国产精品亚洲A∨天堂,免费网站在线观看国产v片

開(kāi)源軟件安全風(fēng)險(xiǎn)大海量數(shù)據(jù)帶來(lái)治理難題

2021-08-30 11:40:48 來(lái)源：第一財(cái)經(jīng)

[ BCS2021發(fā)布數(shù)據(jù)顯示，我國(guó)2020年網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模超過(guò)1700億元，較2015年翻了一番。 ]

隨著大數(shù)據(jù)的爆發(fā)和企業(yè)云部署的加速，如何提高網(wǎng)絡(luò)技術(shù)供應(yīng)鏈的安全性，是擺在全世界政府和企業(yè)面前的迫切問(wèn)題。

8月28日，2021北京網(wǎng)絡(luò)安全大會(huì)（BCS2021）的一場(chǎng)線上技術(shù)峰會(huì)上，來(lái)自全球的頂尖網(wǎng)絡(luò)安全技術(shù)專家就網(wǎng)絡(luò)安全技術(shù)的復(fù)雜性以及應(yīng)用展開(kāi)探討，并呼吁提高網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，完善包括開(kāi)源軟件在內(nèi)的軟件供應(yīng)鏈安全。

開(kāi)源軟件安全風(fēng)險(xiǎn)大

“大多數(shù)組織機(jī)構(gòu)并沒(méi)有明確掌握他們所使用的軟件面臨的風(fēng)險(xiǎn)，尤其是在引入開(kāi)源軟件的時(shí)候。”弗若斯特研究機(jī)構(gòu)（Forrester）副總裁、集團(tuán)研究總監(jiān)勞拉·科茨勒（Laura Koetzle）表示。

科茨勒說(shuō)道，2021年全球網(wǎng)絡(luò)安全領(lǐng)域充滿了變化和挑戰(zhàn)。攻擊來(lái)自兩方面，一個(gè)是供應(yīng)鏈攻擊，另一個(gè)是勒索攻擊。

今年以來(lái)，美國(guó)先后發(fā)生了針對(duì)SolarWinds、Colonial Pipeline、JBS和軟件公司Kaseya的一系列網(wǎng)絡(luò)攻擊，令包括能源、食品在內(nèi)的多個(gè)行業(yè)損失慘重。“從SolarWinds的供應(yīng)鏈攻擊開(kāi)始，黑客就鎖定了攻擊價(jià)值較高的供應(yīng)鏈上游，尤其是攻擊那些使用較為廣泛的軟硬件產(chǎn)品，因此通常具備‘攻其一點(diǎn)，傷及一片’的特點(diǎn)。”科茨勒表示。

科茨勒建議，為了應(yīng)對(duì)黑客在目標(biāo)中潛伏很長(zhǎng)時(shí)間并植入惡意代碼的攻擊方式，組織機(jī)構(gòu)應(yīng)該嘗試使用零信任架構(gòu)，將每一次訪問(wèn)的安全風(fēng)險(xiǎn)降至最低，同時(shí)應(yīng)當(dāng)建立軟件資產(chǎn)清單，便于清晰掌握軟件供應(yīng)鏈所面臨的風(fēng)險(xiǎn)，即便發(fā)生攻擊，也能在最短時(shí)間內(nèi)做出正確的響應(yīng)。

開(kāi)源軟件使用的廣泛性，給了大量攻擊者以可乘之機(jī)。數(shù)據(jù)顯示，開(kāi)源軟件存在的漏洞相對(duì)較多，因此成為網(wǎng)絡(luò)攻擊的主要對(duì)象。根據(jù)奇安信發(fā)布的《2021中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》，在奇安信代碼安全實(shí)驗(yàn)室分析的2557個(gè)國(guó)內(nèi)企業(yè)軟件項(xiàng)目中，平均每個(gè)軟件項(xiàng)目存在66個(gè)已知開(kāi)源軟件漏洞，最多的軟件項(xiàng)目存在1200個(gè)已知開(kāi)源軟件漏洞。其中，存在已知開(kāi)源軟件漏洞的項(xiàng)目占比近90%；存在已知高危開(kāi)源軟件漏洞的項(xiàng)目占比超過(guò)80%；存在已知超危開(kāi)源軟件漏洞的項(xiàng)目占比超過(guò)70%。

“多項(xiàng)開(kāi)源組件受到高危漏洞影響、松散的開(kāi)源社區(qū)管理難以有效推動(dòng)漏洞修復(fù)以及開(kāi)源代碼的漏洞補(bǔ)丁部署狀況混亂，是造成開(kāi)源代碼面臨漏洞威脅巨大的三個(gè)主要原因。”復(fù)旦大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院副院長(zhǎng)楊珉教授表示，“面對(duì)這些不足，我們希望通過(guò)挖掘開(kāi)源組件漏洞、增強(qiáng)開(kāi)源漏洞信息以及評(píng)估漏洞補(bǔ)丁狀態(tài)等方面的工作來(lái)解決。”但他表示，這個(gè)過(guò)程中仍然遇到了漏洞挖掘效率低、漏洞庫(kù)信息不完整、補(bǔ)丁部署管理混亂等方面的困難。

除了開(kāi)源軟件之外，互聯(lián)網(wǎng)核心協(xié)議的漏洞問(wèn)題同樣不可小覷。清華大學(xué)–奇安信集團(tuán)聯(lián)合研究中心主任段海新警告稱，互聯(lián)網(wǎng)基礎(chǔ)協(xié)議的小問(wèn)題卻有可能釀成互聯(lián)網(wǎng)安全問(wèn)題的大隱患。

段海新說(shuō)道：“經(jīng)過(guò)長(zhǎng)期的研究和攻防實(shí)踐，我們發(fā)現(xiàn)了互聯(lián)網(wǎng)基礎(chǔ)協(xié)議漏洞的一些顯著特征，基礎(chǔ)協(xié)議的漏洞影響范圍很廣，但想要運(yùn)用自動(dòng)化的方法來(lái)挖掘或者尋找漏洞卻十分困難。并且，這些互聯(lián)網(wǎng)協(xié)議漏洞絕大多數(shù)都是邏輯漏洞，甚至許多漏洞是多個(gè)系統(tǒng)組合在一起才出現(xiàn)的，需要多個(gè)系統(tǒng)組合在一起才能發(fā)現(xiàn)。”

勒索病毒也是近年來(lái)黑客攻擊的主要方式之一。近年來(lái)，勒索軟件的攻擊對(duì)象也發(fā)生了變化，似乎不再侵?jǐn)_消費(fèi)者系統(tǒng)，而是企圖感染整個(gè)企業(yè)網(wǎng)絡(luò)。

勒索軟件WannaCry破解者馬庫(kù)斯·哈欽斯（Marcus Hutchins）關(guān)注到了這一變化趨勢(shì)。他表示：“這主要是因?yàn)楦腥疽患移髽I(yè)，要比同時(shí)感染數(shù)十萬(wàn)臺(tái)設(shè)備容易得多，并且相對(duì)個(gè)人消費(fèi)者而言，企業(yè)支付贖金的意愿更強(qiáng)。”

哈欽斯強(qiáng)調(diào)，勒索病毒的防范不僅僅是一個(gè)技術(shù)問(wèn)題，僅靠提高安全性、增加安全預(yù)算是無(wú)法解決的，需要在金融、法律以及網(wǎng)絡(luò)安全等領(lǐng)域開(kāi)展多方合作。

海量數(shù)據(jù)帶來(lái)治理難題

隨著數(shù)字經(jīng)濟(jì)的發(fā)展，我國(guó)在網(wǎng)絡(luò)安全方面的投入也不斷加大。本次BCS2021發(fā)布數(shù)據(jù)顯示，我國(guó)2020年網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模超過(guò)1700億元，較2015年翻了一番，年均增速超過(guò)15%，遠(yuǎn)高于9%的全球平均的水平。

另?yè)?jù)工信部今年編制的《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動(dòng)計(jì)（2021-2023年）》征求意見(jiàn)稿，到2023年，我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模超過(guò)2500億元；電信等重點(diǎn)行業(yè)網(wǎng)絡(luò)安全投入占信息化投入比例不低于10%。

行業(yè)預(yù)測(cè)，未來(lái)十年我國(guó)網(wǎng)絡(luò)安全行業(yè)將保持25%以上的增速，十年后市場(chǎng)規(guī)模將超過(guò)1.4萬(wàn)億元，頭部企業(yè)將迎來(lái)巨大發(fā)展機(jī)遇。目前我國(guó)網(wǎng)絡(luò)安全相關(guān)上市企業(yè)已經(jīng)有20余家，總市值超過(guò)5000億元。

從政策層面來(lái)看，網(wǎng)絡(luò)安全法和數(shù)據(jù)安全法已經(jīng)成為我國(guó)數(shù)字經(jīng)濟(jì)中兩大最為重要的政策領(lǐng)域。隨著科技行業(yè)規(guī)模的不斷壯大，企業(yè)控制海量數(shù)據(jù)(603138,股吧)的安全性也越來(lái)越受關(guān)注，數(shù)據(jù)的治理也顯得更加重要。

奇安信集團(tuán)總裁吳云坤在BCS2021上表示：“從先發(fā)展后治理、同步發(fā)展和治理到治理先行，這是從信息化視角看網(wǎng)絡(luò)安全的巨大轉(zhuǎn)折，網(wǎng)絡(luò)安全迎來(lái)了發(fā)展新拐點(diǎn)。”

吳云坤表示，今年以來(lái)國(guó)家密集出臺(tái)了《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全審查辦法》修訂版等法律法規(guī)、政策制度和監(jiān)管手段，這些法規(guī)和手段強(qiáng)調(diào)的是治理先行。

“隨著網(wǎng)絡(luò)安全與數(shù)據(jù)安全逐漸深入業(yè)務(wù)本身，數(shù)據(jù)安全治理與日常業(yè)務(wù)的開(kāi)展經(jīng)常會(huì)出現(xiàn)沖突。如果有一個(gè)平行空間，能夠讓業(yè)務(wù)部署維度與安全部署維度做到正交融合，那么對(duì)于安全行業(yè)的發(fā)展來(lái)說(shuō)將會(huì)是一個(gè)重要變革。”螞蟻集團(tuán)副總裁韋韜表示。

韋韜提到了“安全平行切面體系”的概念，這是一個(gè)安全基礎(chǔ)設(shè)施，通過(guò)嵌入在端管云內(nèi)部的各層次切點(diǎn)，使得安全管控與業(yè)務(wù)邏輯解耦，并通過(guò)標(biāo)準(zhǔn)化的接口為安全業(yè)務(wù)提供內(nèi)視和干預(yù)能力。此外，還能在App隱私管控、數(shù)據(jù)分類分級(jí)、數(shù)據(jù)主體確權(quán)以及數(shù)據(jù)輸出防泄露等數(shù)據(jù)治理關(guān)鍵工作中起到重要作用。

全球政府和企業(yè)對(duì)于網(wǎng)絡(luò)安全的投入也在增加。上周，美國(guó)總統(tǒng)拜登會(huì)見(jiàn)包括蘋果、谷歌、微軟、亞馬遜、IBM等在內(nèi)的美國(guó)大型科技公司、金融業(yè)以及基礎(chǔ)設(shè)施企業(yè)的高管，并呼吁私營(yíng)部門高管提高網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，采取更多措施應(yīng)對(duì)網(wǎng)絡(luò)攻擊對(duì)美國(guó)經(jīng)濟(jì)日益增長(zhǎng)的威脅。

白宮表示，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 將與行業(yè)以及企業(yè)合作，提高技術(shù)供應(yīng)鏈的安全性，包括開(kāi)源軟件。

亞馬遜已經(jīng)表示將免費(fèi)向公眾提供其網(wǎng)絡(luò)安全培訓(xùn)，并將從10月開(kāi)始向一些云計(jì)算客戶提供多因素身份驗(yàn)證設(shè)備。微軟表示將在五年內(nèi)在網(wǎng)絡(luò)安全方面投資200億美元，并提供1.5億美元的技術(shù)服務(wù)，以幫助聯(lián)邦、州和地方政府更新維護(hù)其安全系統(tǒng)。

IBM也表示將在三年內(nèi)培訓(xùn)超過(guò)15萬(wàn)人的網(wǎng)絡(luò)安全技能，谷歌則稱將在未來(lái)五年內(nèi)投入100億美元用于網(wǎng)絡(luò)安全，并幫助10萬(wàn)名美國(guó)人獲得行業(yè)認(rèn)可的數(shù)字技能證書。

標(biāo)簽：開(kāi)源軟件網(wǎng)絡(luò)安全數(shù)字經(jīng)濟(jì) 上市企業(yè)