来源 :奇安信集团2024-01-15
近日,奇安信中标国内知名运营商某省分公司网络安全漏洞管理平台建设项目,涉及产品包括漏洞管理平台、漏洞扫描系统等,帮助客户建设全生命周期的漏洞管理能力。
2021年9月1日,《网络产品安全漏洞管理规定》(简称《规定》)正式施行,旨在规范网络产品安全漏洞发现、报告、修补、发布等行为,防范网络安全风险。《规定》的施行,对网络产品提供者和网络运营者,以及从事网络产品安全漏洞发现、收集发布的组织和个人,提出了更加严格的要求,网络产品、服务提供者和网络运营者在发现或获知其网络产品、服务、系统存在漏洞后,应立即对漏洞进行验证,并对相关网络产品采取漏洞修补或防范等措施,保证网络产品、服务、系统的漏洞得到及时修补,提高网络安全防护水平。
与此同时,在实际业务环境中,存在大量不同品牌、型号、版本的软硬件系统,这些软硬件系统往往还大量使用开源组件,每一个组件中都有可能存在运营者尚未知晓的漏洞。这其中不仅包含少部分0day漏洞,更多的是那些已知的老旧漏洞。
根据2022年全年奇安信代码安全实验室对2631个国内企业软件项目中使用开源软件的情况进行分析发现:平均每个项目使用155个开源软件,远高于之前的126和127个。同时,存在已知开源软件漏洞的项目有2411个,占比达91.6%;存在已知高危开源软件漏洞的项目有2268个,占比为86.2%;存在已知超危开源软件漏洞的项目有2032个,占比为 77.2%;存在容易利用的漏洞的项目有2089个,占比为79.4%,这四个比例均比去年有所提高。平均每个项目存在110个已知开源软件漏洞。
因此全面打通漏洞的挖掘、发现、收集、验证、修补等各个环节,实现漏洞全生命周期统一管理并非易事。尤其是在运营商行业,大量新技术、新业态的应用,无疑大幅度增加了漏洞管理的难度。
为此,奇安信将基于漏洞扫描和全生命周期漏洞管理平台,结合奇安信全网漏洞情报能力,帮助客户构建漏洞安全风险排查、修复处置、核验等闭环响应能力,提升安全漏洞态势感知、风险预警、协同处置管理水平。
预计该项目成功落地后,将为运营商行业的漏洞管理树立一个新的标杆。