EISS-软件供应链安全v0.6-luke.pdf

1、软件供应链安全Luke软件供应链问题01治理方式02案例思考03机遇与挑战04CO NTENTS目录软件供应链问题2020年12月13日，SolarWinds SUNBURST后门首次披露，利用流行的 SolarWinds Orion IT 监控和管理套件来开发木马更新。报告显示，命令控制(C&C)域 早在 2020 年 2 月 26日就注册了。后门针对运行 Orion 软件的服务，并针对美国财政部和商务部，此外财富 500 强和电信公司、其他政府机构和大学也可能受到影响。2021年12月，Log4j 0day漏洞爆发，允许黑客执行远程代码，包括完全控制服务器的能力。由于该漏洞利用是开源库的一

2、部分，因此运行 Java 的 30亿或更多设备中的任何一个都可能受到影响。Kaseya VSA 攻击和托管服务和软件勒索软件，勒索软件组织 REvil 劫持 Kaseya VSA，Kaseya VSA是一个用于 IT 系统及其客户的远程监控和托管服务平台。这次攻击导致60个直接客户数据泄露，1500家企业受到影响，黑客要求支付7000万美元的赎金才能解锁受影响的设备。Capital One攻击和云基础设施安全漏洞，爆发一次大规模的数据泄露事件。一名亚马逊员工利用亚马逊网络服务(AWS)的内幕信息窃取了1亿个信用卡信息。这次攻击暴露了利用云基础设施的危险。自带设备(BYOD)漏洞和供应商设备，2

3、022年3月，全球知名网络安全公司Okta透露，其供应商之一曾因一名员工在笔记本电脑上提供客户服务功能而遭到破坏。软件供应链问题Gartner的一项研究预测，到 2025 年，全球 45%的组织将遭受一次或多次软件供应链攻击。基于硬件基于软件基于固件治理方式代码被修改：在源代码控制后向代码添加防篡改“封条”上传的软件制品不是由 CI/CD 系统构建的：使用“标签”来标记软件制品，以验证它是由哪个构建服务创建的对构建系统的威胁：通过为构建系统服务提供“制造设施”的最佳实践案例思考机遇与挑战来源复杂化，涉及各环节协同治理上下游管控难度大，易疏漏检测难度大，编程语言差异新风险频发，比如数据泄漏、勒索企业安全文化问题，如何从安全教育转向安全文化挑战：挑战：行业监管法规加强，风险治理趋于规范产品化增强，新的产品能力涌现新技术迭代，AI等新技术应用行业交流共享共建，沉淀专家经验机遇：机遇：关注我们安世加 专注于网络安全行业，通过互联网平台、线上线下沙龙、峰会、人才招聘等多种形式，致力于创建亚太地区最好的甲乙双方交流学习的平台，培养安全人才，提升行业的整体素质，助推安全生态圈的健康发展。