在美国“轻量化”网络武器威胁之下, 企业如何保护自身网络安全?
VOL.1 美国“轻量化”网络武器威胁背景
国家计算机病毒应急处理中心发布报告指出,现有国际互联网骨干网和世界各地的重要关键信息基础设施当中,只要包含美国公司提供的软硬件,就极有可能被内嵌各类的“后门程序”,从而成为美国政府网络公积的目标。
中国国家计算机病毒应急处理中心日前就美国政府对各国开展网络攻击发出预警并发布相关报告,曝光了美国政府专用的“轻量化”网络武器,以及在全球范围部署网络攻击平台,并在法国、德国、加拿大、土耳其、马来西亚等设置多层跳板服务器和VPN通道。对此,外交部发言人汪文斌4月20日在例行记者会上应询表示,中方对美国政府不负责任的恶意网络活动表示严重关切,敦促美方作出解释,并立即停止相关恶意活动。
中华人民共和国外交部发言人汪文斌指出,一段时间以来,美以提升能力为由,极力鼓动相关国家,特别是中国周边国家与美开展网络安全合作,甚至实施所谓的网络军事力量“前沿部署”。“此类合作是否会为美恶意网络活动洞开‘后门’?是否会沦为美方鼓动地缘对抗的棋子?我们相信相关国家自有判断。”
VOL.2 如何保护企业源代码安全
现实生活中,网络攻击无处不在,信息安全关系你我,信息安全马虎不得。应对网络攻击,保护代码安全是保护网络安全的第一步。
从源代码层面进行安全测试,是保障业务系统安全性不可或缺的一个方向。源代码安全检测,就是从代码的控制流、数据流、安全配置等方向,对业务系统开发过程的源代码进行安全审计。以白盒测试的方式对源代码进行测试分析,从根本上发现业务系统的潜在漏洞。与渗透测试、功能测试、性能测试、合规性测试等黑盒测试形成互补,解决黑盒测试设计的大量用例未能覆盖到的问题。源代码安全检测一方面能够提前发现应用软件设计或实现中存在安全漏洞,促进及时对应用系统漏洞进行修复,从未降低业务系统安全运维、漏洞挖掘和漏洞修复的成本。另一方面,通过对源代码安全检测贯彻安全开发规范,使用审计过程中发现的漏洞及相关解决方案,与开发人员进行安全开发宣贯、交互与共鸣,可以有效地提高开发人员的安全开发意识,解决大量开发人员安全开发意识参差不齐的问题。
对源代码进行安全检测,最大的优势是可在软件开发生命周期早期发现安全问题。源代码安全检测可以在开发周期代码编写阶段实施,早期发现安全隐患。如果是在发布后执行代码修复,其修复成本相当于在设计阶段执行修复的30倍,做源代码安全检测,可以大大降低代码修复成本。不仅如此,对源代码进行安全检测还可指出问题的根源,而不仅仅是症状;当出现一种新的安全问题时,静态分析工具可以对大量代码进行重新检查,改进代码质量,提高攻击的门槛。源码审计是SDL中不可或缺的环节,在DevOps中扮演着重要的角色。
海云安源代码检测分析管理平台(SCAP)以发现应用程序开发过程中造成的安全漏洞为目的,对已有的代码进行深度检测、分析对导致安全漏洞的错误代码进行定位和验证,从根源上分析软件的安全隐患,降低源代码出现的安全漏洞,提供补救建议,从底层保障应用系统本身的安全,降低应用系统的开发及维护成本。
该平台可实现多环境集成,多种代码来源对接,Cl构建环境集成,一键提交,自动扫描,完美融合到安全开发过程中。且可实现多引擎检测,分布式部署,融合多维检测引擎,快速审计分析,漏洞精准定位,减少误报漏报。支持Java,C,C++,C#,JSP,PHP,ASP, Python,Go等多种语言。最后生成多种报告报表,多层面分析,快速一键导出报告。
VOL.3 如何应对企业开源组件安全风险
当前开源软件的整体安全形势也不容乐观,随着开源组件的不断增多,大量的第三方开源组件被放到产品中,导致软件供应链变得越来越复杂。
在近两年来爆发的各类开源软件安全事件中,如SolarWinds事件中其旗下被黑客在源码中植入后门的Orion基础设施管理平台、Apache Log4j漏洞事件中Apache Log4j日志记录组件等等,这些事实上都是软件开发人员日常会使用到的开源组件,也就是说,风险事实上就在我们身边。
作为一家专业的开发安全厂商,海云安在服务用户的过程中发现,许多用户会更加关注自身程序编码安全本身的风险,也为之采购了大量的AST工具来解决编码过程中的安全问题。但在另一个层面,由开源软件带来的外在风险却并没有得到足够的重视。
海云安开源组件安全管理平台是一个基于B/S架构的系统,分为前端浏览器访问、内容展示和后台检测引擎、服务端管理等两大模块。从平台整体功能来说,开源组件安全检测系统能够支持Java、JS、Python等语言开源组件进行扫描检测,能够对检测后的结果进行展示、审核和整改跟进管理,并且可以对检测和和审核后的结果快速形成报告进行导出。在系统前端,可以实现一键上传开源组件、提交后台自动扫描检测,并且能够快速生成报告。另外,在平台上还可以根据自动化扫描结果进行人工开源组件审核,排查误报,对报告的内容进行加工处理,并且可以在平台上可以与多用户进行漏洞确认和修复情况跟进。在系统后端,是结合数据库管理、任务分发管理和源开组件扫描引擎于一体的综合性平台。能够根据前端提交的开源组件自动启动相应的扫描引擎,扫描结束后能够把扫描结果自动入库管理。
从系统的使用特点来说,开源组件检测分析管理系统是一个集成一键上传、自动检测、误报加白、扫描结果人工审核、组件漏洞确认、开源组件修复跟进、检测版本对比、报告导出、漏洞管理、用户管理等功能与一体的综合性检测管理平台。
当前企业层面对风险管理的意识也正在逐渐增强,这进一步促进了市场上SCA产品的发展。实际上在当前很多软件项目中,除了一些特别核心的业务功能外,很多功能都是由开源组件来实现的,甚至还有一部分是直接外包给第三方开发团队来完成,在这种情况下,企业更应去关注相关的安全风险,提升相应的安全能力。