物盾安全汤晓冬:工业互联网企业如何应对高发的供应链安全风险?

news2024/11/15 13:44:22

编者按:

物盾安全是一家专注于物联网安全的产品厂商,其核心产品“物安盾”在能源、制造、交通等多个领域落地,为这些行业企业提供覆盖物联网云、管、边、端的安全整体解决方案。“物安盾”集成了腾讯安全制品扫描(BSCA)产品,进一步丰富了其在软件成分分析SCA层面的技术能力,物盾作为物联网行业的“行家”,腾讯安全作为制品扫描的“专家”,“专家”+“行家”一起为工业物联网企业的软件供应链安全提供更完善的解决方案。

供应链攻击持续高发,作为关键基础设施的物联网、工业互联网行业,由于拥有海量设备、复杂的产业链条,容易成为供应链攻击的对象,尤其需要重点防护。本期产业安全专家谈,我们邀请到了物盾安全CEO汤晓冬(以下简称汤晓冬),解答物联网软件供应链安全应对之道。

腾讯安全:工业物联网的安全产品和服务有哪些门槛?

汤晓冬:物联网现在在整个数字化转型当中发挥了一个非常关键的作用。在例如能源互联网、大交通、先进制造这些领域当中,工业物联网承载了非常关键的一个角色。

工业物联网的安全和传统的安全有一个比较大的差异,工业物联网最大的变化是促进了OT和IT的融合,那在这个当中做安全的话,对业务的门槛是非常高的。能源电力、新能源汽车、智慧工厂、智慧水利等,那这些“关基”领域,它拥有海量异构的物联终端,同时有一个比较复杂的云边、边边、边端的交互,并且这些行业对新科技的应用也比较快,而且会连接着带动它的上下游跟着向数字化转型。这些特征其实对整个安全建设是非常具有挑战的,从而也衍生出来比较大的安全刚需,这是物盾的一个商机,同时也是物盾的一个责任之所在。

腾讯安全:是否可以从物盾典型的客户来进行举例说明,一家物联网企业如果想要建设好自身的安全存在哪些实际困难?

汤晓冬:以电力行业为例,因为电力物联网无论是从规模、智能化程度,还是所承载的业务的关键性上都非常具有代表性。它的安全建设主要的困难有这么几点:

第一是这个海量异构的设备管理起来比较难,企业在生产过程当接入了大量的物联终端,终端、网络、人员三者之间的安全管理的职责、归属等等都比较复杂,这个当中的可视化的要求是比较高的,这也是产生了物联网安全管理上的需求;

第二,设备终端本体的安全,其实情况现在是不乐观的。随着业务的发展,大量的终端接入到网络当中来,但是他们的设备供应商在设计终端时出于成本控制和市场竞争力等原因(没有考虑安全的问题),很多设备的内生安全是缺失的,系统上线以后安全漏洞、风险不断涌现;

第三点是缺乏维系的安全支持。从供应链安全的角度来说,我们发现大部分的设备只是上线前做了(安全检测),但是在整个生命周期里面呢,对于供应链的比如说软件风险、固件的持续监控、成分分析等,这个是缺失的。那么客户和设备厂家的这种缺失导致了这个可持续的安全性支持方面的一个困难。

腾讯安全:近年来供应链攻击事件频发,主要是哪些原因造成的?

汤晓冬:首先,在全球化的生产和供应链的大环境驱动下,现代供应链通常会涉及多个国家和地区的组织不同的开源组件,这就使得供应链变得非常复杂而且脆弱,攻击者可以利用其中的一个弱点或者漏洞,达到渗透到系统内部获得机密或者植入恶意代码的一个目的。

第二是基于软件供应链的依赖性,通过依赖于各种第三方的这个库、框架啊,攻击者可以通过攻击软件供应链当中的一个组件来渗透到整个系统。

第三个是员工的安全意识不足,这个包括使用单位,也包括供应链上的供应商,攻击者可以利用社会工程学的一些手段去欺骗员工,从而渗透到供应链当中或者直接渗透到这个物联网的网络当中来。

腾讯安全:对于物联网企业来说,供应链安全这个挑战是否更加严峻?

汤晓冬:物联网设备在设计之初的时候,通常无法直接升级或者更新组件,至少大部分工业物联网目前是处于这个状态,这意味着任何已知的漏洞可能会一直存在,并得不到修复,很容易成为攻击的目标,这一点和云、办公场景其实是一个比较大的差别,因为这个升级的成本非常的高。

其次,这些设备又没有用户交互界面,所以很难进行现场的设置配置来避规一些安全风险,并且多个供应商提供的组件共同组成的一个复杂的系统,每个供应商都可能在供应链当中存在漏洞或者问题,使得攻击的概率放大。

我们认为物联网企业应该加强的是供应链安全问题重视程度,并且实实在在采取相应的措施来保证供应链安全。

腾讯安全:物联网企业应该如何应对越来越高发的供应链安全问题?

汤晓冬:主要是基于以下的五点:

第一点要建立安全的规范制度,对供应链当中的所有供应商、合作伙伴进行安全性的审计,包括评估它的安全性能、安全开发流程、安全意识、培训等等,以确保它提供的物联网产品和服务可以达到企业的安全要求;

第二是加强监测体系。物联网企业应该有自己的一套有效的安全监测体系,包括实时监测系统中的安全的事件、数据的流、访问控制以及应用程序安全等各个方面,以及供应商合作伙伴和第三方服务供应商的安全状况;

第三点是加强数据安全的技术,物联网企业首先应该采用的是安全的数据存储和传输技术,包括加密、身份验证、权限控制、审计等等各方面,确保数据的机密性、完整性和可用性,并采取备份恢复等措施来应对数据丢失和恢复方面的风险。

第四点是提高上下游之间的安全意识。物联网企业可能对员工也好,对供应商也好,都要有安全培训去提高他们的安全意识,加强对供应链安全这个问题的重视和认知程度,帮助他们更好地识别和应对安全威胁。

最后一点就是构建风险管理体系。物联网企业应该建立一个有效的风险管理体系,包括制定风险管理计划、应急响应计划等等,以及与供应商和合作伙伴一起进行风险的共担和风险的分散。

腾讯安全:有哪些技术手段可以更好地解决软件供应链安全问题?

汤晓冬:这个问题我们是从几个方面来理解,首先是物联网的基础设施和应用程序的安全性的管理,这个要先做到位,这就意味着我们要建立和实施一个严格的包括访问控制、加密通讯、安全认证和授权、漏洞管理等等基础性工作,我们要先把它做扎实,确保供应链当中的基础设施和应用程序的安全性,这是第一点。

那第二点就是做好检测和分析的工作,这个可以综合利用包括威胁情报、漏洞数据库、恶意代码库等等多种数据源对软件供应链中的风险来进行一个监测和分析,并且这个监测和分析不是一次性的,而是持续的、在线的、实时的,去确保整个物联网生命周期当中一直有这样一个安全的检测和分析。

第三点就是供应链的可信度验证,这个包括通过建立可信的供应链管理体系,对供应商的安全及性能进行评估,建立一个安全风险评估和管理机制,确保供应链当中的所有环节都符合安全的标准和要求。

第四点就是自主研发,我们应该鼓励或者说有意识的去促进物联网企业通过自主研发一些关键的技术和软件降低对第三方软件的依赖,从而减少供应链安全的风险。

腾讯安全:物盾选择是哪一种路线,为什么要选择这种路线,你们是如何和腾讯安全展开合作的?

汤晓冬:物盾的核心产品“物安盾”是一个物联网的平台级的安全产品。我们最核心的能力是利用我们在端点上的超级探针构建了一个安全的基础设施层,利用这个基础设施,我们有两个能力:第一个是对端点的检测和分析能力;第二我们通过云边互动的网络编排能力,在这个基础设施之上我们可以去应用前面讲到的一些比如说物联网安全性管理、对终端的检测和分析以及对物联网整个供应链当中不同组件的可信度验证,这就是说我们把基础设施搭好,那么上面就可以嫁接不同的安全能力了。比如说我们和腾讯安全在物联网这一块展开合作,充分发挥我们在基础设施这个层面上的能力,和腾讯的安全产品结合在一起的话,最终为物联网安全提供了一个落地可行的方案,解决供应链安全的一些根本性问题。

客户要的不是一个单点也不是一个工具,而是一个体系化的解决方案。那么我们通过对物联网安全基础设施的改善,在上面我们再嫁接上比如说成分分析、漏洞检测等等在内的一些综合性的方案,帮客户解决安全问题。

物盾和腾讯安全,我们都具备在各自领域内的技术和安全的优势,大家通过优势互补,实现了“三赢”:客户赢、物盾赢、腾讯安全赢,最终其实是帮助我们在工业场景下有效地降低安全风险,促进数字化转型。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/382893.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【二】kubernetes操作

k8s卸载重置 名词解释 1、Namespace:名称用来隔离资源,不隔离网络 创建名称空间 一、命名空间namesapce 方式一:命令行创建 kubectl create ns hello删除名称空间 kubectl delete ns hello查询指定的名称空间 kubectl get pod -n kube-s…

【Adobe国际认证中文官网】Adobe中国摄影计划,免费安装 正版激活

一直以来国内有非常多的 Adobe 用户,但苦于正版的购买渠道较少、价格较为高昂,转而选择其他国家或地区的 Adobe 计划,亦或者是其他软件。这次Adobe在杭州宣布在中国大陆地区推出面向专业摄影师及摄影爱好者的Adobe Creative Cloud 中国摄影计…

大话数据结构-普里姆算法(Prim)和克鲁斯卡尔算法(Kruskal)

5 最小生成树 构造连通网的最小代价生成树称为最小生成树,即Minimum Cost Spanning Tree,最小生成树通常是基于无向网/有向网构造的。 找连通网的最小生成树,经典的有两种算法,普里姆算法和克鲁斯卡尔算法。 5.1 普里姆&#xff…

技术分享| 如何使用Prometheus实现系统监控报警邮件通知

上一篇关于Prometheus的文章中说到了Prometheus是如何实现进程监控。在实际的线上环境中,当系统进程出现异常后需要实时通知到值班运维人员,去检查系统是否还正常运转。下面我们就介绍下基于Prometheus如何实现监控报警通知。 Prometheus的报警通知&…

【蓝桥杯每日一题】递归算法

🍎 博客主页:🌙披星戴月的贾维斯 🍎 欢迎关注:👍点赞🍃收藏🔥留言 🍇系列专栏:🌙 蓝桥杯 🌙我与杀戮之中绽放,亦如黎明的花…

【项目】Vue3+TS 动态路由 面包屑 查询重置 列表

💭💭 ✨:【项目】Vue3TS 动态路由 面包屑 查询重置 列表   💟:东非不开森的主页   💜: 热烈的不是青春,而是我们💜💜   🌸: 如有错误或不足之处&#xff0…

jsoncpp+cmake使用

目录写在前面准备clone源码编译使用编译运行参考写在前面 1、本文内容 jsoncpp编译及其使用 2、平台 windows10, linux 3、转载请注明出处: https://blog.csdn.net/qq_41102371/article/details/129300456 准备 clone源码 mkdir json cd json git clone https:…

【软件测试】老鸟告诉我内-幕,jmeter性能测试压力测试有多香?薪资真翻2倍......

目录:导读前言一、Python编程入门到精通二、接口自动化项目实战三、Web自动化项目实战四、App自动化项目实战五、一线大厂简历六、测试开发DevOps体系七、常用自动化测试工具八、JMeter性能测试九、总结(尾部小惊喜)前言 压力测试&#xff0…

Composer安装与配置教程

一、windows系统下安装安装Composer教程下载安装php 方法一、下载Composer安装包安装完成后CMD运行 composer --version 命令查看版本号,正常显示版本号则表示安装成功3、方法二、CMD命令安装composer安装前请务必确保已经正确安装了 PHP。打开命令行窗口并执行 php…

计算机网络安全基础知识1:渗透测试,网络连接的核心TCP/IP体系结构,公网,内网,ip地址和端口

计算机网络安全基础知识1:渗透测试,网络连接的核心TCP/IP体系结构,公网,内网,ip地址和端口 2022找工作是学历、能力和运气的超强结合体,遇到寒冬,大厂不招人,可能很多算法学生都得去…

frp内网穿透实验

Frp (Fast Reverse Proxy) 是比较流行的一款。FRP 是一个免费开源的用于内网穿透的反向代理应用,它支持 TCP、UDP 协议, 也为 http 和 https 协议提供了额外的支持。你可以粗略理解它是一个中转站, 帮你实现 公网 ←→ FRP(服务器) ←→ 内网…

数字化创新应用发布加速,JFrog DevOps 正当时

出品 | CSDN 云计算 数字化进程,每天都在发生。 对于技术开发来说,从业务和场景探索和快速开发创新应用,将带来整个开发流程的全新挑战。根据 IDC 分析,到 2024 年时,全球将会有 5.2 亿个软件应用。而超过 60%的企业每…

【教学类-07-06】20230302《破译电话号码-图形篇(图形固定列不重复)》(三款输入版)

效果展示1、适合中班默写学号——有姓名 有班级,无学号,适合中班幼儿2、适合大班幼儿默写名字——有学号,有班级,无姓名,适合初学者描字(小班、中班、大班)——名字、学号、班级都有&#xff08…

软件测试需要学习什么?好就业么

软件测试需要学习测试环境、网络环境、windows环境、数据库管理、编程技巧(java编程设计,脚本语言,设计工具,XML编程、软件测试技术,测试理论,方法,流程,文档写作,测试工…

微信小程序|基于小程序+云开发制作一个租房小程序

经济发展的同时伴随着大批人群的流动,租房需求一直是持久不衰的话题,如何租好房,好租房,跟随此文一起制作一个租房小程序,让租房不再困难。 一、小程序1. 创建小程序2. 首页3. 房源列表页4. 房源详情页5. 个人中心页</

mysql双机互为主从配置记录

1.准备2台机器 server1 192.168.0.37 server2 192.168.0.119 2.安装mysql&#xff0c;我这里用的docker-compose server1的docker-compose version: 3 services:db:build: ./buildcontainer_name: dbimage: mysql:5.6restart: alwayscommand:--character-set-serverutf8mb4…

python使用openpyxl处理excel表格数据

python使用openpyxl处理excel表格数据前言一、安装openpyxl包二、读取excel数据1. 获取excel表格的页码2. 获取excel表格某一行的数据3. 获取excel表格某一列的数据4. 获取excel表格n行n列的数据5. 获取excel表格某一格的数据三、把数据写入excel数据中前言 对于excel表格&…

探讨==和equals的区别和联系,为什么equals()和hashcode()要一起重写?

(一) 探讨和equals的区别和联系&#xff1f; 面试考题&#xff1a;《关于和equals的区别》&#xff0c;该怎么回答完美呢&#xff1f; 可以这样回答&#xff1a; &#xff08;1&#xff09;对于 简单来说比较的是指相等 ①&#xff1a;对于基本数据类型,则直接比较的是对应…

项目实战-瑞吉外卖day01(B站)

瑞吉外卖-Day01课程内容软件开发整体介绍瑞吉外卖项目介绍开发环境搭建后台登录功能开发后台退出功能开发1. 软件开发整体介绍作为一名软件开发工程师,我们需要了解在软件开发过程中的开发流程&#xff0c; 以及软件开发过程中涉及到的岗位角色&#xff0c;角色的分工、职责&am…

Vland:像乐高一样搭建元宇宙|开发者说

社交达人金秋远每年会组织和参加数以百计的活动——既有线下也有线上&#xff0c;既有德州扑克也有创业交流&#xff0c;既有客户回访也有校友叙旧。 活跃于各种社交活动&#xff0c;是金秋远在贝恩咨询为 500 强企业担任战略顾问时养成的习惯。由于喜欢研究「人与人的连接」&…