9月19日,北京威努特技术有限公司(以下简称“威努特”)与华为技术有限公司(以下简称“华为”)宣布正式达成合作。
双方在上海的第九届华为全联接大会中举行了鲲鹏合作签约仪式,华为鲲鹏计算业务总裁李义、华为中国政企大企业系统部计算产品总监孙建、威努特董事长兼CEO龙国东、威努特交通行业系统部副总经理石岩等11人出席并见证签约。华为中国政企国资央企系统部总经理曾成钢,威努特副总经理杨璐分别代表双方签约。
ICT作为全球数字经济和智能世界的基石,在AI、云、大数据、IoT等前沿技术的驱动下,正以前所未有的速度改变着我们的生活和工作方式。面向未来,双方将在以鲲鹏为计算底座的一体机销售、原生开发、联合解决方案与产品等方面开展全面合作,推出深度行业化的方案与产品,构建领先的技术竞争力。同时,在各自核心业务领域深化合作,充分利用双方资源、服务和经验等各方面优势增强市场竞争力,持续为合作项目提供充分的支持,实现强强联手,共建繁荣生态,达成互利共赢。
近日,蚂蚁安全正式对外开放新一代软件供应链安全技术——源蜥,2024年源蜥将开放200名免邀请试用名额(https://cybersec.antgroup.com/),推动行业软件供应链安全技术升级。
与传统软件组成成份分析技术(Software Composition Analysis,SCA)相比,源蜥“新”在哪里?能解决用户的哪些痛点?
1、传统SCA用户面临的问题
传统SCA的用户,经常会遇到SCA扫描动辄报出数万个漏洞,即使只关注高危以上的漏洞,也有数千个。面对这数以千计的高危漏洞:
一方面,漏洞修复的成本很高,全部修复会严重拖累业务的快速发展,在企业内部难以落地;
另一方面,如果不修复这些漏洞,对企业有严重安全威胁的漏洞也会淹没在其中,使企业面临着较大的安全风险。
2、原因分析
传统SCA检测漏洞主要包括三个环节,如图1所示:
(1)对应用程序做软件物料清单(Software Bill of Materials,简称SBOM)分析得到依赖的组件清单
(2)采集和分析得到漏洞情报
(3)通过组件清单关联漏洞情报得到漏洞
图1 传统SCA漏洞检测原理
传统SCA之所以会动辄报出数万个漏洞,主要原因有两点:
(1)传统SCA做SBOM分析的粒度都是组件级,只要应用程序依赖了含漏洞的组件,不管应用程序是否调用了漏洞的触发点,都会被认为存在漏洞,导致了大量的误报
(2)业界公开的漏洞情报非常多,传统SCA只关注了漏洞自身的危害等级,而没关注漏洞实际在业界被利用的风险,从而将大量不存在利用风险的漏洞也推给用户去修复。
例如,仅2023年披露的CVE漏洞就超过2.6万个,但即使是其中一些危害等级很高的漏洞,很可能也没有公开的POC或被在野利用尝试,利用风险很低,也无需用户重点关注。
3、源蜥技术“新”在哪
【源蜥】针对以上用户痛点,依托蚂蚁安全团队在【程序分析】和【威胁情报】领域业界领先的技术优势,创新的提出并实现了【“函数级”SBOM】和【漏洞利用风险分析】两项技术,让用户聚焦应用程序实际会触发、且业界实际存在较大利用风险的漏洞,大幅降低用户的软件供应链漏洞运营成本,如图2。
图2 源蜥漏洞检测原理
3.1 函数级SBOM技术
由于绝大多数漏洞的触发都是有一个或多个触发函数,只有应用程序及其依赖的二三方组件实际调用了一个漏洞触发点的函数,漏洞才有可能被实际触发,才是需要用户重点关注的漏洞。
函数级SBOM就是在组件级SBOM分析的基础上,利用蚂蚁安全海量的源码分析、存储和查询技术,对应用及其依赖的二三方组件进一步“画像”,“绘制”出应用程序依赖的所有函数的清单。
源蜥通过将应用的SBOM分析能力从【组件级】提升到【函数级】,帮助用户精准过滤了大量误报“漏洞”,提效60%以上。
图3 源蜥函数级SBOM分析技术
3.2 漏洞利用风险分析
源蜥通过多维度的漏洞情报信息,只对用户透出经过分析存在被实际利用风险的漏洞,如POC已公开的漏洞/已被在野尝试利用的漏洞,减少无利用风险的漏洞情报80%以上。
在筛选出高利用风险漏洞情报的基础上,源蜥还会分析出该漏洞的触发点函数,从而结合函数级SBOM精准分析出实际有影响的漏洞。
图4 源蜥漏洞利用风险分析技术
4、小结
软件供应链漏洞一般影响面较广,容易被外部攻击者利用,对企业的安全性有较大威胁,也是每年HW Top类型的风险,是企业高优先级要关注和处置的安全风险。
但传统SCA工具由于SBOM粒度较粗、漏洞情报不区分实际被利用的风险,导致动辄扫描出上万漏洞,在企业难以落地。
针对这一用户痛点,蚂蚁安全在业界率先提出了新一代软件供应链安全技术——源蜥,源蜥利用蚂蚁安全团队在程序分析和威胁情报领域业界领先的技术优势,创新的提出并实现了【“函数级”SBOM】和【漏洞利用风险分析】两项技术,让用户聚焦应用程序实际会触发、且业界实际存在较大利用风险的漏洞,不再苦于动辄扫描出的数万漏洞而束手无策,大幅提升了安全团队的运营效率。
源蜥新一代软件供应链安全技术与传统SCA核心能力对比
技术体验
2024年对外开放200名免邀请试用名额,有任何技术相关的问题或建议,欢迎扫码加入钉钉群沟通
DriverJack DriverJack is a tool designed to load a vulnerable driver by abusing lesser-known NTFS techniques. These method bypass the registration of a Driver Service on the system by hijacking an existing service, and also...
The post DriverJack: load a vulnerable driver by abusing lesser-known NTFS techniques appeared first on Penetration Testing Tools.
enum4linux-ng enum4linux-ng.py is a rewrite of Mark Lowe’s (former Portcullis Labs now Cisco CX Security Labs) enum4linux.pl, a tool for enumerating information from Windows and Samba systems, aimed at security professionals and CTF players....
The post enum4linux-ng: enumerating information from Windows and Samba systems appeared first on Penetration Testing Tools.
OWASP O-Saft OWASP SSL advanced forensic tool / OWASP SSL audit for testers O-Saft is easy to use tool to show information about SSL certificate and tests the SSL connection according to given list...
The post O-Saft: OWASP SSL advanced forensic tool appeared first on Penetration Testing Tools.