写在最后,也写给自己
时间:2022-04-19 23:24:01 | 来源:行业动态
时间:2022-04-19 23:24:01 来源:行业动态
回顾针对供应链发动APT攻击的真实案例再次证明了,在软硬件开发交付环节被攻击后会产生巨大危害,故软件开发及交付环节的安全防范至关重要。为此,亚信安全建议软硬件厂商在开发交付环节尽可能做到:
- 建立可信的开发环境,这包括可控可信任的软硬件环境,诸如正规渠道购买、下载的软硬件,可信的第三方开源/商业库、算法等,采购安全可信的软件外包服务。关注所用组件的安全通告,如被揭露出严重安全问题,通过配置或加入其他安全性控制作为缓解措施,必要时升级相关的组件。
- 培养开发人员的安全意识,将SDL融入到开发流程中,把安全性的评估作为开发过程中的必要评审项。开发环节严格遵守开发规范,开发完成的软硬件发布前,交给独立的内部或外部测评组织进行安全性评估,及时解决所发现的问题。
- 在正规且统一的可信渠道发布软件,软件安装运行时能够提供强校验能力,升级更新自身时校验下载回来安装包的签名,并且将相关签名证书作为企业核心资产严格保管,保证证书不泄露,不会运行被劫持的升级包。
最后,还有一点值得关注,与SolarWinds类似的国内外IT管理软件,均存在着权限过大的问题,一旦被入侵,所造成的影响也将覆盖到整个业务层面。具体来说,IT运维管理软件在企业网络架构中拥有绝对的超级权利,从技术角度来看,它控制了工作在底层的运维平台,就能将整个网络的信息转发到任何一个接收点,没有任何障碍,且不易察觉。甚至在一些特殊行业(金融、能源、制造)的封闭网络,别有用心者(内鬼)一旦触及或接管运维系统的管理权,用户也很难确保核心数据不会造成泄露。
在线咨询
