2023年2月,悬镜安全正式对外公开了供应链安全情报中心,这是国内首个数字供应链安全情报研究中心。五年前,悬镜安全创始人兼CEO子芽,这位未名湖畔的筑梦人,接受了安在的专访(新锐 | 悬镜安全子芽:未...
主权与信任:网络时代的供应链安全
美国国家安全局(NSA)的一种秘密信号情报(SIGINT)收集技术。NSA的工作人员会拦截运往目标国家的计算机网络设备,在设备中安装信标植入物,然后重新包装发往目标。当植入物与NSA的秘密基础设施取得...
从业务链分析轻量级供应链安全及对策
一、概述供应链“作为ICT/OT 依赖于由公共和私营部门实体(例如,收单方、供应商、开发商、系统集成商、外部系统服务提供商和其他 ICT/OT 相关服务提供商)组成的分布全球、相互关联的供应链生态系统...
网络安全知识:什么是软件供应链?
什么是软件供应链?它是一个使用在线共享的第三方资源进行软件开发的互联系统。提及“链”表明流程中的每个环节都会影响下一个环节,因此一个阶段的故障或延迟可能会减慢或停止整个流程。链条中的各个环节可以代表单...
攻防演练-实战中的外网突破
在经历了多年的攻防对抗之后,大量目标单位逐渐认识到安全防护的重要性。因此,他们已采取措施尽可能收敛资产暴露面,并加倍部署各种安全设备。但安全防护注重全面性,具有明显的短板...1、供应链在经历了多年的...
从xz供应链安全事件看开源软件的供应链风险与监管对策
关注我们带你读懂网络安全作者:公安部三所供应链安全能力中心全文共计5000字,阅读约需19分钟2024年3月29日,微软开发人员在liblzma/xz工具和动态库中发现一个涉及混淆恶意代码的供应链攻击...
ICT产品供应链安全现状分析与对策建议(上)
当今网络安全威胁和攻击的形式正在发生深刻的变化,已经从传统的网络安全领域逐渐扩展到供应链安全方向。ICT(信息通信技术)产品作为信息化中的重要组成部分,其供应链安全对整个信息化体系的安全稳定具有至关重...
【分析复现】XZ供应链后门漏洞(CVE-2024-3094)处置手册
通告编号:NS-2024-0011-12024-04-03TAG:liblzma/xz、后门漏洞、CVE-2024-3094漏洞危害:攻击者利用此漏洞,可实现SSH未授权代码执行。版本:1.01漏洞概...
Linux | xz/liblzma库供应链攻击事件分析
2024年3月29日,微软PostgreSQL开发人员Andres Freund在调查SSH性能问题时,发现xz库供应链攻击事件并报告给 oss-security。攻击者Jia Tan( JiaT75...
网络供应链风险管理并非网络安全与供应链风险管理的简单叠加
2023年12月,兰德公司发布《网络安全和供应链风险管理并非简单的叠加关系》。报告探讨了威胁环境等网络相关风险的特殊性及其与国防工业供应链的相互作用、对国防工业供应链产生的影响,以及如何转变为对网络供...
2024年网络威胁概览(05)| 供应链安全:漏洞的连锁反应
《2024年网络威胁概览:洞察网络安全和数字防御的最前沿》05/27第/总供应链安全:漏洞的连锁反应「前沿信安资讯阵地」有范儿的信安百科大家好,我是“前沿君”,始终在信安路上为您分享“真知灼见”,赋能...
供应链后门检测方式以xz xz-utils为例(CVE-2024-3094)
人类唯一能从历史中吸取的教训就是,人类从不会从历史中吸取到教训xz xz-utils后门事件(CVE-2024-3094),来的很快,当天很多安全公司都发文了,都是一番分析(翻译),包括我。去的也快,...