2024年7月19日,全球大量Windows 10電腦崩潰,電腦顯示藍屏死機并且無法重新啟動,引發全球關注。“微軟藍屏”事件是一次典型的因軟件故障導致其供應鏈上的用戶大規模遭殃的嚴重安全事故。此次微軟藍屏波及不少國家地區,影響全球近千萬臺使用Windows的設備,導致航空公司、銀行、電信公司和媒體、健康醫療等各個行業陷入混亂:多個國家的交通系統和銀行服務中斷,美國多家主要航空公司的航班被迫停飛,造成超過2000架次航班取消和5300架次航班延誤。此外,全球其他地區如印度、德國和澳大利亞的機場也報告了類似故障。美國加利福尼亞州凱撒醫療集團的醫療設備癱瘓,金融交易受阻,倫敦證券交易所的LSEG集團和歐洲能源交易所均報告系統宕機,影響了全球用戶。
通過這起事件,我們更加意識到關鍵信息系統和操作系統的自主可控對于國家安全和產業發展至關重要。在網絡安全形勢日益嚴峻的背景下,實現自主可控不僅是技術選擇,更是戰略需求。
近年來發生的多起大型軟件安全事件,時至今日影響仍然存在。
2020年12月
全球最著名的網絡安全管理軟件供應商SolarWinds遭遇國家級APT團伙高度復雜的供應鏈攻擊并植入木馬后門。該攻擊直接導致使用了SolarWinds Orion管理軟件某些版本的企業客戶全部受到影響:可任由攻擊者完全操控;
2021年11月
日志記錄開源組件Apache Log4j2被曝出存在遠程代碼執行漏洞,攻擊者利用該漏洞,可在未授權的情況下遠程執行代碼,獲得服務器控制權限,該漏洞也因此被稱作“核彈級”漏洞;
2022年1月
身份驗證服務主要提供商 Okta 的網絡遭到知名數據勒索組織 Lapsus$ 的攻擊,該組織利用對Okta的訪問權來攻擊其客戶,影響了366家組織;
2023年5月
Clop勒索軟件組織利用Progress的MOVEit文件傳輸工具中的漏洞進行了大規模的攻擊。這次攻擊影響了數百家公司,Clop估計從中獲得了7500萬至1億美元的利潤,成為2023年最廣泛影響和最嚴重的數據泄露事件之一;
2024年3月
微軟PostgreSQL開發人員在調查SSH性能問題時,在xz軟件包中發現了一個涉及混淆惡意代碼的供應鏈攻擊,投毒者蟄伏三年多,企圖掌控全球主流linux發行版,一旦成功將可隨意侵入全球大多數的服務器。
01 軟件安全需警惕危機挑戰
由此可見,軟件應用程序的安全問題波及范圍廣、影響程度深,一旦軟件出現漏洞或故障,其影響范圍之廣、后果之嚴重,往往超乎想象。軟件安全還存在諸多挑戰:
軟件漏洞識別不及時:
軟件開發與維護過程中,若未能及時跟蹤最新的安全漏洞信息或缺乏有效的自動化掃描工具,將導致已知漏洞長時間存在于系統中,增加被攻擊的風險。。
軟件供應鏈風險識別不足:
對第三方組件和庫的安全性評估不足,未能及時發現并排除潛在惡意代碼或未修復漏洞,使軟件供應鏈成為安全威脅的薄弱環節。
軟件補丁管理不規范:
缺乏系統的補丁管理機制,可能導致關鍵補丁未及時部署,延長了漏洞暴露時間,增加安全風險。
軟件配置安全性不足:
軟件安裝及配置過程中未遵循最佳安全實踐,如默認設置未更改、不必要的服務未禁用等,為攻擊者提供了可乘之機。
應用層監測不足:
缺乏對應用層行為的實時監控與異常檢測,難以及時發現并響應惡意訪問、數據泄露等安全事件。
軟件日志管理不規范:
日志記錄不完整、未加密存儲或未及時審計,導致在發生安全事件時無法追蹤溯源,影響事件響應和后續分析。
軟件安全事件響應速度慢:
缺乏高效的應急響應機制和預案,或團隊成員間協作不暢,導致安全事件處理不及時,擴大了損失范圍。
軟件應急備份恢復能力不足:
未建立完善的備份恢復策略,或備份數據不完整、測試不充分,一旦發生重大安全事件,難以迅速恢復業務運行。
軟件安全事件后缺乏深入分析:
安全事件處理完成后,未進行深入的安全漏洞分析和原因追溯,未能從中吸取教訓,優化安全防護措施。
軟件安全改進措施執行不力:
盡管識別了安全問題和改進建議,但由于資源不足、優先級設定不當或執行力不強,改進措施未能得到有效實施,安全隱患依然存在。
02 探索治理軟件安全的中國方案
2018年10月,國家發布了GB/T 36637-2018《信息安全技術ICT供應鏈安全風險管理指南》,為ICT(信息通信技術)供應鏈安全風險管理提供了指導。2024年4月,國內首個針對軟件供應鏈安全的國家標準GB/T 43698《網絡安全技術 軟件供應鏈安全要求》出臺,規定了軟件供應鏈安全風險管理要求和供需雙方的組織管理和供應活動管理安全要求,同期發布的另一國標GB/T 43848-2024《網絡安全技術 軟件產品開源代碼安全評價方法》,旨在規范軟件產品中的開源代碼成分安全評價要素和評價流程,兩項國標均將于今年11月1日正式實施。
圖:軟件供應鏈安全保護框架
隨著數字化轉型進程的推進,軟件供應鏈安全問題日益突出,成為網絡安全領域的一個重要課題。GB/T 43698-2024《網絡安全技術 軟件供應鏈安全要求》的發布,無疑為我國網絡安全能力的提升注入了強心劑,它不僅是技術規范的升級,更是安全意識與管理實踐的全面革新。信息風險管控專家強調,通過開展軟件供應鏈風險管理,共同推動我國軟件安全管理水平邁向新的高度,為我國數字經濟的健康發展保駕護航。
03 軟件供應鏈安全管控幫助構建安全基石
針對上述挑戰,通過供應鏈安全管控可有效應對安全威脅,滿足監管要求。
1.摸現狀
摸清監管單位、建設單位、承建單位的供應鏈安全現狀。包含區域監管部門要求、本單位軟件供應鏈關系、供應鏈安全管理體系、供應鏈安全技術措施等。
2.做評估
開展供應鏈安全能力評估,包含設立指標、數據采集、差距分析、風險評估、整改建議等階段,全方位評估服務對象供應鏈管理能力。
3.建制度
協助服務對象完善軟件供應鏈安全管理體系,從立項、采購、實施、驗收、運維等階段建立或完善管理制度、規范等。
圖:供應鏈安全管理制度
4.常監控
常態化開展供應鏈安全檢測及監督工作,可定期開展針對軟件層面的攻防演練、軟件上線檢測、開源軟件漏洞檢測、人員安全意識培訓、供應鏈專項監督檢查等。
隨著軟件在各行各業的應用日益廣泛,保障軟件安全已成為數字化時代的一項重要任務。軟件安全不僅關系到企業自身的利益,更是數字經濟健康發展的基石。面對未來,我們需要不斷強化軟件安全保障體系,構建更加安全可靠的數字生態環境。通過政府政策的引導和支持,以及企業層面的不懈努力,共同推進軟件業的健康發展,為經濟社會的數字化轉型貢獻力量。展望未來,軟件安全將成為推動各行業持續創新和數字經濟繁榮的關鍵因素。只有加強軟件安全建設,才能更好地抵御各種安全威脅,確保數字經濟的可持續發展。未來,望安科技將持續踔厲奮發推動網安領域發展,以安全為推手促進產業建設,為推動網絡強國、數字中國建設持續貢獻力量!
(文章來源:道普信息)
Linux系統通常不會出現與Windows系統中的“藍屏死機”相似的問題,因為它們具有不同的架構和設計哲學。然而,Linux系統也可能遇到類似的問題,如內核崩潰或系統崩潰。
原因和分類:
技術細節: