网商银行魏辰:软件供应链安全治理实践
2024-09-11 阅读1892
在当今数字化时代,软件供应链已经成为了企业运营的重要组成部分,而软件供应链安全也日益受到广泛关注。随着软件供应链的复杂性和依赖性不断增加,针对软件供应链的攻击事件频发,而保障软件供应链的安全成为了企业面临的重大挑战。
网商银行安全专家魏辰在《鑫知课堂》上以“软件供应链安全治理实践”为主题,深入剖析了软件供应链安全风险形势,并结合网商银行的实践经验,分享了软件供应链安全治理的有效方法。
近年来,软件供应链安全风险形势严峻,2023年软件供应链漏洞及事件超过过去几年总和,整体趋势呈现极速急增长的态势。软件供应链安全可能引发数据泄露、网络入侵、勒索攻击是数字金融可持续发展面临的最严峻挑战之一。
软件供应链漏洞和后门导致的安全事件频发,主要有以下三个典型案例:
0Day漏洞:2021年Apache Log4j 0Day漏洞爆发,全球48.3%企业受影响。越南数字货币平台ONUS遭到勒索攻击。攻击者要求支付500万美元赎金,最终该事件泄露了近200万客户的个人信息。
NDay漏洞:2017年,知名征信机构Equifax遭受重大数据泄露,黑客利用Struts的Nday漏洞(CVE-2017-5638)获取了大约1.43亿美国消费者的敏感信息,其中包括社保号、出生日期、地址等数据,导致数亿美元的罚款。
软件后门:2020年,美国IT管理软件公司SolarWinds遭到后门攻击,黑客将恶意代码植入Orion软件更新包中,影响将近18000个企业用户,其中包括众多美国联邦机构和企业。
上图为整体软件供应链从开发到上线过程中所涉及的各个环节,通过场景总结出软件供应链攻击的两个特性为:一是引入渠道多,无法穷举;二是技术栈五花八门,安全防护难覆盖。
面对软件供应链安全风险,网商银行根据目前风险形式和业务特性,对风险防范做了整体思路上的设计,从以下几个方面进行防御:
收敛引入渠道: 研发人员只能通过内部可信软件仓库下载安装开源软件包,防止恶意软件包的引入。
严格准入: 内部可信软件仓库对接安全检测工具,对新增软件包进行后门投毒检测,确保软件包的安全性。
漏洞治理: 建立漏洞情报收集机制,对公开漏洞进行分析研判,并进行影响面分析和风险控制,推进漏洞修复。
运行时可信防护: 使用 RASP 技术,针对每个系统量身定制白名单策略,对应用行为进行监控,拦截可疑操作,防止攻击者利用漏洞进行攻击。
最后,魏辰还分享了关于生成式AI和大模型在软件安全领域的应用场景,比如白盒和黑盒的测试,代码扫描并不完全准确,网商银行尝试通过将漏洞信息传输给大模型进行快速决策,并指出大模型在输入输出环节存在安全风险,需要重点关注模型输入的注入风险和模型输出信息的泄露风险。