安天创始人肖新光为“供应链网空安全”分论坛致辞

时间:2022年08月17日    来源:安天


8月17日,由国家计算机网络应急技术处理协调中心指导、安天科技集团主办的第19届中国网络安全年会“供应链网空安全”分论坛在线上召开。本届分论坛旨在深入探讨供应链网空威胁对我国关键信息基础设施带来的风险隐患,复盘重大供应链威胁事件,探索针对性解决方案,推动布防点关口前移。全国政协委员、安天集团创始人、首席架构师肖新光出席本次活动并发表致辞。以下为致辞全文:

尊敬的各位专家领导、各位业界同仁、各位线上参会的朋友们:

大家好!非常荣幸,安天能够承办第19届中国网络安全年会供应链网空安全分论坛。在此特别感谢国家计算机网络应急技术处理协调中心提供了这样一个平台,让我们共同关注供应链的网络空间安全问题。

IT供应链体系复杂、暴露面多,作为信息系统的上游环节被攻击者利用,既可能带来长期隐蔽难以察觉的攻击入口,也可能会引发大面积瘫痪失效的雪崩效应,造成不可估量的影响。近几年,网络攻击者通过入侵软硬件产品供应商,实现对下游政企应用场景的连锁突破,已经成为常态化手段。2015年,苹果公司的开发工具XCode非官方版本污染事件,导致国内800余个互联网应用遭到污染,其中含多个主流应用。2020年,软件供应商SolarWinds旗下Orion基础设施管理平台发布环境遭到入侵,被植入恶意代码并随软件发布,导致超过17000家用户机构遭受严重影响。2021年,境外网络攻击组织ATW利用代码审计平台SonarQube漏洞,窃取了多份行业软件代码,在网上兜售,造成系列连锁风险。

供应链网络安全风险,对全球来说都是新挑战、新课题和难题。有些是全球共性风险,有些是我国面临的更为严峻的挑战。我们必须直面以下问题和短板:

一是软件研发场景防护能力普遍薄弱。在设计、开发、编译、测试、签名、分发等场景缺少针对性防护措施,导致相关环境和流程被攻击者入侵,带来系列严重风险,如:软件中被植入脆弱性代码,甚至直接可利用的后门,作为攻击下游用户的跳板;软件源代码被攻击者窃取,通过代码级分析挖掘漏洞,研发针对性攻击工具;软件签名证书失窃,导致攻击者可以将入侵程序伪装成可信程序,绕过安全检测机制;软件分发、更新机制和渠道被攻击者入侵劫持,用于捆绑恶意代码,发动针对下游的攻击。

二是整体软件行业代码安全工程能力较差。普遍缺少全生命周期的代码安全工程能力,导致出品软件的基础安全性较差,易于出现严重安全漏洞,甚至存在大量低级问题,如:重要通讯使用非加密协议、硬口令编码等。IoT设备和部分智能终端设备缺少原生融合的出厂安全机制,接入政企网络后,难以支撑可管理性、可防御性的要求。

三是政企用户侧供应链管理工作缺失网络安全维度。对供应链管理的认识停留在资产台账和基础运维的层面,缺少对上游供应链网络安全视角的统一工作机制和流程规范。对供应商资质入围缺少网络安全层面的整体要求;缺少对软硬件设备安全入网的管理要求、操作规范、检查机制;软件和工具链管理普遍混乱,存在大量使用来源不明、未经安全验证的软件工具等情况。

安天长期按照“关口前移,防患于未然”的安全要求,努力把安全基因向供应链侧沉浸,安天反病毒引擎和安全内核模块累计为超过50万个云上端点、128万台网络设备和超过30亿部手机和智能终端设备提供了出厂预装的安全赋能。安天也多次在安全威胁年度报告中对供应链安全问题给予密切关注,并始终提醒用户“供应链从来就不只是网络威胁对抗中的外围阵地,而是更为核心和致命的主战场”。在我国加速推进数字化转型和数字中国建设的背景下,供应链网空安全问题如不能得到有效重视和积极应对,将对我国关键信息基础设施安全带来重大风险隐患。我们需要直面风险、消除隐患、推动我国供应链水平提升,这就是我们建议设立、并承办供应链网空安全分论坛的原因。

我们高度感谢业内专家接受我们的邀请,在分论坛上分享真知灼见。

来自主管部门何跃鹰博士和南开大学张健教授,将分别从集成电路和软件产业,从一软一硬两方面讨论供应链网络安全体系。中资网安的尹峰总监和哈尔滨工业大学辛毅博士,将分享央企安全治理和改善高校信息系统供应链安全经验。

在标准方面:知名安全理念布道人樊山老师会带来供应链网络安全法规政策及技术标准解读;在威胁分析实践方面,太阳风事件中国内分析的最为深入的奇安信应急团队的赵晋龙高工,将进行深度的实践分析成果分享。

在底层安全实践方面,我们邀请了我们的合作伙伴昆仑太科的陈小春副总经理,介绍国产固件安全启动引导构建底层安全能力的进展,安天非常有幸能参与这项意义重大的工作。

与此同时,安天也带来了我们两部分工作进展汇报,包括由安天SRC汇报,在当前DevOps所推动的客户场景数字化转型变革中,我们如何来构建包括运行时防护、成分分析、代码检查组成的工具链,有效支撑DevOps向SecDevOps过度。以及如何在把握信息节点上线检查这一关键时点,及时发现和降低隐患、塑造可信环境、部署安全能力、融合安全基因、提升基线水平,并有效支撑上线后的状态比对、故障归零、威胁猎杀等安全业务。

我相信通过本届“供应链网空安全”分论坛活动,能够为我国提升供应链网空安全防护水平提供一些新视角、新思路。而有效应对供应链网空安全挑战,是一项长期的艰苦工作,需要监管侧、需求侧、供给侧的共同努力。安全产业界会在主管部门领导和指导下,全力提升保障能力和水平,为供应链网空安全供给持续、深度、有效的能力。

预祝本次分论坛圆满成功!