360漏洞云亮相ISC 2020，熱議信創(chuàng)下的漏洞威脅

第八屆互聯(lián)網(wǎng)安全大會ISC 2020正在如火如荼的進(jìn)行中，此次盛會首次采用“萬人在線”的云會議模式，上線僅1分鐘，訪問人次突破5萬，平均每分鐘有百人爭相涌入。ISC為全球萬千參會者打造了永不閉幕的云上安全交流平臺，360秉承開放合作原則，呼吁行業(yè)伙伴共擔(dān)新時代安全使命，共創(chuàng)數(shù)字孿生時代新紀(jì)元。

360集團(tuán)董事長兼CEO周鴻祎指出，數(shù)字化時代安全已發(fā)生巨變，漏洞是網(wǎng)絡(luò)安全最重要的命門，也是最重要的戰(zhàn)略資源。

安全事件不勝枚舉。在著名的斯諾登棱鏡門事件中，國際網(wǎng)絡(luò)巨頭直接參與了秘密監(jiān)控項目，造成了多個國家核心機(jī)構(gòu)與人員的信息泄露。震驚世界的伊朗震網(wǎng)事件，則是利用Windows 0day漏洞，感染計算機(jī)上的工業(yè)控制軟件，通過運行非正常命令以破壞伊朗核設(shè)施核心組件設(shè)備，由于高潛伏性、高偽裝性和高破壞性，給伊朗核工業(yè)造成了不可估量的損失。在2014年，索尼影業(yè)成了0day漏洞攻擊的受害者，索尼網(wǎng)絡(luò)被入侵，大量敏感信息和核心數(shù)據(jù)被盜取并公開，其中包括即將上映影片的細(xì)節(jié)、商業(yè)計劃以及企業(yè)核心團(tuán)隊的個人信息等。

“這些事件的根本原因，在于面對安全威脅，企業(yè)對漏洞的掌控度遠(yuǎn)遠(yuǎn)不夠。缺乏對漏洞的發(fā)現(xiàn)和挖掘能力，就無法建立網(wǎng)絡(luò)空間動態(tài)進(jìn)攻下的防御體系。”360漏洞云業(yè)務(wù)線負(fù)責(zé)人胡曉娜在信創(chuàng)安全論壇上如是說道。

信創(chuàng)背景下，安全發(fā)展的可行方向

信息技術(shù)創(chuàng)新應(yīng)用是我國信息技術(shù)領(lǐng)域打造自主創(chuàng)新生態(tài)的國家戰(zhàn)略舉措。總書記指出“網(wǎng)絡(luò)安全和信息化是一體之兩翼，驅(qū)動之雙輪。”我國在大力推進(jìn)信創(chuàng)產(chǎn)業(yè)發(fā)展的同時，做好網(wǎng)絡(luò)安全保障是實現(xiàn)我國信創(chuàng)戰(zhàn)略目標(biāo)的重要前提和基礎(chǔ)。

當(dāng)下，國家正在通過發(fā)展信創(chuàng)產(chǎn)業(yè)構(gòu)建自己的IT產(chǎn)業(yè)標(biāo)準(zhǔn)和生態(tài)，推動IT產(chǎn)品和技術(shù)，從本質(zhì)上解決安全問題，擺脫對美國IT標(biāo)準(zhǔn)的依賴。

2020年是信創(chuàng)產(chǎn)業(yè)全面推廣的起點，未來三年，信創(chuàng)產(chǎn)業(yè)將迎來第三次黃金發(fā)展期，從產(chǎn)業(yè)鏈的底層到應(yīng)用層都將明顯受益。

360漏洞云業(yè)務(wù)線負(fù)責(zé)人胡曉娜認(rèn)為，信創(chuàng)產(chǎn)業(yè)主要存在五大安全痛點：

① 信創(chuàng)產(chǎn)業(yè)細(xì)分領(lǐng)域多;安全生態(tài)不成熟;缺乏相關(guān)安全專家及產(chǎn)品供應(yīng)商;難以自建安全團(tuán)隊。

② 自主開發(fā)產(chǎn)品大量使用了開源組件，在加速開發(fā)的同時，漏洞風(fēng)險也變得難以評估。

③ P-K體系是基于新的軟硬件所搭建的體系，從處理器到通用應(yīng)用軟件的遷移都面臨著如何進(jìn)行安全測試、如何發(fā)現(xiàn)漏洞、如何培養(yǎng)新體系內(nèi)安全人才等新的安全考驗。

④ 受疫情影響，全球經(jīng)濟(jì)呈下滑趨勢，市場競爭日益激烈，在現(xiàn)有體系中要遷移或兼容到新的體系必然會增加額外成本，這令資金本就不充裕的信創(chuàng)產(chǎn)業(yè)用戶雪上加霜。

⑤ 信創(chuàng)產(chǎn)業(yè)用戶重視安全卻苦于沒有抓手，僅能被動接收產(chǎn)品供應(yīng)商漏洞修復(fù)補(bǔ)丁，漏洞威脅后知后覺，風(fēng)險無法掌控。

為了解決信創(chuàng)產(chǎn)業(yè)層出不窮的漏洞風(fēng)險，就需要一整套科學(xué)可行的解決辦法，更需要整個產(chǎn)業(yè)生態(tài)上的建設(shè)與產(chǎn)品能力上的創(chuàng)新。

一站式漏洞安全管理服務(wù)，360安全大腦漏洞云全面提升企業(yè)風(fēng)險應(yīng)對能力

360安全大腦漏洞云是圍繞漏洞生態(tài)體系打造的集漏洞情報、漏洞挖掘、專家響應(yīng)、安全服務(wù)定制化于一體的漏洞安全管理服務(wù)平臺，擁有360漏洞云情報平臺、360BugCloud開源漏洞響應(yīng)平臺、360漏洞云安全眾測服務(wù)平臺等產(chǎn)品。

01定向漏洞情報訂閱

依托360全球漏洞風(fēng)險感知探測系統(tǒng)，360漏洞云情報平臺動態(tài)呈現(xiàn)全球漏洞安全隱患和威脅態(tài)勢，提供及時、高效、權(quán)威、優(yōu)質(zhì)的漏洞情報推送服務(wù)，為客戶提供與自身資產(chǎn)關(guān)系密切的漏洞風(fēng)險預(yù)警。通過專家漏洞剖析復(fù)盤，協(xié)助客戶進(jìn)行漏洞研究和相關(guān)信息挖掘，幫助其更好地了解和應(yīng)對網(wǎng)絡(luò)威脅。360漏洞云情報平臺整合360安全大腦，360漏洞研究院及360BugCloud開源漏洞響應(yīng)平臺的頂級漏洞研究實力，匯聚全球千萬級漏洞數(shù)據(jù)源，打造業(yè)內(nèi)領(lǐng)先的漏洞情報服務(wù)，幫助企業(yè)走在安全風(fēng)險防控前沿。

02開源通用軟件漏洞響應(yīng)平臺

360BugCloud開源漏洞響應(yīng)平臺專注于收錄開源及通用組件高危及以上未披露漏洞，致力于維護(hù)開源軟件和供應(yīng)鏈安全。首創(chuàng)自主議價的漏洞提交收錄模式及第三方專家評審機(jī)制，讓安全研究員全面掌握提交漏洞的主動權(quán)，讓他們的付出以及每個漏洞價值得到充分的保障與肯定。在過去的一年中，360BugCloud平臺收到了來自全球的大量開源高危漏洞，包含0day漏洞和1day漏洞，這些漏洞的提交成功守護(hù)了數(shù)千萬臺終端，其中包括：IoT/網(wǎng)絡(luò)設(shè)備等3950萬臺，建站系統(tǒng)類2011萬臺，框架插件類872萬臺，中間件類2300萬臺，客戶端軟件801萬臺等，涉及政府、企、事業(yè)等上百余家單位，覆蓋：能源、金融、交通、醫(yī)療、電信、教育、政府眾多關(guān)鍵行業(yè)領(lǐng)域，避免了全球數(shù)億的價值損失。

03“安心”眾測服務(wù)

360漏洞云安全眾測服務(wù)平臺聚集高端安全研究人員，通過打造“人員可信，全程可視，風(fēng)險可控，行為可阻，違規(guī)可溯”五可理念，以攻擊者思維，在安全可控的場景下，由經(jīng)驗豐富的安全專家模擬黑客對業(yè)務(wù)系統(tǒng)進(jìn)行全面深入的安全測試，幫助企業(yè)挖掘出正常業(yè)務(wù)流程中隱藏的安全缺陷和漏洞，并提出專業(yè)的修復(fù)建議。360眾測綜合運用平臺約束、法律和技術(shù)管控為客戶系統(tǒng)的定向漏洞挖掘建立了完善的過程保障體系，保障眾測交付的整體質(zhì)量。360眾測通過嚴(yán)格的靶場準(zhǔn)入機(jī)制和全程透明的安全把控監(jiān)管模式，開創(chuàng)了眾測服務(wù)新業(yè)態(tài)。

360安全大腦漏洞云已聯(lián)合各大SRC，國內(nèi)外開源組織社區(qū)，知名安全戰(zhàn)隊及安全廠商等合作伙伴，共同攜手構(gòu)建漏洞生態(tài)。通過持續(xù)創(chuàng)新的技術(shù)及運營能力，360安全大腦漏洞云還將不斷開展漏洞的研究，從攻防不同視角開拓更多的漏洞使用場景，為國家、企業(yè)、用戶搶占風(fēng)險預(yù)警處置先機(jī)。