发布日期:2021/08/26文章來源:盛邦安全
8月26日,由中國電子信息產業發展研究院、中國軟件評測中心(工業和信息化部軟件與集成電路促進中心)共同主辦,遠江盛邦(北京)網絡安全科技股份有限公司等承辦,中國計算機行業協會協辦的工業和信息化部移動互聯網APP產品安全漏洞庫發布會暨安全漏洞管理特設工作組成立儀式在京舉辦。盛邦安全入選首批安全漏洞特設工作組成員單位并做會議主題發言。
盛邦安全CEO權小文在分享“漏洞與供應鏈安全”相關話題中提到,近年來網絡攻防演練促進了用戶單位安全意識和能力的提高,早期利用漏洞就可以簡單直接地攻下防守目標,然而近年呈現出的新形勢是隨著用戶防護體系建設的加固,漏洞很難直接突破防御體系,攻擊隊伍有出了新攻擊思路:就是將漏洞與供應鏈體系相結合,往往能獲得意想不到的成果,也就是說沖鋒戰很難,但側翼包抄相對容易。供應鏈體系是相對防守薄弱的地方,攻擊一點、拿下一片的效果在供應鏈體系永遠存在。
對供應鏈攻擊來說,存在四種常見方式:(1)供應鏈漏洞(2)供應鏈后門 (3)供應鏈投毒和污染(4)供應鏈社工。但這四種方式不足以覆蓋所有的供應鏈場景,因為忽略了人性的可變要素。根據ATT&CK攻擊模型,斬斷攻擊點,即切斷攻擊前期的信息收集、弱點掃描,將是一個比較經濟而有效的供應鏈防御模型。盛邦安全開發的供應鏈安全檢測預警系統,從攻擊者視角發現和識別風險,識別供應鏈體系包括人員資產、暴露面資產、信息泄露等資產入網管控等手段發現、預警供應鏈安全風險隱患,實現不少于3級供應商體系檢測和預警,達到主動防御的目的,目前在金融、央企等行業的攻防演習中取得了良好的效果。
盛邦安全CEO權小文發表主題演講
在工業和信息化部網絡安全管理局、北京市通信管理局、賽迪研究院相關領導的見證下,工業和信息化部移動互聯網APP產品安全漏洞庫(簡稱CAPPVD)正式發布。中國軟件評測中心主任助理唐剛介紹CAPPVD漏洞庫及其管理工作。唐剛表示中國軟件評測中心將以特設工作組為基礎,匯聚業界力量,不斷完善漏洞庫收集、認證、處置等重要功能,保證漏洞收集暢通無阻、確保修補措施及時有效、保障漏洞庫運行安全穩定,為提升APP安全防護能力提供有力支撐。
據悉,為貫徹落實《網絡產品安全漏洞管理規定》相關要求,提高網絡產品安全漏洞管理水平,在工業和信息化部網絡安全管理局的組織指導下,中國軟件評測中心承建國家級移動互聯網APP產品安全漏洞庫,并在中國計算機行業協會下成立安全漏洞管理特設工作組。會議現場,中國軟件評測中心主任助理唐剛、中國計算機行業協會常務副秘書長相春雷為首批安全漏洞特設工作組成員單位代表授牌。盛邦安全憑借創新產品技術和豐富的漏洞挖掘與發現實踐經驗,入選工業和信息化部移動互聯網產品漏洞庫特設組建設運維支撐單位,并因在漏洞庫改造建設中的出色表現,受到相關部門領導的表揚與認可。
未來,盛邦安全將繼續充分利用和發揮自身產品技術優勢,全力配合漏洞庫工作組做好移動互聯網APP產品漏洞的收集、認定、修補等工作,為進一步提高威脅應對與風險管理能力、保障國家網絡安全做出貢獻。