【ZiDongHua 之創(chuàng)新自科文收錄關(guān)鍵詞：深信服  信息安全   網(wǎng)絡(luò)安全 防火墻產(chǎn)品】

深信服參與信創(chuàng)政務(wù)產(chǎn)品安全漏洞專業(yè)庫(kù)交流會(huì)，探討信創(chuàng)開(kāi)源治理

過(guò)去幾年，信創(chuàng)應(yīng)用落地持續(xù)加碼，不可忽視的安全風(fēng)險(xiǎn)也讓「信息安全」成為信創(chuàng)領(lǐng)域中頻頻提及的熱詞。

2023年6月7日，2023年度信創(chuàng)政務(wù)產(chǎn)品安全漏洞專業(yè)庫(kù)第一次工作交流會(huì)(以下簡(jiǎn)稱交流會(huì))于北京召開(kāi)，旨在進(jìn)一步落實(shí)《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》的有關(guān)要求，深入推進(jìn)信創(chuàng)產(chǎn)品安全漏洞管理工作。

本次活動(dòng)由國(guó)家工業(yè)信息安全發(fā)展研究中心、工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)(NVDB)信創(chuàng)政務(wù)產(chǎn)品安全漏洞專業(yè)庫(kù)(以下簡(jiǎn)稱“信創(chuàng)漏洞庫(kù)”)主辦，深信服作為信創(chuàng)漏洞庫(kù)技術(shù)支撐單位受邀出席，深信服科技首席安全官周欣以《信創(chuàng)場(chǎng)景下開(kāi)源軟件風(fēng)險(xiǎn)治理思路》為主題發(fā)表演講。

信創(chuàng)“開(kāi)源”背后,深層次的風(fēng)險(xiǎn)治理挑戰(zhàn)

周欣介紹，圍繞信創(chuàng)軟件生態(tài)的變化,并不意味著數(shù)據(jù)面臨的安全風(fēng)險(xiǎn)會(huì)減少。反之，生態(tài)的變化，導(dǎo)致安全能力需要圍繞新生態(tài)進(jìn)行重構(gòu)，包括資產(chǎn)、漏洞、惡意文件安全能力重構(gòu)。另外，圍繞生態(tài)需要開(kāi)展供應(yīng)鏈安全綜合能力的構(gòu)建，其中包括開(kāi)源軟件的相關(guān)安全能力的新增，但引入的開(kāi)源軟件越多，潛在的開(kāi)源安全風(fēng)險(xiǎn)越高。

通過(guò)對(duì)開(kāi)源漏洞事件的歸納，結(jié)合“能找到開(kāi)源軟件已知風(fēng)險(xiǎn)、能抵御開(kāi)源軟件未知風(fēng)險(xiǎn)、具備高效管理手段”開(kāi)源治理的三個(gè)目標(biāo)，當(dāng)前傳統(tǒng)開(kāi)源風(fēng)險(xiǎn)治理方案面臨諸多問(wèn)題:

挑戰(zhàn)一，SCA、SAST相關(guān)問(wèn)題分析。僅通過(guò)版本比較的方式進(jìn)行漏洞識(shí)別，開(kāi)源軟件漏洞識(shí)別誤報(bào)率較高;針對(duì)開(kāi)源軟件危險(xiǎn)函數(shù)積累較少，識(shí)別能力較低。“漏洞真實(shí)性”難以驗(yàn)證。

挑戰(zhàn)二，開(kāi)源引發(fā)零日漏洞防御問(wèn)題,主要包括成本高、耗性能大、誤/漏報(bào)多、信息不對(duì)等導(dǎo)致響應(yīng)慢。

挑戰(zhàn)三，基于CVSS對(duì)開(kāi)源風(fēng)險(xiǎn)管理不及預(yù)期，漏洞管理中通常優(yōu)先修復(fù) CVSS評(píng)分高的漏洞，可能忽視了真正亟需修復(fù)的高風(fēng)險(xiǎn)漏洞。

深信服實(shí)踐：三招簡(jiǎn)單“速治”開(kāi)源信創(chuàng)風(fēng)險(xiǎn)

針對(duì)以上背景和挑戰(zhàn)，深信服千里目安全技術(shù)中心認(rèn)為開(kāi)源治理需要打造三大安全能力，包括“開(kāi)源零日漏洞獵捕”“真SCA”“基于SSVC的風(fēng)險(xiǎn)管理”。希望通過(guò)該思路幫助各企業(yè)單位更有策略、更有效、更簡(jiǎn)單地“速治”信創(chuàng)開(kāi)源風(fēng)險(xiǎn)。

周欣結(jié)合“Tellyouthepass勒索結(jié)合開(kāi)源軟件漏洞實(shí)施攻擊案例”展開(kāi)闡述。

“Tellyouthepass”是一個(gè)2020年7月開(kāi)始在國(guó)內(nèi)活躍,使用Log4j2、Shiro開(kāi)源軟件漏洞進(jìn)行攻擊的勒索病毒，在21、22、23年均有大規(guī)模攻擊活動(dòng)。

在這一事件的調(diào)查過(guò)程中，云端零日漏洞獵捕基于數(shù)據(jù)湖收集的全網(wǎng)通用攻擊日志開(kāi)展主動(dòng)狩獵,精準(zhǔn)定位，Tellyouthepass勒索病毒利用某某通高危漏洞攻擊。

開(kāi)源漏洞可達(dá)性驗(yàn)證，結(jié)合URL識(shí)別、漏洞可達(dá)性驗(yàn)證、SCA及開(kāi)源軟件險(xiǎn)函數(shù)庫(kù)，快速溯源，發(fā)現(xiàn)是某某通使用開(kāi)源組件xtream，通過(guò)自動(dòng)化挖掘發(fā)現(xiàn)40多個(gè)開(kāi)源軟件漏洞。

全網(wǎng)情報(bào)聯(lián)動(dòng)，發(fā)現(xiàn)10多個(gè)用戶已經(jīng)被攻擊，VPT漏洞優(yōu)先級(jí)技術(shù)，快速分析漏洞的風(fēng)險(xiǎn)等級(jí),及時(shí)給出響應(yīng)、關(guān)注、觀察決策。

整個(gè)過(guò)程自動(dòng)化、智能化,快速有效的消除開(kāi)源安全風(fēng)險(xiǎn)，關(guān)鍵還賴于深信服作為國(guó)內(nèi)網(wǎng)絡(luò)安全行業(yè)領(lǐng)軍企業(yè)，在漏洞研究和信創(chuàng)安全領(lǐng)域不斷武裝升級(jí)的防護(hù)能力、深度洞悉網(wǎng)絡(luò)安全漏洞的研究能力。

如下一代防火墻AF，豐富威脅智能檢測(cè)引擎，產(chǎn)品整體安全漏洞攻擊攔截率達(dá)到99.7%，逃逸攔截100%，并成為國(guó)內(nèi)唯一以最高攻擊攔截率通過(guò)CyberRatings AAA認(rèn)證的防火墻產(chǎn)品;同時(shí)連續(xù)8年入圍Gartner企業(yè)網(wǎng)絡(luò)防火墻魔力象限。

“應(yīng)然變成竟然，當(dāng)然變成居然，一切都在打破，一切又在重建。”周欣提到，在信創(chuàng)這一大命題,面臨的安全形勢(shì)依舊嚴(yán)峻。深信服激流勇進(jìn)，持續(xù)發(fā)展信創(chuàng)領(lǐng)域安全創(chuàng)新能力，致力于讓用戶安全領(lǐng)先一步，始終走在提升信創(chuàng)領(lǐng)域信息安全能力的前列。