近90开源软件存在漏洞治理至上开辟网络安全行业新局面

随着大数据的爆发和企业上云部署的加速,如何提高网络技术供应链的安全性是世界各国政府和企业面临的紧迫问题。

8月28日,在2021年北京网络安全大会(BCS2021)线上技术峰会上,来自全球的顶尖网络安全技术专家共同探讨了网络安全技术的复杂性和应用,呼吁完善网络安全标准、提升软件供应链安全,包括开源软件。

开源软件存在较高的安全风险

“大多数组织对他们使用的软件的风险没有清楚的了解,特别是在引入开源软件时。” Forrester Laura Koetzle 副总裁兼集团研究总监 Laura Koetzler 表示。

科茨勒表示,2021年全球网络安全领域充满变化和挑战。 攻击来自两个方面,一是供应链攻击,二是勒索攻击。

今年以来,美国发生了一系列针对SolarWinds、Colonial Pipeline、JBS和软件公司Kaseya的网络攻击,给能源、食品等多个行业造成重大损失。 “从SolarWinds供应链攻击开始,黑客就瞄准了攻击价值较高的供应链上游,特别是针对广泛使用的软硬件产品进行攻击。因此,他们通常具有‘攻击一点、破坏全部’的特点。” ‘。” 泽勒说道。

Kotzler建议,为了应对黑客长期潜伏在目标中并植入恶意代码,组织应尝试使用零信任架构来最大程度地降低每次访问的安全风险,并应建立软件资产清单。 ,从而轻松清晰地掌握软件供应链面临的风险,即使发生攻击,也能在最短的时间内做出正确的反应。

开源软件的广泛使用给了大量攻击者可乘之机。 数据显示,开源软件存在相对较多的漏洞,因此成为网络攻击的主要目标。 奇安信发布的《2021年中国软件供应链安全分析报告》显示,奇安信代码安全实验室分析的2557个国内企业软件项目中,每个软件项目平均存在66个已知开源软件漏洞,最多的项目中有1200个已知的开源软件漏洞。 其中,近90%的项目存在已知的开源软件漏洞; 超过80%的项目存在已知的高危开源软件漏洞; 超过70%的项目已知极其危险的开源软件漏洞。

“多个开源组件受到高危漏洞影响、开源社区管理松散难以有效推动漏洞修复、开源代码的漏洞补丁部署混乱。这是开源的三大原因代码面临巨大的漏洞威胁。” 复旦大学计算机科学与技术学院副院长杨敏教授表示:“面对这些不足,我们希望通过挖掘开源组件漏洞、增强开源漏洞信息、评估漏洞补丁状况等方式来解决。 ” 但他表示,过程中仍遇到问题。 漏洞挖掘效率低、漏洞数据库信息不完整、补丁部署管理混乱等困难。

除了开源软件之外,核心互联网协议的漏洞也不容小觑。 清华大学-奇安信集团联合研究中心主任段海新警告说,互联网基础协议的小问题可能会导致互联网安全的重大风险。

段海新表示:“经过长期的研究和攻防实践,我们发现了互联网基础协议漏洞的一些显着特征。基础协议漏洞影响广泛,但用自动化的方法挖掘或发现漏洞是非常困难的。”而且,这些互联网协议漏洞绝大多数都是逻辑漏洞,很多漏洞甚至是多个系统组合时才会出现,需要组合多个系统才能发现。

勒索软件也是近年来黑客攻击的主要手段之一。 近年来,勒索软件的目标也发生了变化,似乎不再感染消费者系统,而是试图感染整个企业网络。

勒索软件 WannaCry 破解者马库斯·哈钦斯 (Marcus Hutchins) 注意到了这种变化趋势。 “这主要是因为感染一个企业比同时感染数十万台设备要容易得多,而且企业比个人消费者更愿意付费,”他说。

哈钦斯强调,防范勒索软件不仅仅是技术问题,无法通过提高安全性、增加安全预算来解决,需要金融、法律、网络安全等领域的多方合作。

海量数据带来治理问题

随着数字经济的发展,我国对网络安全的投入也不断加大。 BCS2021此次发布的数据显示,2020年我国网络安全产业规模将突破1700亿元,是2015年的两倍,年均增速超过15%,远高于9年的全球平均水平。 %。

根据工信部今年编制的《网络安全产业高质量发展三年行动计划》(2021-2023年),我国网络安全产业规模将突破2500亿元到 2023 年; 电信等重点行业网络安全投资、信息化投资比例不低于10%。

业内预测,未来十年我国网络安全产业将保持25%以上的增速。 十年后,市场规模将突破1.4万亿元,龙头企业将迎来巨大发展机遇。 目前,我国与网络安全相关的上市公司已有20余家,总市值超过5000亿元。

从政策层面看,《网络安全法》和《数据安全法》已经成为我国数字经济最重要的两个政策领域。 随着科技产业规模不断壮大,企业控制海量数据的安全性越来越受到关注,数据治理也变得愈加重要。

奇安信集团总裁吴云坤在BCS2021上表示:“从发展为先到治理、发展与治理同步到治理为先,这是信息化视角下网络安全的巨大转折,网络安全迎来了全面发展。”发展新拐点。”

吴云坤表示,今年以来,国家密集出台《数据安全法》、《个人信息保护法》、修订版《网络安全法》等法律法规、政策体系和监管措施。审查措施”。 这些规定和措施强调治理第一。

“随着网络安全和数据安全逐渐渗透到业务本身,数据安全治理和日常业务发展之间往往会产生冲突。如果存在一个业务部署维度和安全部署维度可以正交融合的平行空间,那么对于将是安防行业发展的重要变革。” 蚂蚁集团副总裁韦涛表示。

魏涛提到了“安全并行系统”的概念,即通过在端管云内部嵌入各级切点,将安全控制与业务逻辑解耦的安全基础设施,并通过标准化接口提供安全服务。 提供洞察和干预能力。 此外,它还可以在App隐私控制、数据分级分类、数据主体确权、数据输出防泄露等关键数据治理任务中发挥重要作用。

全球政府和企业对网络安全的投入也在不断增加。 上周,美国总统乔·拜登会见了苹果、谷歌、微软、亚马逊、IBM等美国主要科技公司、金融业和基础设施公司的高管,呼吁私营部门高管提高网络安全标准并采取更有力的措施。 采取多种措施应对网络攻击对美国经济日益增长的威胁。

白宫表示,美国国家标准与技术研究所(NIST)将与行业和公司合作,提高技术供应链的安全性,包括开源软件。

亚马逊表示,它将向公众免费提供网络安全培训,并将于 10 月份开始向一些云计算客户提供多因素身份验证设备。 微软表示,将在五年内投资200亿美元用于网络安全,并提供1.5亿美元的技术服务,以帮助联邦、州和地方政府更新和维护其安全系统。

IBM还表示将在三年内培训超过15万人的网络安全技能,谷歌表示将在未来五年内投资100亿美元用于网络安全,帮助10万美国人获得行业认可的数字技能证书。

You May Also Like

More From Author