• <menu id="gag6m"></menu>
    <object id="gag6m"></object>
    <input id="gag6m"></input>
    <object id="gag6m"></object>
  • <menu id="gag6m"><u id="gag6m"></u></menu><input id="gag6m"><acronym id="gag6m"></acronym></input>
    <input id="gag6m"><u id="gag6m"></u></input>
  • <menu id="gag6m"></menu>
    <menu id="gag6m"><u id="gag6m"></u></menu>
  • <input id="gag6m"><u id="gag6m"></u></input>
    <input id="gag6m"><u id="gag6m"></u></input>
  • <input id="gag6m"></input>
  • <object id="gag6m"></object>
  • <input id="gag6m"><u id="gag6m"></u></input><input id="gag6m"></input><input id="gag6m"><acronym id="gag6m"></acronym></input>
  • <input id="gag6m"><u id="gag6m"></u></input><input id="gag6m"></input>
  • <object id="gag6m"><acronym id="gag6m"></acronym></object>
    <input id="gag6m"><acronym id="gag6m"></acronym></input>
  • 頭條 科技 產經 家電 智能 手機 芯片 數碼 電商 網站地圖
    中國IT產經新聞網-移動互聯網與智能搜索領域是未來IT產業發展的趨勢!
    中國IT產經新聞網/市場觀察/正文
    騰訊安全科恩實驗室聶森:sysAuditor成為企業提升安全基線的新思路
    來源:
    2021-11-08
    編輯:小編

    11月4日,2021騰訊數字生態大會云安全專場在武漢光谷科技會展中心召開。騰訊安全科恩實驗室專家工程師聶森出席專場論壇,結合騰訊安全科恩實驗室的安全研究經驗,分享了他對關鍵信息基礎設施軟件供應鏈安全的思考與實踐。

    bfcf56c5d8d008cedd0ab98c2f8c694.jpg

    當今社會的正常穩定運行,越來越離不開關鍵信息基礎設施的支撐。為進一步保障關鍵信息基礎設施安全,相關政策陸續出臺。其中,《關鍵信息基礎設施安全保護條例》(以下簡稱“條例”)已于2021年9月1日正式施行。除了國家級的法律法規,海內外面向特定行業的安全法規也已經展開,如UNECE WP.29通過的兩項,分別針對車輛信息安全管理CSMS、軟件更新管理SUMS的聯合國車輛法規也已于今年1月22日正式生效。相關政策的發布,為指導關鍵信息基礎設施安全保護工作提供了基本遵循。

    供應鏈安全是保障關鍵信息基礎設施安全的關鍵要素

    在條例中,提及一個核心觀點,即“強化供應鏈安全保障工作,保護關鍵信息基礎設施安全”,由此可見供應鏈安全的重要性。然而,供應鏈安全風險在當前日趨嚴峻的網絡安全形勢下日顯突出,且一旦出現問題會將給關鍵信息基礎設施帶來嚴重危害。據2020年12月FireEye發布的關于“太陽風”供應鏈攻擊通告顯示,某基礎網絡管理軟件的軟件更新包中被黑客植入后門,造成約超過250家美國聯邦機構和企業受到影響。

    “需要注意的是,關鍵信息基礎設施行業的軟件供應鏈有一個非常特殊的特點,區別于其它場景,我們總結為——以嵌入式軟件為主,且呈現非常嚴重的碎片化特性。”聶森在發言中強調。而這也讓關鍵信息基礎設施的安全局勢變得更加復雜和嚴峻。據有關數據顯示,480+款固件就檢測出了16000+個安全風險,嚴重與高危風險比例超過50%。經過分析和總結,聶森認為,嵌入式系統總體安全形勢堪憂:版本舊,大量已知漏洞未修復;合規性檢查缺失;設備廠商安全投入成本高;安全能力不足;用戶回收修復成本高等,這些缺陷將直接影響到軟件供應鏈的安全,并進一步影響關鍵基礎設施和重要信息系統的安全。

    sysAuditor解決方案助力企業提效降本

    針對持續升級的供應鏈攻擊,以及彌補傳統軟件供應鏈的缺陷,騰訊安全科恩實驗室結合其在安全領域的技術研究和服務能力產品化的成果,推出了sysAuditor解決方案。據了解,sysAuditor是一款聚焦于物聯網系統的基線合規檢查和二進制軟件成分分析的自動化平臺,與傳統的嵌入式系統相比,sysAuditor解決方案具有四個核心突破點:核心突破一、格式支持完善度最高的固件解析能力;核心突破二、最小依賴無侵入動態信息采集能力;核心突破三、首創動靜態信息結合的基線審計能力;核心突破四、用AI技術構建二進制軟件成分分析引擎。sysAuditor解決方案沉淀了科恩實驗室的滲透測試經驗,能夠助力企業實現對研發漏洞檢測、系統安全驗收、潛在風險規避和行業安全管理等的自動化審計,從而提升安全基線,降低維護成本。

    事實上,早在2020年,sysAuditor就憑借其突出優勢入選了國家級試點,主導的核心設計已申請兩項專利,目前已在智能汽車、能源、政府等行業或機構成功落地。以上汽集團為例,上汽集團與騰訊組建了網絡安全聯合實驗室,針對智能網聯汽車開展車輛攻防和安全技術研發工作,通過sysAuditor私有化版本,補充了自研及上游車機固件、嵌入式系統的安全評估能力,助力上汽集團保障消費者的財產和人身安全。除此之外,騰訊安全sysAuditor解決方案也已在國家電網河南電力公司,以及深圳坪山區智能網聯汽車示范平臺建設等國家級項目中投入使用。

    作為產業安全領導者,騰訊安全一直在深耕包括車聯網、5G、IoT等在內的前沿技術領域的安全研究,未來,也將繼續通過產品和服務將安全能力轉化成護航產業互聯網的安全生產力,持續為各行各業輸出高效的安全解決方案。

    0
    評論總數:0 [ 查看全部 ]網友評論
        
        驗證碼:    
    中國IT產經新聞網-移動互聯網與智能搜索領域是未來IT產業發展的趨勢!
    中國IT產經新聞網-移動互聯網與智能搜索領域是未來IT產業發展的趨勢!
    產業點評更多
    廠商動態更多
    熱門綜合更多
    中國IT產經新聞網-移動互聯網與智能搜索領域是未來IT產業發展的趨勢!
    CopyRight @ 2008-2020 中國IT產經新聞網 All Right Reserved 違者必究 京備05618372
    全国空降