新聞中心

RCE再爆敲響警鐘:從全生命周期安全開發視角看“亡羊補牢”式安全困局

2020-08-25

41
0

安全相伴,一生所選


近日,國內某安全廠商終端檢測平臺(EDR)被曝出現RCE漏洞,攻擊者利用該漏洞可遠程執行系統命令,獲得目標服務器的權限。國家信息安全漏洞共享平臺(CNVD)第一時間收錄了該遠程命令執行漏洞(CNVD-2020-46552),并將其評級為“高?!?。目前官方已給出了更新版本和修復補丁等處置建議。


遠程連接命令/代碼執行漏洞(remote command/code execute,簡稱RCE漏洞)作為危害極高的安全威脅,能夠讓攻擊者直接向后臺服務器遠程寫入服務器系統命令或者代碼,從而控制整個后臺系統。作為高危漏洞,RCE漏洞一旦出現都會引起官方高度重視并第一時間進行修復:


2020年1月3日

qdPM作為一款基于Web的開源項目管理工具,其9.1及之前版本中被曝出存在路徑遍歷漏洞,攻擊者可利用該漏洞上傳惡意PHP代碼文件。


2020年3月11日

Joomla!是美國Open Source Matters團隊的一套使用PHP和MySQL開發的開源、跨平臺的內容管理系統(CMS)。Joomla! 2.5.0版本至3.9.15版本中被發現存在安全漏洞,該漏洞源于com_templates中的各種操作缺少必需的ACL檢查,攻擊者可利用該漏洞繞過訪問限制。


2020年3月31日

Sonatype 官方修復了存在于 Nexus Repository Manager 3 中的遠程代碼執行漏洞 CVE-2020-10199。Sonatype Nexus 是一種倉庫管理系統,在之前的版本中,由于某處功能安全處理不當,導致經過授權認證的攻擊者可以在遠程通過構造惡意的 HTTP 請求,在服務端執行任意惡意代碼,獲取系統權限。 


RCE漏洞產生的直接原因往往是由于開發人員編寫源碼時沒有針對代碼中可執行的特殊函數入口做過濾,導致客戶端可以提交惡意構造語句并交由服務器端執行,而根本原因則在于開發人員的安全意識不足,軟件開發整個流程的安全評審、檢測等環節工作不夠完善。近年來RCE漏洞的多次爆發再度為我們敲響警鐘:以往“亡羊補牢”式的安全加固難以平衡嚴重的安全隱患帶來的損失,嚴峻的安全形勢與敏捷開發等安全需求促使對系統安全性的考量從事后處置走向事前預防,用戶需足夠重視軟件系統的全生命周期安全開發,在開發階段就引入安全管理,畢竟安全介入得越早,系統潛伏的安全隱患就會越少,而對漏洞修復的成本也會越低。


國舜全生命周期安全開發解決方案


國舜全生命周期安全開發解決方案以需求、設計、編碼、測試、部署等開發階段為主要對象,以業務安全和信息安全為出發點,通過流程、制度、規范的梳理,相關人員安全意識的培訓,威脅資源庫、安全測試資源庫等相關資源的建設,為客戶建設完善的開發安全管理體系和技術支撐體系,充分保障開發出來的業務系統滿足業務安全和信息安全的需求,有效提升客戶開發團隊的安全意識和安全開發能力,實現信息安全的“早預防、早發現、早響應”。



1.全階段安全服務

全生命周期開發安全服務涵蓋需求、設計、編碼、測試、部署等全階段的安全咨詢、安全培訓、安全檢測等服務。具體包括:

(1)需求階段:安全需求流程和規范咨詢服務、威脅資源庫咨詢服務、安全需求培訓等。

(2)設計階段:安全設計流程和規范咨詢服務、安全設計培訓等。

(3)編碼階段:安全編碼流程和規范咨詢服務;源代碼審計流程、規范咨詢服務;安全開發培訓等。

(4)測試階段:安全測試流程和規范咨詢服務、安全測試資源庫咨詢服務、業務測試培訓、安全測試培訓、滲適測試培訓、安全管理體系咨詢服務等。

(5)部署階段:上線流程、規范咨詢服務;安全配置基線咨詢服務;基線檢測服務等。


2.安全開發組件庫

安全開發組件庫是面向企業應用系統的一站式應用安全解決方案,用于防范常見的應用系統安全漏洞,從攻擊防御、 安全工具、業務安全功能等層面提升應用系統安全防護水平,幫助應用開發者低成本接入安全解決方案,全方位保障應用系統的安全性。


3.情景式安全需求分析平臺

情景式安全需求分析平臺主要由威脅資源庫、安全需求分析、安全設計、安全測試用例四部分組成,通過用戶對系統及業務場景的描述,利用成熟化威脅資源庫和威脅分析方法論,對系統進行威脅分析和安全需求分析,對關鍵流程進行詳細安全分析,最后為用戶生成標準安全需求文檔和安全設計建議,為開發人員提供安全開發指導。


平臺框架圖


4.自動化安全規則審計平臺

程序分析是安全性檢查的基礎,通過提取程序信息,以便和安全性規則相匹配,從而檢測出程序中存在的安全漏洞。該平臺自身具有代碼審計引擎,可以對通用組件等進行檢查,同時也支持對Fortify SCA、FindBugs工具的接入,對Fortify SCA和FindBugs的審計結果進行二次分析,全面優化檢測結果,提高安全審計的準確性。審計引擎根據輸入的源程序、語法與語義,分析程序的結構與關鍵特征,從而獲得程序的安全風險,并報告給用戶。


用戶收益與價值實現


國舜全生命周期安全開發解決方案可按照客戶的實際需求和管理組織、機制,對安全開發體系進行全面的梳理,建立完整的安全開發流程和規范,建立威脅資源庫和安全測試資源庫等資源工具,并同時建立上線檢測流程,助力開發產品的安全質量提高,杜絕帶病上線的情況,大幅減少上線前安全檢測發現的漏洞數量。


用戶通過建立和完善全生命周期開發安全管理體系,將安全保障貫穿信息系統生命周期始終,可以保證信息系統生命周期各階段安全活動有明確的部門和角色來執行,分工明確,責任落實,便于量化考核;通過工具的推廣使用,節省安全成本;在信息系統開始規劃階段即全面考慮系統安全問題,實施各種安全控制措施,從而達到早發現、早預防、早整改,節省綜合成本,解決安全問題、簡化安全管理。


國舜安全產品及服務已覆蓋全國范圍內金融、通信、政企等領域上千家企事業單位用戶,贏得客戶廣泛贊譽并獲得良好的品牌知名度。


防護前移,安全縱貫。全生命周期安全開發解決方案通過“服務+工具”式組合促進用戶安全意識、管理制度、系統安全等多方面提升,實現潛在風險的“早預防、早發現、早響應”,為客戶全階段信息系統安全保駕護航。

首頁  >  新聞中心  >  正文
  • 2017-07-20

    19424
    668

    湯志剛先生表示:安全管理才是創新的關鍵,互聯網金融信息安全是根本,這是一條不會被輕易復制卻極為重要的創新道路。如今黑產早已鋪天蓋地,保護客戶隱私已是金融行業創新的關鍵。信息安全企業的使命要從金融創新安全保障過渡為提高安全保障能力以提升客...

  • 2017-06-23

    19150
    780

    “京滬干線”的完工,在中國乃至全球具有深遠的意義和影響,為率先建成全球化的量子通信衛星網絡奠定了基礎,地面的“京滬干線”與空間的量子衛星共同構成了覆蓋全球的廣域網絡,充分利用衛星覆蓋的廣域性和光纖入戶的便利性,從而真正實現“天地一體化”...

  • 2017-07-17

    17389
    560

    17日下午院士高峰論壇會上,北京國舜科技股份有限公司董事長兼總裁姜強受到業界人士的一致認可,在全國眾多知名企業家候選人中脫穎而出,獲得“2017中國雙創行業先鋒人物”獎。這是本屆雙創會唯一一位互聯網安全領域企業領導人獲得此項榮譽。

  • 2017-07-18

    17167
    580

    國舜股份帶著最前沿的安全技術和創新升級的三大安全產品及服務出現在品牌科技展區,贏得前來觀展的政府領導、院士專家的贊賞,給予充分的肯定和對信息安全領域未來發展的期許。

  • 2017-06-30

    15823
    622

    近日,中國人民銀行印發了《中國金融業信息技術“十三五”發展規劃》,規劃中明確指出,要完善金融信息基礎設施,夯實金融服務基石,健全網絡安全防護體系,增強安全生產和安全管理能力。隨著《網絡安全法》的正式施行,銀行金...

  • 首頁
  • 1
  • 2
  • 末頁

    推薦

    新聞中心

文章分類
熱門文章排行
安全產品
解決方案
關于我們
聯系我們
安全服務

地址:北京市海淀區高梁橋斜街42號融匯國際大廈東區三層
郵編:100044
服務熱線:400-696-8096
電 話:010-82838085
郵箱:
contact@unisguard.com

關注我們
Copyright © 2007-2017 unisguard.com All Rights Reserved 北京國舜科技股份有限公司版權所有 京ICP備09050222號 京公網安備110108000272號
菠萝蜜不正经视频_成年黄大片_无码肉动漫在线视频