由 dawei
[ BCS2021发布数据显示,我国2020年网络安全产业规模超过1700亿元,较2015年翻了一番。 ]
随着大数据的爆发和企业云部署的加速,如何提高网络技术供应链的安全性,是摆在全世界政府和企业面前的迫切问题。
8月28日,2021北京网络安全大会(BCS2021)的一场线上技术峰会上,来自全球的顶尖网络安全技术专家就网络安全技术的复杂性以及应用展开探讨,并呼吁提高网络安全标准,完善包括开源软件在内的软件供应链安全。
开源软件安全风险大
“大多数组织机构并没有明确掌握他们所使用的软件面临的风险,尤其是在引入开源软件的时候。”弗若斯特研究机构(Forrester)副总裁、集团研究总监劳拉·科茨勒(Laura Koetzle)表示。
科茨勒说道,2021年全球网络安全领域充满了变化和挑战。攻击来自两方面,一个是供应链攻击,另一个是勒索攻击。
今年以来,美国先后发生了针对SolarWinds、Colonial Pipeline、JBS和软件公司Kaseya的一系列网络攻击,令包括能源、食品在内的多个行业损失惨重。“从SolarWinds的供应链攻击开始,黑客就锁定了攻击价值较高的供应链上游,尤其是攻击那些使用较为广泛的软硬件产品,因此通常具备‘攻其一点,伤及一片’的特点。”科茨勒表示。
科茨勒建议,为了应对黑客在目标中潜伏很长时间并植入恶意代码的攻击方式,组织机构应该尝试使用零信任架构,将每一次访问的安全风险降至最低,同时应当建立软件资产清单,便于清晰掌握软件供应链所面临的风险,即便发生攻击,也能在最短时间内做出正确的响应。
开源软件使用的广泛性,给了大量攻击者以可乘之机。数据显示,开源软件存在的漏洞相对较多,因此成为网络攻击的主要对象。根据奇安信发布的《2021中国软件供应链安全分析报告》,在奇安信代码安全实验室分析的2557个国内企业软件项目中,平均每个软件项目存在66个已知开源软件漏洞,最多的软件项目存在1200个已知开源软件漏洞。其中,存在已知开源软件漏洞的项目占比近90%;存在已知高危开源软件漏洞的项目占比超过80%;存在已知超危开源软件漏洞的项目占比超过70%。