由 dawei
[ BCS2021发布数据显示,我国2020年网络安全产业规模超过1700亿元,较2015年翻了一番。 ]
随着大数据的爆发和企业云部署的加速,如何提高网络技术供应链的安全性,是摆在全世界政府和企业面前的迫切问题。
8月28日,2021北京网络安全大会(BCS2021)的一场线上技术峰会上,来自全球的顶尖网络安全技术专家就网络安全技术的复杂性以及应用展开探讨,并呼吁提高网络安全标准,完善包括开源软件在内的软件供应链安全。
开源软件安全风险大
“大多数组织机构并没有明确掌握他们所使用的软件面临的风险,尤其是在引入开源软件的时候。”弗若斯特研究机构(Forrester)副总裁、集团研究总监劳拉·科茨勒(Laura Koetzle)表示。
科茨勒说道,2021年全球网络安全领域充满了变化和挑战。攻击来自两方面,一个是供应链攻击,另一个是勒索攻击。
今年以来,美国先后发生了针对SolarWinds、Colonial Pipeline、JBS和软件公司Kaseya的一系列网络攻击,令包括能源、食品在内的多个行业损失惨重。“从SolarWinds的供应链攻击开始,黑客就锁定了攻击价值较高的供应链上游,尤其是攻击那些使用较为广泛的软硬件产品,因此通常具备‘攻其一点,伤及一片’的特点。”科茨勒表示。
科茨勒建议,为了应对黑客在目标中潜伏很长时间并植入恶意代码的攻击方式,组织机构应该尝试使用零信任架构,将每一次访问的安全风险降至最低,同时应当建立软件资产清单,便于清晰掌握软件供应链所面临的风险,即便发生攻击,也能在最短时间内做出正确的响应。
开源软件使用的广泛性,给了大量攻击者以可乘之机。数据显示,开源软件存在的漏洞相对较多,因此成为网络攻击的主要对象。根据奇安信发布的《2021中国软件供应链安全分析报告》,在奇安信代码安全实验室分析的2557个国内企业软件项目中,平均每个软件项目存在66个已知开源软件漏洞,最多的软件项目存在1200个已知开源软件漏洞。其中,存在已知开源软件漏洞的项目占比近90%;存在已知高危开源软件漏洞的项目占比超过80%;存在已知超危开源软件漏洞的项目占比超过70%。
“多项开源组件受到高危漏洞影响、松散的开源社区管理难以有效推动漏洞修复以及开源代码的漏洞补丁部署状况混乱,是造成开源代码面临漏洞威胁巨大的三个主要原因。”复旦大学计算机科学技术学院副院长杨珉教授表示,“面对这些不足,我们希望通过挖掘开源组件漏洞、增强开源漏洞信息以及评估漏洞补丁状态等方面的工作来解决。”但他表示,这个过程中仍然遇到了漏洞挖掘效率低、漏洞库信息不完整、补丁部署管理混乱等方面的困难。
除了开源软件之外,互联网核心协议的漏洞问题同样不可小觑。清华大学–奇安信集团联合研究中心主任段海新警告称,互联网基础协议的小问题却有可能酿成互联网安全问题的大隐患。
段海新说道:“经过长期的研究和攻防实践,我们发现了互联网基础协议漏洞的一些显著特征,基础协议的漏洞影响范围很广,但想要运用自动化的方法来挖掘或者寻找漏洞却十分困难。并且,这些互联网协议漏洞绝大多数都是逻辑漏洞,甚至许多漏洞是多个系统组合在一起才出现的,需要多个系统组合在一起才能发现。”