11月4日,2021腾讯数字生态大会云安全专场在武汉光谷科技会展中心召开。腾讯安全科恩实验室专家工程师聂森出席专场论坛,结合腾讯安全科恩实验室的安全研究经验,分享了他对关键信息基础设施软件供应链安全的思考与实践。
当今社会的正常稳定运行,越来越离不开关键信息基础设施的支撑。为进一步保障关键信息基础设施安全,相关政策陆续出台。其中,《关键信息基础设施安全保护条例》(以下简称“条例”)已于2021年9月1日正式施行。除了国家级的法律法规,海内外面向特定行业的安全法规也已经展开,如UNECE WP.29通过的两项,分别针对车辆信息安全管理CSMS、软件更新管理SUMS的联合国车辆法规也已于今年1月22日正式生效。相关政策的发布,为指导关键信息基础设施安全保护工作提供了基本遵循。
供应链安全是保障关键信息基础设施安全的关键要素
在条例中,提及一个核心观点,即“强化供应链安全保障工作,保护关键信息基础设施安全”,由此可见供应链安全的重要性。然而,供应链安全风险在当前日趋严峻的网络安全形势下日显突出,且一旦出现问题会将给关键信息基础设施带来严重危害。据2020年12月FireEye发布的关于“太阳风”供应链攻击通告显示,某基础网络管理软件的软件更新包中被黑客植入后门,造成约超过250家美国联邦机构和企业受到影响。
“需要注意的是,关键信息基础设施行业的软件供应链有一个非常特殊的特点,区别于其它场景,我们总结为——以嵌入式软件为主,且呈现非常严重的碎片化特性。”聂森在发言中强调。而这也让关键信息基础设施的安全局势变得更加复杂和严峻。据有关数据显示,480+款固件就检测出了16000+个安全风险,严重与高危风险比例超过50%。经过分析和总结,聂森认为,嵌入式系统总体安全形势堪忧:版本旧,大量已知漏洞未修复;合规性检查缺失;设备厂商安全投入成本高;安全能力不足;用户回收修复成本高等,这些缺陷将直接影响到软件供应链的安全,并进一步影响关键基础设施和重要信息系统的安全。
sysAuditor解决方案助力企业提效降本
针对持续升级的供应链攻击,以及弥补传统软件供应链的缺陷,腾讯安全科恩实验室结合其在安全领域的技术研究和服务能力产品化的成果,推出了sysAuditor解决方案。据了解,sysAuditor是一款聚焦于物联网系统的基线合规检查和二进制软件成分分析的自动化平台,与传统的嵌入式系统相比,sysAuditor解决方案具有四个核心突破点:核心突破一、格式支持完善度最高的固件解析能力;核心突破二、最小依赖无侵入动态信息采集能力;核心突破三、首创动静态信息结合的基线审计能力;核心突破四、用AI技术构建二进制软件成分分析引擎。sysAuditor解决方案沉淀了科恩实验室的渗透测试经验,能够助力企业实现对研发漏洞检测、系统安全验收、潜在风险规避和行业安全管理等的自动化审计,从而提升安全基线,降低维护成本。
事实上,早在2020年,sysAuditor就凭借其突出优势入选了国家级试点,主导的核心设计已申请两项专利,目前已在智能汽车、能源、政府等行业或机构成功落地。以上汽集团为例,上汽集团与腾讯组建了网络安全联合实验室,针对智能网联汽车开展车辆攻防和安全技术研发工作,通过sysAuditor私有化版本,补充了自研及上游车机固件、嵌入式系统的安全评估能力,助力上汽集团保障消费者的财产和人身安全。除此之外,腾讯安全sysAuditor解决方案也已在国家电网河南电力公司,以及深圳坪山区智能网联汽车示范平台建设等国家级项目中投入使用。
作为产业安全领导者,腾讯安全一直在深耕包括车联网、5G、IoT等在内的前沿技术领域的安全研究,未来,也将继续通过产品和服务将安全能力转化成护航产业互联网的安全生产力,持续为各行各业输出高效的安全解决方案。