“在工业软件发展过程中,保障开发、交付和应用全生命周期中的安全已成为‘底板’工程,这就需要首先建立工业软件的供应链安全体系,确保供应链安全。”在4月26日举办的数字中国建设峰会数字技术创新分论坛上,奇安信集团总裁吴云坤演讲时强调,目前,针对工业软件的供应链攻击已经成为主流攻击手段,多样化的方式实施攻击,给政企机构及关键信息基础设施带来了巨大的安全风险。
工业软件面临三大供应链安全挑战
吴云坤认为,作为工业互联网的重要支撑技术,工业软件面临着三大供应链安全挑战:
第一,开源软件安全挑战。我国工业软件基础薄弱,对开源软件的依赖度高,而开源软件的安全漏洞,会直接影响工业软件的安全。奇安信在一次针对国内2188个软件项目的研究中发现,所有软件均使用了开源组件,其中存在漏洞的项目为1695个,占比高达77.5%。
第二,软件开发带来的安全挑战。程序员在编写代码过程当中,缺陷是无法避免的,而能够被黑客利用的缺陷就成了漏洞。统计数据显示,程序员手敲原始代码1000行会出现14.22个缺陷,其中可能包含有0.72个高危缺陷。
第三,复杂的软件图谱带来的安全挑战。软件图谱复杂,代码重复使用带来了漏洞和后门扩散、恶意模块传播、不可靠的网络资源引入等安全隐患。新的软件中,可能包含有漏洞的老模块;一个漏洞爆发后,可能会影响到大量软件。2020年12月,网络安全管理软件供应商SolarWinds遭遇APT团伙供应链攻击并植入木马后门,该攻击直接导致18000+机构受到影响:可任由攻击者操控。其中,很多工业控制系统中,都存在着可被攻击者利用的SolarWinds版本,因此受到很大影响。
以内生安全框架解决工业软件供应链安全挑战
吴云坤说:“软件供应链之所以被攻击,是因为供应链的每个环节都存在的大量的漏洞,可以被攻击者利用。”
在开发环节,存在开源组件的漏洞和后门、程序员编码带来的漏洞、编译环境污染等安全隐患;在交付环节,存在下载源不可靠、代理商或者集成商引入恶意代码等隐患;在使用环节,存在软件升级、打补丁过程中被攻击者劫持等安全隐患。
面对无所不在的供应链安全隐患,“头痛医头脚痛医脚”的局部安全建设模式已经不能满足需求,政企机构需要把工业软件供应链安全融入到整个工业信息化和工业互联网角度来统筹规划。
对此,奇安信基于长期的网络安全实践提出了内生安全框架,以系统工程方法论结合内生安全理念,从工业软件、工业互联网视角,构建包括工业软件在内的工业信息系统整体防护体系;通过分解为可落地实施的“十大工程五大任务”,推动工业供应链全生命周期的安全体系规划、建设和运行,满足数字化转型和智能化升级的信息化保障需求。
吴云坤说,“十大工程五大任务”对每个组件的部署位置、部署顺序、部署要求都给予了详细的说明,就像房子装修有水电改造、刷漆、铺地板等固定流程。在某个项目安全建设过程中,奇安信依托“十大工程五大任务”的,为136个信息化组件,总结出了29个安全区域场景,部署了79类安全组件。
作为“十大工程五大任务”中重要任务之一,“应用安全能力支撑”任务中的一个建设重点就是供应链安全体系建设。据介绍,奇安信推出的软件供应链全生命周期安全解决方案,在整个软件生命周期融入安全培训、安全需求评估、安全设计、安全开发、安全测试、安全部署运行、安全使用等八大流程和措施,来保障软件从开发、交付到应用的全过程、全生命周期安全。
四大关键技术能力打造供应链安全“护身符”
吴云坤表示,奇安信推出的软件供应链全生命周期安全解决方案运用了四大关键技术能力:
第一,软件空间测绘能力。它通过采集不同平台、不同类型的全网软件,借助静态结构分析、动态跟踪分析、沙箱行为分析等手段,从不同维度对软件进行深度分析和细粒度拆解,形成软件空间测绘能力,为软件供应链安全分析相关工作提供支撑。
第二,源代码成分风险分析。通过智能化数据收集引擎,奇安信可在全球范围内获取开源软件资产信息及其相关漏洞信息,并利用自主研发的开源软件分析引擎,为企业提供开源软件资产识别、安全风险分析、漏洞告警及安全管理等功能。截止目前,奇安信代码安全实验室已检测3000余款开源软件,积累了大量的开源软件安全缺陷基础数据。
第三,源代码安全缺陷及后门分析。奇安信能够将源代码安全检测融入企业开发流程,实现软件源代码安全目标的统一管理、自动化检测、差距分析、Bug修复追踪等功能,帮助企业以最小代价建立代码安全保障体系并落地实施,解决软件开发过程中的安全缺陷及漏洞、安全合规性等问题。
第四,联网设备成分风险分析。2019年初,奇安信发起了一个针对联网设备固件的安全检测计划,其中一项重要检测内容是针对固件中引用的开源软件的检测和漏洞分析。
据了解,奇安信软件供应链安全解决方案已经在工信部工业互联网创新发展工程的工业软件源代码漏洞检测工具项目、北京冬奥组委应用系统生命周期管理等多个场景中落地实践。
另外在论坛期间,由工信部五所联合奇安信、华为、阿里、百度、腾讯、浪潮、麒麟、统信等公司发起的“关键基础软件供应链保障联合创新实验室”正式成立,为我国软件供应链安全保驾护航。