“供應(yīng)鏈連接了這個(gè)世界的每個(gè)角落，無(wú)論物理空間還是網(wǎng)絡(luò)空間。一個(gè)組織已經(jīng)不能僅僅通過(guò)保護(hù)自己的基礎(chǔ)設(shè)施來(lái)保護(hù)自己。” 6月2日，在奇安信集團(tuán)舉辦的軟件供應(yīng)鏈安全專題研討會(huì)上，奇安信集團(tuán)解決方案中心宣布推出面向軟件供應(yīng)鏈安全的整體解決方案，助力企業(yè)加強(qiáng)供應(yīng)鏈安全建設(shè)。

奇安信集團(tuán)解決方案中心高級(jí)總監(jiān)金多

近年來(lái)，針對(duì)軟件供應(yīng)鏈的攻擊事件一直呈快速增長(zhǎng)態(tài)勢(shì)，造成的危害也日益嚴(yán)重。2020年12月，全球最著名的網(wǎng)絡(luò)安全管理軟件供應(yīng)商SolarWinds遭遇國(guó)家級(jí)APT團(tuán)伙高度復(fù)雜的供應(yīng)鏈攻擊并植入木馬后門，導(dǎo)致包括美國(guó)關(guān)鍵基礎(chǔ)設(shè)施、軍隊(duì)、政府在內(nèi)的18000多家企業(yè)客戶全部受到影響，成為年度最嚴(yán)重的供應(yīng)鏈安全事件。今年2月，一名研究員通過(guò)一種新穎的軟件供應(yīng)鏈攻擊方式，成功的侵入了微軟、蘋果、PayPal、特斯拉、優(yōu)步等35家國(guó)際大型科技公司的內(nèi)網(wǎng)。

為應(yīng)對(duì)軟件供應(yīng)鏈安全挑戰(zhàn)，美國(guó)總統(tǒng)拜登在2021年5月12日簽署了“加強(qiáng)國(guó)家網(wǎng)絡(luò)安全的行政命令”，明確提出要增強(qiáng)美國(guó)聯(lián)邦政府的軟件供應(yīng)鏈安全，該行政命令被認(rèn)為是迄今為止美國(guó)聯(lián)邦政府為保護(hù)美國(guó)軟件供應(yīng)鏈安全采取的最強(qiáng)勁措施。在不久前結(jié)束的網(wǎng)絡(luò)安全行業(yè)年度盛會(huì)RSAC 2021上，供應(yīng)鏈安全成為最熱門的主題之一。

“在網(wǎng)絡(luò)空間對(duì)抗不斷升級(jí)、數(shù)字化加速轉(zhuǎn)型、國(guó)家戰(zhàn)略推動(dòng)、開(kāi)源代碼被普遍使用的情況下，軟件供應(yīng)鏈安全建設(shè)勢(shì)在必行。” 奇安信解決方案中心高級(jí)總監(jiān)金多表示。供應(yīng)鏈安全建設(shè)面向兩個(gè)主要的場(chǎng)景：第一是用戶視角的供應(yīng)鏈安全管理場(chǎng)景；第二是開(kāi)發(fā)者視角的供應(yīng)鏈安全開(kāi)發(fā)場(chǎng)景。針對(duì)這兩大場(chǎng)景，奇安信提供的軟件供應(yīng)鏈安全解決方案，包括代碼安全能力、軟件空間測(cè)繪能力、感知與自主測(cè)試能力、自動(dòng)化流程管理能力等四個(gè)部分。

其中，代碼安全能力主要由代碼衛(wèi)士和開(kāi)源衛(wèi)士提供，代碼衛(wèi)士可實(shí)現(xiàn)源代碼安全缺陷及后門分析，開(kāi)源衛(wèi)士能實(shí)現(xiàn)基于源代碼/二進(jìn)制成分的風(fēng)險(xiǎn)分析，幫助客戶盡早發(fā)現(xiàn)和規(guī)避軟件供應(yīng)鏈安全風(fēng)險(xiǎn)。軟件空間測(cè)繪能力由奇安信天問(wèn)供應(yīng)鏈安全分析系統(tǒng)實(shí)現(xiàn)，可實(shí)現(xiàn)多維度的可持續(xù)數(shù)據(jù)與全面測(cè)繪，以及軟件深度剖析與元素特征提取。這兩項(xiàng)能力構(gòu)成了軟件供應(yīng)鏈安全解決方案的基礎(chǔ)套件，滿足廣大企業(yè)客戶最普遍也是急迫的需求。

奇安信天眼的自動(dòng)化滲透測(cè)試工具，補(bǔ)天平臺(tái)的白帽測(cè)試等，可基于攻防環(huán)境下發(fā)現(xiàn)軟件系統(tǒng)的問(wèn)題和弱點(diǎn)；通過(guò)NGSOC和SOAR實(shí)現(xiàn)的流程管理，通過(guò)安全編排自動(dòng)化與響應(yīng)，縮短問(wèn)題和事件響應(yīng)事件，顯著提高運(yùn)營(yíng)效率，實(shí)現(xiàn)基于流程的持續(xù)發(fā)現(xiàn)、實(shí)時(shí)反應(yīng)、有效拒止。這些產(chǎn)品構(gòu)成軟件供應(yīng)鏈安全解決方案的高級(jí)套件，滿足客戶更深層的需求。

奇安信為供應(yīng)鏈安全建設(shè)提供了三大類有針對(duì)性的服務(wù)，分別為供應(yīng)鏈軟件評(píng)估服務(wù)，供應(yīng)鏈軟件管理技術(shù)支持服務(wù)，供應(yīng)鏈軟件驗(yàn)證服務(wù)。這些系統(tǒng)化安全服務(wù)和奇安信核心安全能力相結(jié)合，從審查、檢查、持續(xù)測(cè)試、感知、自動(dòng)化等幾個(gè)方面，全面確保企業(yè)客戶的供應(yīng)鏈安全建設(shè)順利落地。

據(jù)悉，本次研討會(huì)還發(fā)布了《2021年中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》，首次對(duì)國(guó)內(nèi)軟件供應(yīng)鏈各個(gè)環(huán)節(jié)的安全風(fēng)險(xiǎn)，進(jìn)行了深入細(xì)致的研究和解讀，凸顯了軟件供應(yīng)鏈建設(shè)的緊迫性和重要性。