近日,由蚂蚁集团与诸子云联合举办的“切面会客厅:平行切面技术实践应用”专场活动,在上海蚂蚁S空间举行。墨菲安全联合创始人崔泷跃受邀参会并发表《基于切面技术打造供应链安全治理平台》的主题演讲。
蚂蚁集团网络安全部总经理
王宇致辞
在开场致辞中,蚂蚁集团网络安全部总经理王宇简要回顾了平行切面从联盟成立之初到当下的发展历程,也向参会者介绍了切面联盟技术合作的最新进展,分享了其背后的思考和愿景:在当前数字化转型背景下,平行切面如何在安全对抗、数据安全治理、企业合规、数字化IT运维等多个重要领域发挥重要作用。
墨菲安全联合创始人
崔泷跃发表主题演讲
在会上,墨菲安全联合创始人崔泷跃详细介绍了软件供应链安全能力建设的通用解决方案,以及墨菲安全如何基于切面技术打造供应链安全治理平台,为企业提供强大的资产识别、漏洞风险点识别及应急处置能力。
Tips
关于软件供应链的范畴,基于其定义和实际管理维度,从广义的角度来讲,指的在公司和组织内部,所有非自研的代码及应用,都属于软件供应链涉及的内容。包括:
开源组件,比如:近几年危害较大的Log4j组件、以及Spring框架等;
开源软件,比如:Hadoop、NGINX,以及MySQL、Redis等;
闭源商业软件,比如:Oracle、Cisco,以及国内的像金蝶、用友等;
目前国内提软件供应链安全,主要是特指开源软件安全,其中包括开源组件和(其他的)开源软件。
开源技术已成为企业信息化建设重要组成部分
随着开源技术的快速发展,它已经成为企业信息化建设的重要组成部分。据统计,国内90%以上的企业已经在使用开源技术。据崔泷跃描述,目前只有一些封闭C语言项目,较少使用三方组件或开源项目,但其他情况基本都会用到开源项目。
这些软件会通过各种软件分发渠道,进入企业的自研流程、商采流程和办公环境中,进而给企业带来如合规处罚、声誉损失、业务中断以及数据泄露等安全风险问题。目前,在开源软件方面的风险主要有三类:
一是漏洞攻击风险。比如像Log4j漏洞,以及近两年频发的供应链投毒风险事件,投毒也已经逐渐成为软件供应链安全的主要攻击方式。
二是产权合规风险。比如开源组件或开源软件的许可证合规风险。
三是供应中断风险。比如在大国博弈背景下,可能中断对特定地区供应的风险。
开源风险治理的四大难题
崔泷跃表示,近两年,很多企业在做开源风险治理时,基本都会遇到四个方面的难题,甚至很多企业因为解决不了而导致项目烂尾。
第一个难题是开源组件管控难。一般来说,企业内部会使用很多开源组件,但前期管控难度大,等到后面发现问题再做修复时,成本很高。
第二个难题是供应链资产依赖庞杂,依赖数量庞大。对企业来说,在扫描能力上需要针对不同语言、不同包管理器进行适配,尤其是二进制文件的识别。但由于二进制文件类型繁多,且编译后信息缺失严重,因此想把供应链梳理清楚,难度很大。
第三个难题是漏洞修复非常困难。一则是漏洞太多,难以判断修复的优先级;二则是企业安全工程师和研发人员经常由于对修复工作的不同理解,而难以沟通协作,比如安全工程师在反馈漏洞后,研发人员会担心修复后的兼容性问题影响业务使用,而不愿意修复;三则是很多没人维护的老项目,无法通过升级组件的方式进行漏洞修复。
第四个难题是应急响应难。各个模块每天会排查出很多漏洞,但很难明确判断出具体会受到影响的项目,并做出快速处置。
墨菲安全以供应链视角,构筑企业软件安全能力建设的通用解决方案
墨菲安全“行业开源组件安全治理通用解决方案”
崔泷跃介绍,墨菲安全基于上述问题,围绕行业企业需求及痛点,建立了一整套的行业通用方案来解决软件供应链安全治理问题,以供应链视角,推动企业软件安全架构升级。
从顶层视角,建立软件供应链相关的制度、流程、规范,确定好各角色的工作内容、义务与责任。
在控制体系上,将软件供应链安全的治理分为事前、事中、事后三个阶段;
a.事前:主要以预防为主。在引入组件及开源项目时,就对待引入组件进行检测,基于企业内的安全基线进行卡位。
b.事中:主要以持续管理、持续处置为主。主要是在代码编写、代码入库、编译、发布阶段对代码及制品进行扫描,发现并及时处置风险。
c.事后:主要以应急为主。也就是当项目已经在线上稳定运行阶段,这时需要及时了解新漏洞的爆发,并尽量缩短风险窗口期。
要完成上述控制体系,也需要诸多基础技术能力的支撑:
a.在集成能力方面,需要能够和DevOps流程的各个节点进行集成;
b.在检测能力方面,需要具备各类资产及环境的检测能力;
c.在其他能力方面,如识别其软件组成成分、安全漏洞、许可证合规及投毒风险等,还需要具备资产管理、漏洞管理、合规管理、应急处置等一系列管理能力。
将安全切面技术作为能力基座,强化产品核心能力
从上述行业通用方案,可以看到软件供应链工具的核心能力或者说核心要求,主要集中在组件识别和风险检测方面。包括:
在资产识别方面,需要准确,尽量减少漏报、误报的情况,同时要覆盖源代码、制品、运行环境等多个场景,并且可以识别哪些组件是线上真正使用的;
在漏洞识别方面,需要更精准地识别风险组件,以及风险组件是否会真正造成安全风险,这点很重要。因为在实际落地中,识别到的组件非常多,但真正能触发的漏洞非常少,这就要求检测的颗粒度要足够细。
在漏洞修复方面,光识别出组件和风险是不够的,还要能将整个流程闭环,同时尽量降低漏洞修复成本。
通常此类产品在修复建议处,都是提示升级到某个具体的版本,但在实际落地中是很难实现的。一方面可能这是无人维护的项目;另一方面是项目上线周期很长,需要繁琐的测试验证过程。因此企业更需要能提供快速缓解措施和非升级修复方案的产品。
为了解决这些问题,提高产品能力,墨菲安全将安全切面技术嵌入到软件供应链安全产品中,作为能力基座。同时结合漏洞知识库和软件成分分析能力,更清晰的识别运行过程中软件的数据流、函数调用等情况,做到软件运行状态的内视,同时基于其对运行中软件的干预能力,快速进行风险阻断。
崔泷跃指出,上述做法为墨菲安全弥补了很多能力上的不足,可以更准确地识别运行中服务的开源组件使用情况,以及组件对应的安全风险是否能被真实利用。同时结合墨菲安全的漏洞情报能力,提高漏洞的快速处置能力。此外,基于安全切面的能力,也能更好的进行投毒风险组件的识别。
基于安全切面能力打造的五大产品能力
崔泷跃表示,墨菲安全将安全切面技术和自身技术能力相结合,最终打造了产品的5大核心能力:
能力一:高准获取线上应用运行时依赖
在获取线上应用运行时的依赖方面,行业内通常做法是通过制定目录,或识别项目运行目录的方式,获取项目路径,再对项目路径内的所有文件进行静态分析。这就导致识别结果不准确,存在漏报、误报的情况。
墨菲安全基于安全切面,可以在应用启动时监控组件加载情况,生成资产台账,并持续监控和更新资产变化,使检测结果能更准确、更及时。
能力二:基于可达性分析实现95%无效漏洞过滤
行业内传统方案一般是基于项目路径下的项目文件进行静态检测。它可以基于函数调用及数据流分析,识别是否存在漏洞触发风险,因此对于源代码效果较好。但对编译后的文件,其检测的准确率就很难保证。
墨菲安全可以结合漏洞数据,将开源组件漏洞触发函数作为切点注入,当应用运行时,便可获取漏洞触发函数的调用栈信息,进而识别触发函数调用上下文信息,判断是否存在漏洞可达性路径,最终可以过滤掉95%左右的不可触发漏洞。
能力三:线上应用0day漏洞及投毒组件实时预警
墨菲安全通过准确识别服务运行时使用的资产信息,与漏洞情报的结合,可快速定位风险资产及相关服务信息,进而进行快速的应急处置。
能力四:线上应用严重漏洞,处置效率提升20倍
在应急处置时,墨菲安全的漏洞预警不仅会包括漏洞的危害、严重程度等基础信息,还会包括漏洞的触发点,即缺陷类函数信息以及漏洞防护规则。这样结合安全切面的运行时干预能力,就可动态下发漏洞修复规则,实施进行风险阻断,使漏洞处置效率提高20倍以上。
能力五:行业领先的软件供应链风险知识库
崔泷跃指出,墨菲安全的供应链风险知识库,在行业内有很大优势。
在知识库生产环节,尽可能的扩大漏洞搜集广度:墨菲安全不仅会监控CVE/CNVD漏洞库,还会监控GitHub等在野漏洞库。这些数据都会通过数据处理,经过自动化分析后,再由墨菲安全实验室的同学详细分析,放入漏洞知识库中。目前墨菲安全的漏洞知识库已经覆盖了40W+的漏洞。
在漏洞分析方面,完善分析深度:墨菲安全会结合安全切面的能力对漏洞进行详细分析,会有25个以上的字段对漏洞进行详细描述,包括漏洞的利用条件、漏洞触发点、高可用的修复信息等等。
在应用方面,依托知识库建立了投毒风险分析能力:墨菲安全会实时监控新增的开源组件或开源软件,并对其进行元数据分析,包括包名、开发者账号等。同时对其进行静态分析,包括敏感函数调用和数据流分析。
此外,结合安全切面能力,建立软件供应链投毒分析沙箱,把这些组件或软件下载并安装和调用,查看文件操作行为、网络访问行为等,再进行初步判断,是否存在投毒风险。
最后,由墨菲安全实验室的同学进行校验,确定是否是投毒组件,现在每周基本能识别到几十起投毒事件。
安全切面技术在场景中的应用
场景一:运行中的资产识别与风险治理
比如对银行业来说,人行经常会不定期的下发风险排查通知,需要在规定时间内进行风险排查和处置。
但这类场景下普遍存在两方面难题:一是无法准确识别运行中的资产情况;二是不具备应对单一资产批量识别能力。
安全切面技术能力的应用,就可以帮助运营人员在实际操作中,全量或下发特定的组件及风险识别任务,识别组件,并识别是否存在真实风险,以及风险资产对应的系统情况,进一步进行风险处置。
场景二:安全事件的应急处置
根据历史漏洞数据统计,平均每周会新增几十起安全漏洞,这就要求公司内安全人员,需要及时感知突发的安全事件,并结合公司内服务的情况进行漏洞修复。
该场景最主要的问题是,无法及时获取到漏洞情报信息以及梳理出会受到突发安全漏洞影响的服务。
墨菲安全基于自身在漏洞情报方面的四大优势:覆盖面全、收录快、质量高和内容准确,能够解决情报输入的问题,但情报只是第一步,有了情报还需要漏洞修复,才能形成闭环。此时,结合安全切面的干预能力,便可修复漏洞。
在具体操作中,当突发安全事件时,产品能对漏洞进行详细分析,并将漏洞预警信息推送给企业的安全运营人员,运营人员在墨菲安全产品的漏洞应急处置模块,下发漏洞处置任务。切面服务收到任务后,结合漏洞修复信息,对存在漏洞的服务进行一键统一漏洞修复,完成整个漏洞事件的闭环。
[关于平行切面联盟]
2023年7月,由蚂蚁集团牵头发起、多家企业共同参与的平行切面联盟正式成立,迄今已汇聚超30家成员单位,包括来自通信、金融、电子商务、网络安全等领域的知名头部企业。
联盟致力于平行切面技术的开源共建、标准共创和应用推广工作,不断向社会贡献创新技术和最佳实践来推动提升企业安全架构的实战性、稳定性、安全性和易用性,推进企业安全架构的变革和可持续发展。
长按二维码添加Abby
了解更多墨菲安全产品信息
联系电话:400 180 9568