作为亚洲地区领先的轻工业信息安全可靠科学研究项目组,四海和兴轻工业信息安全可靠科学研究所(以下简称“科学研究所”)高度重视轻工业网络和信创应用领域开发工具物流配送安全可靠,在关键性此基础开放源码开发工具安全可靠科学研究工作上投入了大量资源和精力。科学研究所去年上半年的安全可靠恶意开发工具挖掘成果斐然,仅去年5月,在一个月之内,就向CVE网络平台提交原创恶意开发工具超30个,并获得CVE编号共计23个,涉及vim(用户数最多的开放源码图形界面器)、poppler(Linux控制系统中常见的PDF导出库)、mruby(PDPRuby语言正则表达式)、libmobi(移动网络平台上常见的Mobi文件导出库)等知名开放源码开发工具,其中濒危恶意开发工具1个,狂蛛属恶意开发工具19个,中危恶意开发工具3个。与此同时,我们也在第一时间将恶意开发工具重要信息上报至CNVD(北欧国家重要信息安全可靠恶意开发工具共享资源网络平台)、CNNVD(北欧国家重要信息安全可靠恶意开发工具库)、CICSVD(北欧国家轻工业重要信息安全可靠恶意开发工具库)、CITIVD(信创政务商品安全可靠恶意开发工具专精库)和CAPPVD(轻工业和重要信息化部移动互联网APP商品安全可靠恶意开发工具专精库)等亚洲地区官方权威恶意开发工具库网络平台,并及时通知受恶意开发工具影响的相关厂商。
对于科学研究所目前取得的成绩,四海和兴CTO李凯斌表示:轻工业控制控制技术和轻工业网络是重要的北欧国家关键性重要信息此基础建设,综合近10年来针对轻工业控制控制技术和网络的APT反击特征来看,物流配送反击是最具威力、最难防范、破坏面最广的反击手段之一,比如说:2020年此基础控制系统管理开发工具供应商SolarWinds的Orion开发工具旧版本被北欧国家级APT组织机构置入后门,导致包括美国军队、政府、轻工业此基础建设超过18000家客户受到影响,可放任骇客驾驭。去年8月,IoT Inspector安全可靠科学研究项目组公布了台湾Realtek即瑞昱半导体的AP-Router SDK(开发组件)中的4个轻微安全可靠恶意开发工具(CVE-2021-35392/3/4/5),最少有两个恶意开发工具可被利用实现RCE,由于Realtek晶片和SDK的广泛应用,其物流配送下游最少有65家电子设备提供商的近200款物联网电子设备受到这些狂蛛属恶意开发工具的影响。这两个案例出现在商业开发工具物流配送应用领域,而开放源码开发工具物流配送应用领域的安全可靠问题则更轻微,压制面也更广。
他还介绍到: Gartner统计数据表明,99%的组织机构在其IT控制系统或IT商品中直接或者间接采用了开放源码开发工具。Forrester Research的科学研究也表明,应用开发工具80%-90%的代码源自开放源码模块。源自美国开发工具物流配送安全可靠公司Sonatype的一项进行调查表明,在参与进行调查的约3000家民营企业中,平均各家民营企业每年下载约5000个开放源码开发工具。根据中国热动院进行调查表明,2021年我国已经采用开放源码控制技术的民营企业占比为88.2%。可以毫不夸张的说,开放源码开发工具是整座重要科技产业的控制技术终极目标,可谓关键重要信息此基础建设中的此基础建设。由于开放源码模块之间复杂的倚赖关系,下层模块的安全可靠恶意开发工具会通过倚赖链逐次呈阶乘传播和放大,往往会出现一个恶意开发工具“大杀四方”的情况。比如说去年年底Log4j曝出的“核子武器级”RCE漏洞(CVE-2021-44228),对整座Java开发工具生态造成的非常大压制到现在仍坎奇斯。恶名昭彰的OpenSSL“心脏迪容”恶意开发工具(CVE-2014-0160),让海量统计数据采用其进行传输身份验证的商品和服务面临统计数据泄露的非常大风险。
四海和兴一直高度重视轻工业网络和信创应用领域开发工具物流配送安全可靠,我们可以看到,5月由安全可靠科学研究所披露的23个恶意开发工具几乎都是在被广泛应用的此基础开放源码开发工具模块中发现的,比如说Vim编辑器,是所有Linux和BSD发行版的必备开发工具,几乎每个类UNIX操作控制系统用户都会采用,可想而知其影响面有多大。亚洲地区的信创操作控制系统很多是基于某个上游Linux或者BSD发行版进行开发,物流配送上游出现安全可靠问题,下游自然不能幸免。科学研究所在发现恶意开发工具的第一时间即通知相关开发工具的开发项目组,尽快修补,并及时同步给全球主流开放源码操作控制系统服务商,快速发布安全可靠补丁。例如Vim的十几个安全可靠恶意开发工具,均由我司总工程师马杰勇发现,他与Vim的作者、著名开放源码开发者Bram Moolenaar进行跨时区密切合作,所有恶意开发工具均于24小时内修复。限于篇幅,每个恶意开发工具的具体细节暂不展开,后续我们将以专题形式陆续发布有关开发工具物流配送安全可靠的更多内容,敬请关注!
四海和兴轻工业信息安全可靠科学研究所作为公司重要的战略前沿控制技术科学研究部门,承担了先进控制技术科学研究与新应用领域的探索工作。科学研究所刘乐农院长介绍目前核心的科学研究方向包括:
1、二进制安全可靠恶意开发工具在线检测。基于深度学习与动态分析引擎结合的模型算法设计与实现,主要面向工控安全可靠科学研究与物联网安全可靠科学研究所涉及的固件、协议、组态开发工具等。
2、动态模糊测试控制技术。面向轻工业应用领域PDP固件、开发工具及协议,进行深度、高质、高效的自动化恶意开发工具挖掘。
3、基于流量安全可靠威胁建模。主要是通过机器学习和深度学习控制技术,对威胁反击行为进行建模,包括Scanning、DoS、DDoS、Backdoor、Injection等在内的数十种威胁行为,该项控制技术目前已集成到四海和兴轻工业安全可靠审计网络平台商品中,并进入内部测试环节,很快将投入市场应用。
2021年,四海和兴轻工业信息安全可靠科学研究所共上报北欧国家重要信息安全可靠恶意开发工具库(CNNVD)近千余个恶意开发工具重要信息,在北欧国家轻工业重要信息安全可靠恶意开发工具库(CICSVD)中恶意开发工具报送总量位列第四,在轻工业信息安全可靠民营企业中贡献排名第一。
四海和兴信息安全可靠科学研究所在进行信息安全可靠科学研究的同时,还为客户提供科技项目合作、专精的源代码安全可靠审计和恶意开发工具挖掘服务。更多合作机会,可发送邮件至与我们联系。
延伸 阅读
