8月26日�����,由中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院�����、中國(guó)軟件評(píng)測(cè)中心(工業(yè)和信息化部軟件與集成電路促進(jìn)中心)共同主辦���,遠(yuǎn)江盛邦(北京)網(wǎng)絡(luò)安全科技股份有限公司等承辦���,中國(guó)計(jì)算機(jī)行業(yè)協(xié)會(huì)協(xié)辦的工業(yè)和信息化部移動(dòng)互聯(lián)網(wǎng)APP產(chǎn)品安全漏洞庫(kù)發(fā)布會(huì)暨安全漏洞管理特設(shè)工作組成立儀式在京舉辦。盛邦安全入選首批安全漏洞特設(shè)工作組成員單位并做會(huì)議主題發(fā)言��。
盛邦安全CEO權(quán)小文在分享“漏洞與供應(yīng)鏈安全”相關(guān)話題中提到�,近年來(lái)網(wǎng)絡(luò)攻防演練促進(jìn)了用戶單位安全意識(shí)和能力的提高,早期利用漏洞就可以簡(jiǎn)單直接地攻下防守目標(biāo)��,然而近年呈現(xiàn)出的新形勢(shì)是隨著用戶防護(hù)體系建設(shè)的加固���,漏洞很難直接突破防御體系��,攻擊隊(duì)伍有出了新攻擊思路:就是將漏洞與供應(yīng)鏈體系相結(jié)合��,往往能獲得意想不到的成果��,也就是說(shuō)沖鋒戰(zhàn)很難���,但側(cè)翼包抄相對(duì)容易�����。供應(yīng)鏈體系是相對(duì)防守薄弱的地方�,攻擊一點(diǎn)���、拿下一片的效果在供應(yīng)鏈體系永遠(yuǎn)存在���。
對(duì)供應(yīng)鏈攻擊來(lái)說(shuō),存在四種常見(jiàn)方式:(1)供應(yīng)鏈漏洞(2)供應(yīng)鏈后門 (3)供應(yīng)鏈投毒和污染(4)供應(yīng)鏈社工���。但這四種方式不足以覆蓋所有的供應(yīng)鏈場(chǎng)景���,因?yàn)楹雎粤巳诵缘目勺円亍8鶕?jù)ATT&CK攻擊模型�,斬?cái)喙酎c(diǎn),即切斷攻擊前期的信息收集�����、弱點(diǎn)掃描,將是一個(gè)比較經(jīng)濟(jì)而有效的供應(yīng)鏈防御模型����。盛邦安全開(kāi)發(fā)的供應(yīng)鏈安全檢測(cè)預(yù)警系統(tǒng)����,從攻擊者視角發(fā)現(xiàn)和識(shí)別風(fēng)險(xiǎn),識(shí)別供應(yīng)鏈體系包括人員資產(chǎn)����、暴露面資產(chǎn)、信息泄露等資產(chǎn)入網(wǎng)管控等手段發(fā)現(xiàn)�����、預(yù)警供應(yīng)鏈安全風(fēng)險(xiǎn)隱患�����,實(shí)現(xiàn)不少于3級(jí)供應(yīng)商體系檢測(cè)和預(yù)警����,達(dá)到主動(dòng)防御的目的,目前在金融、央企等行業(yè)的攻防演習(xí)中取得了良好的效果���。
盛邦安全CEO權(quán)小文發(fā)表主題演講
在工業(yè)和信息化部網(wǎng)絡(luò)安全管理局��、北京市通信管理局����、賽迪研究院相關(guān)領(lǐng)導(dǎo)的見(jiàn)證下���,工業(yè)和信息化部移動(dòng)互聯(lián)網(wǎng)APP產(chǎn)品安全漏洞庫(kù)(簡(jiǎn)稱CAPPVD)正式發(fā)布��。中國(guó)軟件評(píng)測(cè)中心主任助理唐剛介紹CAPPVD漏洞庫(kù)及其管理工作����。唐剛表示中國(guó)軟件評(píng)測(cè)中心將以特設(shè)工作組為基礎(chǔ)�,匯聚業(yè)界力量,不斷完善漏洞庫(kù)收集����、認(rèn)證、處置等重要功能�,保證漏洞收集暢通無(wú)阻、確保修補(bǔ)措施及時(shí)有效�、保障漏洞庫(kù)運(yùn)行安全穩(wěn)定�����,為提升APP安全防護(hù)能力提供有力支撐�。
據(jù)悉��,為貫徹落實(shí)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》相關(guān)要求����,提高網(wǎng)絡(luò)產(chǎn)品安全漏洞管理水平���,在工業(yè)和信息化部網(wǎng)絡(luò)安全管理局的組織指導(dǎo)下��,中國(guó)軟件評(píng)測(cè)中心承建國(guó)家級(jí)移動(dòng)互聯(lián)網(wǎng)APP產(chǎn)品安全漏洞庫(kù)����,并在中國(guó)計(jì)算機(jī)行業(yè)協(xié)會(huì)下成立安全漏洞管理特設(shè)工作組�����。會(huì)議現(xiàn)場(chǎng)��,中國(guó)軟件評(píng)測(cè)中心主任助理唐剛�����、中國(guó)計(jì)算機(jī)行業(yè)協(xié)會(huì)常務(wù)副秘書長(zhǎng)相春雷為首批安全漏洞特設(shè)工作組成員單位代表授牌。盛邦安全憑借創(chuàng)新產(chǎn)品技術(shù)和豐富的漏洞挖掘與發(fā)現(xiàn)實(shí)踐經(jīng)驗(yàn)�,入選工業(yè)和信息化部移動(dòng)互聯(lián)網(wǎng)產(chǎn)品漏洞庫(kù)特設(shè)組建設(shè)運(yùn)維支撐單位,并因在漏洞庫(kù)改造建設(shè)中的出色表現(xiàn)��,受到相關(guān)部門領(lǐng)導(dǎo)的表?yè)P(yáng)與認(rèn)可�����。
未來(lái)�����,盛邦安全將繼續(xù)充分利用和發(fā)揮自身產(chǎn)品技術(shù)優(yōu)勢(shì)�����,全力配合漏洞庫(kù)工作組做好移動(dòng)互聯(lián)網(wǎng)APP產(chǎn)品漏洞的收集��、認(rèn)定���、修補(bǔ)等工作����,為進(jìn)一步提高威脅應(yīng)對(duì)與風(fēng)險(xiǎn)管理能力、保障國(guó)家網(wǎng)絡(luò)安全做出貢獻(xiàn)�����。
