风险感知平台,有效地将平台、人员、制度、流程有机的结合起来,从安全事件的事前、事中和事后三个维度出发,形成安全工作的闭环,实现安全运营工作的自动化,极大提高了安全管理和运营效率。构建内外部风险感知能力、安全威胁分析能力、安全事件快速预警能力、安全事件协同响应能力,设计覆盖安全监测、分析、预警、处置的闭环流程。通过持续的监控分析,提升动态防御、主动防御水平,推动安全运营体系的不断演进。
2.全面提升软件安全可知、可见、可控的风险感知能力
通过建设软件安全风险感知平台,形成软件安全信息汇总枢纽、安全事件调查处置中心、安全风险感知中心,提升对软件安全事件风险的预警和响应能力。深化已建安全项目的持续提升、提高IT资源防护水平,有效强化安全风险管理在软件资产方面的可知、可辨、可控、可管与可视能力,提升安全风险事件处置水平与安全运营效率,提高对安全宏观整体态势的掌控、分析和评估水平。并通过该项目建设具有软件资产风险威胁建模、软件安全信息感知、软件安全事件分析、软件安全事件预警及软件安全事件应急处置能力的一体化技术支撑平台。
经过多次实战演练的检验,该系统可帮助防守方在攻防演练期间重点监测靶标系统,安全运维人员可将软件安全风险感知平台作为攻防演练期间的作战指挥平台。
3.多场景下的软件资产风险发现及防护能力

软件安全风险管理平台通过在各应用系统插桩探针获取应用运行时上下文信息来研判访问行为的合理性,做到无需源代码即可实现代码级别的软件资产发现及漏洞风险发现能力,解决了困扰系统使用单位多年的源代码保密及归属权问题,避免了许多不必要的纠纷,更全面地覆盖了软件安全管理的各种场景。

分享网络安全知识 强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”

点击下图 了解详情


文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664225807&idx=2&sn=11e283e31058c18e386969d3c603d3e5&chksm=8b59def6bc2e57e0ede8464a5927e8ac99b7e2286ca34a210ff663e7d2caee45fe30e0c2771f&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh