日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
通過(guò)安全事件看IT產(chǎn)品供應(yīng)鏈安全風(fēng)險(xiǎn)

回顧去年的安全事件:Xmanager和Xshell后門(mén)事件、Xcode非官方版本惡意代碼污染事件、思科Juniper網(wǎng)絡(luò)設(shè)備存在“心臟出血”漏洞、Juniper VPN后門(mén)事件……通過(guò)以上事件可以發(fā)現(xiàn)企業(yè)在進(jìn)行軟件開(kāi)發(fā)、設(shè)備采購(gòu)、系統(tǒng)運(yùn)維等階段都存在著安全風(fēng)險(xiǎn),如何有效的針對(duì)IT產(chǎn)品供應(yīng)鏈進(jìn)行防范與控制成為企業(yè)面臨的極大挑戰(zhàn),本文將結(jié)合相關(guān)案例針對(duì)該問(wèn)題進(jìn)行簡(jiǎn)單闡述。

目前創(chuàng)新互聯(lián)公司已為1000多家的企業(yè)提供了網(wǎng)站建設(shè)、域名、虛擬空間、成都網(wǎng)站托管、企業(yè)網(wǎng)站設(shè)計(jì)、溫江網(wǎng)站維護(hù)等服務(wù),公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略,正道將秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng),共同發(fā)展。

一、概述

Xshell是一款知名的、強(qiáng)大的安全終端模擬軟件,但是在2017年8月NetSarang官方宣布在最近的軟件版本中發(fā)現(xiàn)nssock2.dll模塊的官方源碼中被植入惡意后門(mén)代碼,將泄露包括服務(wù)器密碼在內(nèi)的相關(guān)信息。

2016年研究人員發(fā)現(xiàn)全球性的網(wǎng)絡(luò)安全設(shè)備供應(yīng)商Fortinet(飛塔)所提供的防火墻存在后門(mén),屬于高危漏洞,攻擊者可以通過(guò)這個(gè)后門(mén),直接獲取防火墻控制權(quán)限,執(zhí)行攻擊行為,比如抓取流量監(jiān)聽(tīng)、DNS欺騙、建立隧道進(jìn)入企業(yè)內(nèi)網(wǎng)等。

通過(guò)以上事件可以發(fā)現(xiàn)企業(yè)在進(jìn)行軟件開(kāi)發(fā)、設(shè)備采購(gòu)、系統(tǒng)運(yùn)維等階段都存在著安全風(fēng)險(xiǎn),如何有效的針對(duì)IT產(chǎn)品供應(yīng)鏈進(jìn)行防范與控制成為企業(yè)面臨的極大挑戰(zhàn),本文將結(jié)合相關(guān)案例針對(duì)該問(wèn)題進(jìn)行簡(jiǎn)單闡述。

二、IT供應(yīng)鏈

IT供應(yīng)鏈?zhǔn)前到y(tǒng)終端用戶、政策制定者、采購(gòu)專(zhuān)家、系統(tǒng)集成商、網(wǎng)絡(luò)提供商和軟硬件提供商在內(nèi)的統(tǒng)一系統(tǒng),是上述角色通過(guò)組織和交互等行為,參與IT相關(guān)基礎(chǔ)設(shè)施的管理、維護(hù)和防御的過(guò)程。因此IT供應(yīng)鏈威脅涉及方方面面,包括:妨害、篡改、偽造、盜版、偷盜、摧毀、毀壞、泄露、滲透、破壞、轉(zhuǎn)移、出口管制違規(guī)、腐化、社會(huì)工程、內(nèi)部人員威脅、偽內(nèi)部人員威脅以及外部所有權(quán)。

本文將針對(duì)IT供應(yīng)鏈中的三個(gè)對(duì)象:軟件提供商、網(wǎng)絡(luò)及安全設(shè)備提供商、最終用戶通過(guò)安全事件列舉簡(jiǎn)述其面臨的安全風(fēng)險(xiǎn),同時(shí)針對(duì)安全風(fēng)險(xiǎn)提供安全防護(hù)建議,加強(qiáng)各環(huán)節(jié)安全防范能力。

三、安全事件概述及風(fēng)險(xiǎn)分析

1. 軟件提供商風(fēng)險(xiǎn)分析

(1) Xmanager和Xshell后門(mén)事件

事件概述:NetSarang是一家提供安全連接解決方案的公司,該公司的產(chǎn)品主要包括Xmanager, Xmanager 3D, Xshell, Xftp 和Xlpd。最近,官方在2017年7月18日發(fā)布的軟件被發(fā)現(xiàn)有惡意后門(mén)代碼,該惡意的后門(mén)代碼存在于有合法簽名的nssock2.dll模塊中。從后門(mén)代碼的分析來(lái)看,該代碼是由于攻擊者入侵的開(kāi)發(fā)者的主機(jī)或者編譯系統(tǒng)并向源碼中插入后門(mén)導(dǎo)致的。該后門(mén)代碼可導(dǎo)致用戶遠(yuǎn)程登錄的信息泄露。

事件緣由:開(kāi)發(fā)環(huán)境被污染,源代碼植入后門(mén)

(2) Xcode非官方版本惡意代碼污染事件

事件概述:Xcode 是由蘋(píng)果公司發(fā)布的運(yùn)行在操作系統(tǒng)Mac OS X上的集成開(kāi)發(fā)工具(IDE),是開(kāi)發(fā)OS X 和 iOS 應(yīng)用程序的最主流工具。2015年9月14日起,一例Xcode非官方版本惡意代碼污染事件逐步被關(guān)注,并成為社會(huì)熱點(diǎn)事件。多數(shù)分析者將這一事件稱(chēng)為“XcodeGhost”。攻擊者通過(guò)對(duì)Xcode進(jìn)行篡改,加入惡意模塊,并進(jìn)行各種傳播活動(dòng),使大量開(kāi)發(fā)者使用被污染過(guò)的版本,建立開(kāi)發(fā)環(huán)境。經(jīng)過(guò)被污染過(guò)的Xcode版本編譯出的App程序,將被植入惡意邏輯,其中包括向攻擊者注冊(cè)的域名回傳若干信息,并可能導(dǎo)致彈窗攻擊和被遠(yuǎn)程控制的風(fēng)險(xiǎn)。

事件緣由:非官方版本被植入后門(mén),開(kāi)發(fā)工具被污染

通過(guò)上述事件可以發(fā)現(xiàn)在軟件開(kāi)發(fā)、系統(tǒng)編譯、下載分發(fā)等不同階段都可能存在惡意程序感染,軟件提供商需要建立一套全面的、安全的軟件生命周期管理制度及流程,針對(duì)不同階段面臨的風(fēng)險(xiǎn)進(jìn)行排查、分析,結(jié)合相應(yīng)安全手段進(jìn)行有效管理,從而提供安全、可靠的軟件程序。

2. 網(wǎng)絡(luò)安全產(chǎn)品提供商風(fēng)險(xiǎn)分析

(1) 思科Juniper網(wǎng)絡(luò)設(shè)備存在“心臟出血”漏洞

事件概述:2014年波及全網(wǎng)的“心臟出血”漏洞,思科及Juniper相關(guān)網(wǎng)絡(luò)設(shè)備也未能幸免。該漏洞存在于OpenSSL中,可以泄露網(wǎng)絡(luò)設(shè)備的內(nèi)存內(nèi)容,黑客可以在企業(yè)網(wǎng)絡(luò)、家庭網(wǎng)絡(luò)以及互聯(lián)網(wǎng)上利用這一漏洞,非法獲取用戶名、密碼以及其他敏感信息。

事件緣由:使用了存在漏洞的OpenSSL版本

(2) Juniper VPN后門(mén)事件

事件概述:2015年12月15日著名的網(wǎng)絡(luò)設(shè)備廠商Juniper公司發(fā)出風(fēng)險(xiǎn)聲明,其防火墻、VPN設(shè)備使用的操作系統(tǒng)具有重大安全風(fēng)險(xiǎn),建議盡快升級(jí)相關(guān)版本。聲明中提及兩個(gè)重大風(fēng)險(xiǎn):1)設(shè)備的SSH登錄系統(tǒng)在輸入任意用戶名的情況下,使用超級(jí)密碼“<<< %s(un=’%s’) = %u”后就可以最高權(quán)限登錄系統(tǒng)。2)設(shè)備的VPN安全通道上傳遞的數(shù)據(jù)可以被攻擊人解密、篡改和注入。

事件緣由:系統(tǒng)程序存在缺陷,未對(duì)代碼進(jìn)行安全檢測(cè)

通過(guò)上述事件可以發(fā)現(xiàn)在網(wǎng)絡(luò)安全產(chǎn)品提供商作為產(chǎn)品提供者,在產(chǎn)品交付及運(yùn)行過(guò)程中存在大量漏洞,設(shè)備研發(fā)過(guò)程中存在邏輯漏洞、使用了不安全的協(xié)議等問(wèn)題導(dǎo)致產(chǎn)品存在安全漏洞,給最終使用用戶造成巨大影響。

3. 最終用戶

(1) 臺(tái)灣遠(yuǎn)東國(guó)際商業(yè)銀行日前遭黑客入侵

事件概述:2017年10月3日臺(tái)灣遠(yuǎn)東銀行3日發(fā)現(xiàn)SWIFT(Society for Worldwide Interbank Financial Telecommunication,環(huán)球銀行間金融電訊網(wǎng)絡(luò))系統(tǒng)異常,事后發(fā)現(xiàn)銀行SWIFT系統(tǒng)遭黑客植入惡意程式,并進(jìn)行遠(yuǎn)端轉(zhuǎn)帳,5日向臺(tái)刑事警察局(刑事局)報(bào)案。據(jù)了解,遭黑的金額約6000萬(wàn)美元,被匯到斯里蘭卡、柬埔寨及美國(guó)。

事件緣由:APT攻擊

(2) 美國(guó)征信巨頭 Equifax大規(guī)模數(shù)據(jù)泄露

事件概述:美國(guó)征信巨頭Equifax日前確認(rèn),黑客利用其系統(tǒng)中未修復(fù)的 Apache Struts漏洞( CVE-2017-5638,3 月 6 日曝光)發(fā)起攻擊,導(dǎo)致了最近影響惡劣的大規(guī)模數(shù)據(jù)泄漏事件。

事件緣由:使用存在安全漏洞的Struts框架,未及時(shí)進(jìn)行升級(jí)

通過(guò)上述事件發(fā)現(xiàn)用戶在進(jìn)行日常運(yùn)維及安全管理過(guò)程中存在大量問(wèn)題,針對(duì)內(nèi)部安全漏洞無(wú)法及時(shí)進(jìn)行修補(bǔ),暫無(wú)相關(guān)技術(shù)手段針對(duì)網(wǎng)絡(luò)內(nèi)部未知攻擊進(jìn)行發(fā)現(xiàn)及監(jiān)測(cè),最終導(dǎo)致企業(yè)網(wǎng)絡(luò)及系統(tǒng)被黑客攻擊,造成不可估量的損失。

(3) 建議及防范措施

IT供應(yīng)鏈安全是一個(gè)涉及面廣且復(fù)雜的一套體系,在任何一個(gè)階段存在問(wèn)題都勢(shì)必會(huì)影響供應(yīng)鏈上下游的安全。因此,這里針對(duì)軟件提供商及網(wǎng)絡(luò)安全產(chǎn)品提供商提供相關(guān)安全建議:

  • 建立健全應(yīng)用開(kāi)發(fā)生命周期安全管理制度,在應(yīng)用及產(chǎn)品需求分析、功能設(shè)計(jì)、實(shí)施開(kāi)發(fā)、測(cè)試驗(yàn)證及上線發(fā)布等環(huán)節(jié)進(jìn)行質(zhì)量及安全把控;
  • 定期對(duì)應(yīng)用及產(chǎn)品進(jìn)行功能、安全性測(cè)試,時(shí)刻掌握應(yīng)用及產(chǎn)品安全風(fēng)險(xiǎn),同時(shí)與上下游用戶建立安全事件通報(bào)機(jī)制,若出現(xiàn)安全問(wèn)題及時(shí)與供應(yīng)鏈上下游用戶進(jìn)行溝通協(xié)同進(jìn)行應(yīng)急響應(yīng)工作;
  • 加強(qiáng)員工網(wǎng)絡(luò)安全意識(shí)培訓(xùn)教育,提高安全意識(shí)認(rèn)知水平規(guī)范員工日常操作;

最終用戶在進(jìn)行IT供應(yīng)鏈風(fēng)險(xiǎn)管理過(guò)程中應(yīng)遵循以下幾點(diǎn):

  • 建立內(nèi)部網(wǎng)絡(luò)安全評(píng)估機(jī)制,定期對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評(píng)估,發(fā)現(xiàn)存在的風(fēng)險(xiǎn)點(diǎn),針對(duì)風(fēng)險(xiǎn)及威脅進(jìn)行問(wèn)題修復(fù),全面提高網(wǎng)絡(luò)安全防護(hù)水平;
  • 建立一套未知威脅感知系統(tǒng),針對(duì)未知威脅攻擊進(jìn)行有效的監(jiān)測(cè)及預(yù)警工作,實(shí)時(shí)掌握網(wǎng)絡(luò)安全情況,縮短應(yīng)急響應(yīng)時(shí)間;
  • 建立產(chǎn)品采購(gòu)及供應(yīng)鏈廠商管理制度,需按照國(guó)家相關(guān)合規(guī)要求進(jìn)行產(chǎn)品及服務(wù)采購(gòu),在今年6月1日正式實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中第三十五、三十六條中也針對(duì)產(chǎn)品及服務(wù)采購(gòu)進(jìn)行了相應(yīng)要求;
  • 加強(qiáng)供應(yīng)鏈對(duì)象溝通交流機(jī)制,建立有效的問(wèn)題反饋渠道,及時(shí)與上下游對(duì)象進(jìn)行問(wèn)題溝通及應(yīng)急處置;
  • 提高企業(yè)內(nèi)部人員安全意識(shí),建立安全操作及運(yùn)維管理制度,降低違規(guī)及異常操作帶來(lái)的風(fēng)險(xiǎn)。

【本文是專(zhuān)欄作者“綠盟科技博客”的原創(chuàng)稿件,轉(zhuǎn)載請(qǐng)通過(guò)聯(lián)系原作者獲取授權(quán)】


網(wǎng)站名稱(chēng):通過(guò)安全事件看IT產(chǎn)品供應(yīng)鏈安全風(fēng)險(xiǎn)
標(biāo)題網(wǎng)址:http://www.5511xx.com/article/cdshspg.html