点击↑蓝字
关注墨云安全
软件供应链安全在近两年热度飙升,甲方对其的关注度也大幅提升。近日,Venafi对多达1000位来自于各个企业的CIO进行的一项新调查显示,有超过80%的受访者表示,他们所在的组织容易受到针对软件供应链的网络攻击,其中,网络安全漏洞仍然是许多企业的主要担忧,仅去年一年,供应链受到攻击的比例增长了51%。
数字化转型的持续深入,越来越多的企业因为业务需要而或多或少的涉足软件开发,因此,软件开发环境也成为了攻击者热衷的目标之一。其缘由很简单,攻击者也很清楚,成功的供应链攻击效率极高,而且所能带来的利润也更高。
也许得益于近两年来频繁出现的供应链攻击事件,尤其是爆出了多个大事件,让企业的管理层意识到相关的安全建设是必需的,而且需要立刻采取行动,否则就会成为长长的受害者名单列表中的一个。调查显示,有85%的CIO已经得到企业更高管理层的明确指示——采取行动去改善软件开发环境的安全性。为了应对这些潜在的安全漏洞,84%的受访者表示,他们的组织在去年投入了更大一部分预算来保护他们的软件供应链。
调查数据可以看出,CIO们的方法已经开始发生变化,比如实施了更多的安全措施(68%),额外使用了代码签名(56%)以及查看了他们的开源库的来源(47%)。然而,一些企业和它们的CIO们并不太愿意改变他们的安全做法,因为很多看起来更好的做法将需要从根本上改变结构。
Venafi认为,CIO们意识到他们需要提高软件供应链的安全性,但要准确地确定风险在哪里,哪些改进能最大程度地提高安全性,以及随着时间的推移这些变化如何降低风险,这是极其困难的。我们需要以不同的方式思考我们正在构建和使用的代码的身份和完整性,要以机器般的速度在整个开发过程中去保护。
Vackbot智能自动化渗透测试平台
墨云核心产品Vackbot集成了国际先进的黑客攻击技术与主流的黑客攻击剧本,通过对用户网络环境攻击面、安全防护设备设施进行持续性渗透攻击与攻击模拟,发现用户网络环境和业务系统的风险点及安全防护设备的无效防护策略,最终指引客户以黑客视角对自身企业安全性进行全面评估,进而从容有序的解决企业安全问题。
外网自动化渗透测试
对企业互联网暴露面进行渗透测试,挖掘可利用漏洞,突破互联网边界。
内网自动化渗透测试
模拟攻击者在突破防护边界进入内网后的横向移动攻击,挖掘IT系统及网络中存在可以被攻击利用的漏洞,并评估企业所面临的业务风险。
安全防护有效性验证
对网络安全防护设施及系统的防护能力有效性进行验证,验证企业网络安全防御的实际效果,定位其中防护漏洞或者能力缺失问题。
可视化决策分析
通过持续性的安全检测和监控,为企业安全能力评估提供实时的可视化数据展示及趋势分析。企业通过对资产环境全方位无死角的安全监控,可适时灵活地进行决策,保障资产环境的安全。
考虑到供应链攻击的复杂性,单一的方法是不可能解决所有问题的,比如在开源层面,还应该考虑应用SBOM(软件物料清单)和SCA(软件成分分析)工具以保护企业的软件供应链安全,而在开发层面,则还应该考虑应用DevSecOps,以安全左移的方式将安全融入到整个软件开发过程之中。
Scabot智能软件成分分析平台
结合人工智能技术与威胁情报数据,墨云科技自主研发了新一代应用于软件供应链安全的工具 “软件成分分析机器人”Scabot,依托基于AI的二进制代码相似性对比技术,无需源代码便能够全面高效地检测软件组成,深层次剖析软件依赖关系进行安全风险评估,并提供专业、有效的安全分析和修补建议,实现软件供应链问题的及时预警与修复。
基于AI的二进制代码相似性对比技术
Scabot依靠人工智能引擎,实现对二进制代码的相似性对比。将二进制代码转化为知识向量,提取代码层面的语义信息及其逻辑关系,通过构建丰富的样本库,利用二进制代码相似性比对并查找软件存在问题。
丰富的软件成分库
覆盖所有开源软件库以及其各个版本,能够详细剖析软件的组成成分。
灵活的部署方式
支持单机部署,代理部署,CI/CD集成等多种部署方式。
漏洞归一化管理
基于分布式的解析搜索框架,能够高效解析文件数据并实现相关性搜索。
墨云科技
北京墨云科技有限公司成立于2017年,凭借强大技术实力与优质服务能力,墨云斩获国家高新技术企业、北京专精特新“小巨人”企业等多项荣誉,目前已在北京、南京、上海、广州、深圳、成都、武汉、济南、西安等多地设有研发中心及分支机构,服务行业客户百余家。
文章来源:安全419
往期回顾
免费云渗透测试 | 2021年HVV行动关键漏洞验证,实战攻防演练必备秘籍!
墨云免费渗透|攻防演练在即,你准备好了吗?
EASM,让你更快获悉资产风险
↓↓点击阅读原文,了解更多墨云信息
原文始发于微信公众号(墨云安全):CIO最担忧的问题之一,软件供应链安全如何解决?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论