11月4日，2021騰訊數(shù)字生態(tài)大會云安全專場在武漢光谷科技會展中心召開。騰訊安全科恩實(shí)驗(yàn)室專家工程師聶森出席專場論壇，結(jié)合騰訊安全科恩實(shí)驗(yàn)室的安全研究經(jīng)驗(yàn)，分享了他對關(guān)鍵信息基礎(chǔ)設(shè)施軟件供應(yīng)鏈安全的思考與實(shí)踐。

當(dāng)今社會的正常穩(wěn)定運(yùn)行，越來越離不開關(guān)鍵信息基礎(chǔ)設(shè)施的支撐。為進(jìn)一步保障關(guān)鍵信息基礎(chǔ)設(shè)施安全，相關(guān)政策陸續(xù)出臺。其中，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡稱“條例”)已于2021年9月1日正式施行。除了國家級的法律法規(guī)，海內(nèi)外面向特定行業(yè)的安全法規(guī)也已經(jīng)展開，如UNECE WP.29通過的兩項(xiàng)，分別針對車輛信息安全管理CSMS、軟件更新管理SUMS的聯(lián)合國車輛法規(guī)也已于今年1月22日正式生效。相關(guān)政策的發(fā)布，為指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作提供了基本遵循。

供應(yīng)鏈安全是保障關(guān)鍵信息基礎(chǔ)設(shè)施安全的關(guān)鍵要素

在條例中，提及一個(gè)核心觀點(diǎn)，即“強(qiáng)化供應(yīng)鏈安全保障工作，保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全”，由此可見供應(yīng)鏈安全的重要性。然而，供應(yīng)鏈安全風(fēng)險(xiǎn)在當(dāng)前日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢下日顯突出，且一旦出現(xiàn)問題會將給關(guān)鍵信息基礎(chǔ)設(shè)施帶來嚴(yán)重危害。據(jù)2020年12月FireEye發(fā)布的關(guān)于“太陽風(fēng)”供應(yīng)鏈攻擊通告顯示，某基礎(chǔ)網(wǎng)絡(luò)管理軟件的軟件更新包中被黑客植入后門，造成約超過250家美國聯(lián)邦機(jī)構(gòu)和企業(yè)受到影響。

“需要注意的是，關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)的軟件供應(yīng)鏈有一個(gè)非常特殊的特點(diǎn)，區(qū)別于其它場景，我們總結(jié)為——以嵌入式軟件為主，且呈現(xiàn)非常嚴(yán)重的碎片化特性。”聶森在發(fā)言中強(qiáng)調(diào)。而這也讓關(guān)鍵信息基礎(chǔ)設(shè)施的安全局勢變得更加復(fù)雜和嚴(yán)峻。據(jù)有關(guān)數(shù)據(jù)顯示，480+款固件就檢測出了16000+個(gè)安全風(fēng)險(xiǎn)，嚴(yán)重與高危風(fēng)險(xiǎn)比例超過50%。經(jīng)過分析和總結(jié)，聶森認(rèn)為，嵌入式系統(tǒng)總體安全形勢堪憂：版本舊，大量已知漏洞未修復(fù);合規(guī)性檢查缺失;設(shè)備廠商安全投入成本高;安全能力不足;用戶回收修復(fù)成本高等，這些缺陷將直接影響到軟件供應(yīng)鏈的安全，并進(jìn)一步影響關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的安全。

　　sysAuditor解決方案助力企業(yè)提效降本

針對持續(xù)升級的供應(yīng)鏈攻擊，以及彌補(bǔ)傳統(tǒng)軟件供應(yīng)鏈的缺陷，騰訊安全科恩實(shí)驗(yàn)室結(jié)合其在安全領(lǐng)域的技術(shù)研究和服務(wù)能力產(chǎn)品化的成果，推出了sysAuditor解決方案。據(jù)了解，sysAuditor是一款聚焦于物聯(lián)網(wǎng)系統(tǒng)的基線合規(guī)檢查和二進(jìn)制軟件成分分析的自動化平臺，與傳統(tǒng)的嵌入式系統(tǒng)相比，sysAuditor解決方案具有四個(gè)核心突破點(diǎn)：核心突破一、格式支持完善度最高的固件解析能力;核心突破二、最小依賴無侵入動態(tài)信息采集能力;核心突破三、首創(chuàng)動靜態(tài)信息結(jié)合的基線審計(jì)能力;核心突破四、用AI技術(shù)構(gòu)建二進(jìn)制軟件成分分析引擎。sysAuditor解決方案沉淀了科恩實(shí)驗(yàn)室的滲透測試經(jīng)驗(yàn)，能夠助力企業(yè)實(shí)現(xiàn)對研發(fā)漏洞檢測、系統(tǒng)安全驗(yàn)收、潛在風(fēng)險(xiǎn)規(guī)避和行業(yè)安全管理等的自動化審計(jì)，從而提升安全基線，降低維護(hù)成本。

事實(shí)上，早在2020年，sysAuditor就憑借其突出優(yōu)勢入選了國家級試點(diǎn)，主導(dǎo)的核心設(shè)計(jì)已申請兩項(xiàng)專利，目前已在智能汽車、能源、政府等行業(yè)或機(jī)構(gòu)成功落地。以上汽集團(tuán)為例，上汽集團(tuán)與騰訊組建了網(wǎng)絡(luò)安全聯(lián)合實(shí)驗(yàn)室，針對智能網(wǎng)聯(lián)汽車開展車輛攻防和安全技術(shù)研發(fā)工作，通過sysAuditor私有化版本，補(bǔ)充了自研及上游車機(jī)固件、嵌入式系統(tǒng)的安全評估能力，助力上汽集團(tuán)保障消費(fèi)者的財(cái)產(chǎn)和人身安全。除此之外，騰訊安全sysAuditor解決方案也已在國家電網(wǎng)河南電力公司，以及深圳坪山區(qū)智能網(wǎng)聯(lián)汽車示范平臺建設(shè)等國家級項(xiàng)目中投入使用。

作為產(chǎn)業(yè)安全領(lǐng)導(dǎo)者，騰訊安全一直在深耕包括車聯(lián)網(wǎng)、5G、IoT等在內(nèi)的前沿技術(shù)領(lǐng)域的安全研究，未來，也將繼續(xù)通過產(chǎn)品和服務(wù)將安全能力轉(zhuǎn)化成護(hù)航產(chǎn)業(yè)互聯(lián)網(wǎng)的安全生產(chǎn)力，持續(xù)為各行各業(yè)輸出高效的安全解決方案。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）