超60%的金融行業代碼庫存在漏洞
“97%的金融服務/金融科技行業代碼庫包含開源,其中超過60%的代碼庫存在漏洞。”根據公開數據顯示,金融行業的軟件供應鏈安全形勢十分嚴峻,從源頭解決軟件開發安全問題、實現安全左移勢在必行。
供應鏈安全風險繁雜 涵蓋技術、管理等多個環節
近年來,國內外供應鏈安全事件屢見不鮮,例如大家所熟知的SolarWinds事件等,導致包括美國關基、軍隊、政府在內的18000多家客戶全部受到影響,成為年度最嚴重的供應鏈安全事件。在國內,部分軟件供應商在開發過程中缺少安全活動,或供應商自身存在網絡安全缺陷,進而導致的源代碼泄露、運維權限泄露,直接影響了最終用戶的引用系統安全性。
軟件供應鏈安全影響重大,各國紛紛推行政策法規推動軟件供應鏈安全保護工作。2021 年 5 月 12 日,美國總統拜登簽署發布《改善國家網絡安全行政令》,明確提出改善軟件供應鏈安全,要求構建更有彈性且安全的軟件供應鏈環境,確保美國的國家安全。同年 7 月,美國國家標準與技術所(NIST)發布《開發者軟件驗證最低標準指南》,進一步為加強軟件供應鏈安全加碼。
我國對軟件供應鏈安全問題也給予了高度重視,除了等保2.0等標準要求之外,今年有多個重點行業推出針對供應鏈安全的詳細工作要求。
奇安信安全專家認為,供應鏈的安全風險很繁雜,這些風險來自軟件開發、集成交付、運維運營等環節,也可能來自提供咨詢、系統集成、運維測評等服務的服務商。
這些風險大體上可以歸納成兩個大類,第一類是軟件產品本身的安全隱患,例如開源組件缺陷、軟件漏洞等;第二類是軟硬件產品服務提供商自身存在的安全隱患,例如重要系統端口暴露、弱口令、人員權限管理不善等。
攻擊者可以利用上述的兩類隱患,通過植入、替換、源代碼分析、跳板攻擊等手法,實現對應用系統的攻擊。
供應鏈安全建設涉及企業和組織內的多個部門,除了網絡安全部、項目建設、運維運營、質量管理等部門外,還涉及供應商管理、商務采購等部門。同時供應鏈安全建設也涉及管理制度、管理流程的設計和落地。
五大建議三項舉措
幫助重點行業應對供應鏈安全風險
結合上述背景,國家多個行業監管部門近期提出了對供應鏈安全風險的警示,并作出了工作部署和工作要求。針對供應鏈安全風險,奇安信總結了以下五個方面的建設意見。
第一是增強自身的風險防范意識,提高對供應鏈安全關注。
組織內部相關部門學習供應鏈安全知識,了解軟件供應鏈風險。建設涵蓋代碼檢測、開源檢測、軟件成分分析、軟件行為分析、滲透測試在內的安全檢測能力,并以上述檢測能力,支持風險評估和審計工作。
第二是明確供應鏈安全責任部門和流程。
這里既要明確供應鏈安全的核心責任部門,也需要明確相關部門的責任。同時根據自己的業務特點和既有的業務流程,制定供應鏈安全的管理制度、管理流程和應急響應預案。
第三是建立供應商安全評估能力體系,建立開源組件檢測能力和開源情報系統。
供應商安全評估能力體系至少包括了兩部分的內容,一個是供應商安全能力要求,另一個是供應商安全審查的機制。特別是要求供應商建設開源組件分析能力,能提供開源組件臺賬和開源風險情報,以及開源漏洞響應機制、漏洞修補的能力。
第四是建設軟件安全開發體系。
在執行開發軟件系統和由供應商定制開發軟件系統兩個場景內,開發團隊應結合實際的開發流程,參考軟件安全開發的模型與最佳實踐,在開發流程中引入響應的安全活動。
這些安全活動包括但是不限于安全需求分析、安全特性設計、安全編碼規范、安全測試、安全交付、安全運行等環節。這個過程中應重點關注開源組件的引入和管理,以及長期的漏洞檢測機制建設、安全事件響應機制建設。
第五是督促供應商加強自身的網絡安全建設。
供應商應按照甲方要求,或參考等級保護等安全標準,建設建全自身的網絡安全管理機制和技術體系。防止供應商自身的信息安全隱患威脅到最終用戶的安全性。
針對廣大客戶在供應鏈安全領域遇到的安全問題,奇安信可以為客戶提供以下三類服務。
首先是咨詢規劃服務。
奇安信結合自身的供應鏈安全實踐以及對監管政策的理解,和客戶一起,結合客戶的具體業務,為客戶打造符合自身實際情況的供應鏈管理制度、管理流程。包括供應商安全要求、供應商準入制度、供應商安全檢查制度、安全開發流程制度、安全編碼規范、供應鏈安全響應機制等。
其次是供應鏈安全相關能力。
這其中包括源代碼審計能力、開源組件審計能力、開源漏洞情報、滲透測試能力、軟件安全分發、運行環境加固、權限管理、供應鏈安全攻防等,更廣泛的安全能力還包括為供應商建設完整的網絡安全體系。
最后是供應鏈安全相關標準和體系的落地。
隨著未來供應鏈相關標準的推出,奇安信也希望能與軟件開發方、使用方一起,打造支持相關標準和流程的具體落地的業務系統,例如安全開發管理平臺、開源管理平臺、供應鏈安全管理平臺等。
“在網絡空間對抗不斷升級、數字化加速轉型、國家戰略推動、開源代碼被普遍使用的情況下,軟件供應鏈安全建設是大勢所趨。”此前,奇安信解決方案中心高級總監金多表示。
接下來,奇安信愿意與軟件使用方、開發商、服務商一起,結合行業背景與實際業務情況,遵照標準要求,助力金融等行業客戶共同打造更安全的軟件供應鏈體系。
