网络安全行业年度盛会RSAC 2021已接近尾声。在这场盛会上,供应链安全无疑是最热门的主题之一,有多个重磅演讲和环节涉及。
大会邀请了去年底最严重供应链事件的主角SolarWinds CEO现场分享攻击细节,这是其近半年少有的公开露面;美国国家安全副顾问针对大型供应链攻击,提出了美国新政府对网络安全防御进行现代化改造的方法;连今年创新沙盒的冠军,也是一家号称可以发现和阻止类SolarWinds攻击的厂商。
SolarWinds CEO披露最严重供应链攻击细节
本届RSAC的重磅环节之一,是网管软件公司SolarWinds的总裁兼首席执行官Sudhakar Ramakrishna公开露面,披露了去年底曝光的针对他们的大规模供应链攻击事件的细节。
Ramakrishna称,SolarWinds分析了整个IT环境的数百TB数据和数千个虚拟机系统,发现攻击者在2019年1月便进行了早期侦查活动,而此前调查结论认为攻击者在2019年9-10月才开始行动。
在事件曝光后的近6个月里,SolarWinds一直在协助客户应对影响。SolarWinds的软件产品是本地部署的,不会出现客户收到更新消息后便全部进行更新,而是一个个客户持续沟通,一次次的推动对方升级。Ramakrishna表示,目前正在努力做好透明度,增强客户对公司的信任。
美国国家安全副顾问提出大型供应链攻击的应对
在RSAC第二天的主题演讲中,美国总统副助理兼网络和新兴技术国家安全副顾问安妮·纽伯格(Anne Neuberger)代表美国国家安全委员会(National Security Council)提出了美国新政府对网络安全防御进行现代化改造的方法。
Anne首先描述了日益危险的网络威胁态势,并指出拜登政府在其任职的头100天中就已经面对并处理两个大规模供应链安全事件,即SolarWinds和微软Exchange攻击。
她表示:“政府和公司日渐受到来自罪犯的定期、精细及恶意的攻击,如今,网络安全比任何时候都重要,对国家安全也至关重要。”
Anne提到,此时需要真正开始改变思维模式——从事后补救转变到事前预防,优先将投资转移到威胁发生之前,加强事前网络安全防护水平。同时对已发生的大型事件做出必要处理、反馈及复盘。
开发安全创新厂商获创新沙盒冠军
当地时间5月19日下午,Apiiro公司从RSAC 2021创新沙盒比赛脱颖而出,最终斩获创新沙盒冠军,荣膺“RSAC 2020最具创新初创企业”。
Apiiro是一家安全开发生命周期(SDLC)管理厂商,成立于2019年,总部位于以色列特拉维夫。Apiiro的创始人Idan Plotnik和Yonatan Eldar均是以色列国防部的退伍军人,此前均曾在微软负责大型软件的风险管理,SDLC也是微软提出的安全开发框架。
Apiiro 创立了业界领先的代码风险可视化管理平台,可识别整个开发过程中的风险,加强应用程序治理和合规性,并防止高级CI/CD攻击,所有这些能力都可以在一个平台上以及在开发生命周期的早期进行。
Apiiro宣传可以发现和阻止类似SolarWinds的供应链攻击,非常契合当前的网络威胁主题。SolarWinds事件后,软件供应链安全受到了空前关注,各国陆续出台相关法律法规保障和审查软件供应链安全,该领域有望成为未来几年网络安全的黄金赛道。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。