Lazarus 集團利用已知漏洞攻擊軟件供應商

信息安全產業是四川的特色產業。近日，《四川省“十四五”信息安全產業發展規劃》正式出臺，將推動四川省信息安全產業發展，為數字經濟發展保駕護航。11月22日，省經信廳召開新聞發布會，對《規劃》進行解讀。

云評估作為確保中國政府和關鍵基礎設施領域云平臺安全的重要措施，云平臺的供應鏈安全也將會成為云評估關注的重點之一。

雙方將結合各自業務優勢，進行能力融合，共同攜手推出全方位解決方案。

《安全要求》給出了軟件供應鏈安全保護目標，規定了軟件供應鏈組織管理和供應活動管理的安全要求；適用于指導軟件供應鏈中的需方、供方開展組織管理和供應活動管理，可為第三方機構開展軟件供應鏈安全測試和評估提供依據，也可為主管監管部門提供參考。

軟件產品和服務關系生產、生活的各個方面，軟件供應鏈安全直接影響社會的穩定運行。

隨著軟件技術的飛速發展和軟件開發技術的不斷進步，軟件開發和集成過程中常會應用第三方軟件產品或開源組件，其供應鏈中軟件的安全性和可靠性逐步成為軟件產業面臨的重要安全問題。近年來大量涌現的軟件供應鏈安全事件則具有不同的特點，攻擊軟件供應鏈相較于攻擊軟件本身，難度和成本顯著降低，影響范圍一般顯著擴大，并且由于攻擊發生后被供應鏈上的多次傳遞所掩蓋，難以被現有的計算機系統安全防范措施識別和處理。

工業信息安全快訊

針對軟件供應鏈的網絡攻擊，常常利用系統固有安全漏洞，或者預置的軟件后門開展攻擊活動，并通過軟件供應鏈形成的網鏈結構將攻擊效果向下游傳播給供應鏈中所有參與者。近年來，軟件供應鏈網絡攻擊事件頻發，影響越來越大。據 Accenture 公司調查，2016 年 60% 以上的網絡攻擊是供應鏈攻擊。裝備軟件供應鏈安全事關國家安全、軍隊安全，一旦出現安全風險將會給國家和軍隊帶來重大安全挑戰，產生的后果不堪設想。

各類攻防演練的結果證明，軟件供應鏈攻擊已成為投入低、見效快、易突破的有效方式。總體思路與原則：合規是底線，管理是準則，制度是要求，技術是支撐，服務是保障，流程是協作。安全管理制度的建立，能夠規范軟件供應鏈涉及的內部、外部角色的行為，同時提供制度性保障。其次，針對軟件開發各階段與存在的風險，引入對應的安全能力，提供技術支撐，確保安全質量。