“微软蓝屏”事件:软件安全治理成为当务之急

发表时间:2024-09-10 16:18



“微软蓝屏”事件

Blue Screen of Death

2024年7月19日,全球大量Windows 10电脑崩溃,电脑显示蓝屏死机并且无法重新启动,引发全球关注。“微软蓝屏”事件是一次典型的因软件故障导致其供应链上的用户大规模遭殃的严重安全事故。此次微软蓝屏波及不少国家地区,影响全球近千万台使用Windows的设备,导致航空公司、银行、电信公司和媒体、健康医疗等各个行业陷入混乱:多个国家的交通系统和银行服务中断,美国多家主要航空公司的航班被迫停飞,造成超过2000架次航班取消和5300架次航班延误。此外,全球其他地区如印度、德国和澳大利亚的机场也报告了类似故障。美国加利福尼亚州凯撒医疗集团的医疗设备瘫痪,金融交易受阻,伦敦证券交易所的LSEG集团和欧洲能源交易所均报告系统宕机,影响了全球用户。

通过这起事件,我们更加意识到关键信息系统和操作系统的自主可控对于国家安全和产业发展至关重要。在网络安全形势日益严峻的背景下,实现自主可控不仅是技术选择,更是战略需求。

图片

近年来发生的多起大型软件安全事件,时至今日影响仍然存在。

图片

2020年12月

全球最著名的网络安全管理软件供应商SolarWinds遭遇国家级APT团伙高度复杂的供应链攻击并植入木马后门。该攻击直接导致使用了SolarWinds Orion管理软件某些版本的企业客户全部受到影响:可任由攻击者完全操控;

图片

2021年11月

日志记录开源组件Apache Log4j2被曝出存在远程代码执行漏洞,攻击者利用该漏洞,可在未授权的情况下远程执行代码,获得服务器控制权限,该漏洞也因此被称作“核弹级”漏洞;

图片

2022年1月

身份验证服务主要提供商 Okta 的网络遭到知名数据勒索组织 Lapsus$ 的攻击,该组织利用对Okta的访问权来攻击其客户,影响了366家组织;

图片

2023年5月

Clop勒索软件组织利用Progress的MOVEit文件传输工具中的漏洞进行了大规模的攻击。这次攻击影响了数百家公司,Clop估计从中获得了7500万至1亿美元的利润,成为2023年最广泛影响和最严重的数据泄露事件之一;

图片

2024年3月

微软PostgreSQL开发人员在调查SSH性能问题时,在xz软件包中发现了一个涉及混淆恶意代码的供应链攻击,投毒者蛰伏三年多,企图掌控全球主流linux发行版,一旦成功将可随意侵入全球大多数的服务器。

01

软件安全需警惕危机挑战

图片

由此可见,软件应用程序的安全问题波及范围广、影响程度深,一旦软件出现漏洞或故障,其影响范围之广、后果之严重,往往超乎想象。当前软件安全还存在诸多挑战:

图片


图片

软件漏洞识别不及时

软件开发与维护过程中,若未能及时跟踪最新的安全漏洞信息或缺乏有效的自动化扫描工具,将导致已知漏洞长时间存在于系统中,增加被攻击的风险。。

图片

软件供应链风险识别不足:

对第三方组件和库的安全性评估不足,未能及时发现并排除潜在恶意代码或未修复漏洞,使软件供应链成为安全威胁的薄弱环节。

图片

软件补丁管理不规范

缺乏系统的补丁管理机制,可能导致关键补丁未及时部署,延长了漏洞暴露时间,增加安全风险。

图片

软件配置安全性不足:

软件安装及配置过程中未遵循最佳安全实践,如默认设置未更改、不必要的服务未禁用等,为攻击者提供了可乘之机。

图片

应用层监测不足:

缺乏对应用层行为的实时监控与异常检测,难以及时发现并响应恶意访问、数据泄露等安全事件。

图片

软件日志管理不规范:

日志记录不完整、未加密存储或未及时审计,导致在发生安全事件时无法追踪溯源,影响事件响应和后续分析。

图片

软件安全事件响应速度慢

缺乏高效的应急响应机制和预案,或团队成员间协作不畅,导致安全事件处理不及时,扩大了损失范围。

图片

软件应急备份恢复能力不足:

未建立完善的备份恢复策略,或备份数据不完整、测试不充分,一旦发生重大安全事件,难以迅速恢复业务运行。

图片

软件安全事件后缺乏深入分析:

安全事件处理完成后,未进行深入的安全漏洞分析和原因追溯,未能从中吸取教训,优化安全防护措施。

图片

软件安全改进措施执行不力

尽管识别了安全问题和改进建议,但由于资源不足、优先级设定不当或执行力不强,改进措施未能得到有效实施,安全隐患依然存在。

02

探索治理软件安全的中国方案

图片

2018年10月,国家发布了GB/T 36637-2018《信息安全技术ICT供应链安全风险管理指南》,为ICT(信息通信技术)供应链安全风险管理提供了指导。2024年4月,国内首个针对软件供应链安全的国家标准GB/T 43698《网络安全技术 软件供应链安全要求》出台,规定了软件供应链安全风险管理要求和供需双方的组织管理和供应活动管理安全要求,同期发布的另一国标GB/T 43848-2024《网络安全技术 软件产品开源代码安全评价方法》,旨在规范软件产品中的开源代码成分安全评价要素和评价流程,两项国标均将于今年11月1日正式实施。

图片

图:软件供应链安全保护框架

随着数字化转型进程的推进,软件供应链安全问题日益突出,成为网络安全领域的一个重要课题。GB/T 43698-2024《网络安全技术 软件供应链安全要求》的发布,无疑为我国网络安全能力的提升注入了强心剂,它不仅是技术规范的升级,更是安全意识与管理实践的全面革新。信息风险管控专家强调,通过开展软件供应链风险管理,共同推动我国软件安全管理水平迈向新的高度,为我国数字经济的健康发展保驾护航。

03

软件供应链安全管控帮助构建安全基石

图片

针对上述挑战,通过供应链安全管控可有效应对安全威胁,满足监管要求。

1

摸现状

摸清监管单位、建设单位、承建单位的供应链安全现状。包含区域监管部门要求、本单位软件供应链关系、供应链安全管理体系、供应链安全技术措施等。

2

做评估

开展供应链安全能力评估,包含设立指标、数据采集、差距分析、风险评估、整改建议等阶段,全方位评估服务对象供应链管理能力。

3

建制度

协助服务对象完善软件供应链安全管理体系,从立项、采购、实施、验收、运维等阶段建立或完善管理制度、规范等。

图片

图:供应链安全管理制度

4

常监控

常态化开展供应链安全检测及监督工作,可定期开展针对软件层面的攻防演练、软件上线检测、开源软件漏洞检测、人员安全意识培训、供应链专项监督检查等。

随着软件在各行各业的应用日益广泛,保障软件安全已成为数字化时代的一项重要任务。软件安全不仅关系到企业自身的利益,更是数字经济健康发展的基石。面对未来,我们需要不断强化软件安全保障体系,构建更加安全可靠的数字生态环境。通过政府政策的引导和支持,以及企业层面的不懈努力,共同推进软件业的健康发展,为经济社会的数字化转型贡献力量。展望未来,软件安全将成为推动各行业持续创新和数字经济繁荣的关键因素。只有加强软件安全建设,才能更好地抵御各种安全威胁,确保数字经济的可持续发展。未来,望安科技将持续踔厉奋发推动网安领域发展,以安全为推手促进产业建设,为推动网络强国、数字中国建设持续贡献力量!


地址:浙江省杭州市余杭区创鑫时代广场2号楼(浙江人才大厦)1001室
邮箱:wangan@wonsec.com
电话:400-675-8118
扫描二维码
关注微信公众号
扫描二维码
关注微信视频号