360漏洞云亮相ISC 2020，熱議信創(chuàng)下的漏洞威脅

第八屆互聯(lián)網(wǎng)安全大會ISC 2020正在如火如荼的進行中，此次盛會首次采用“萬人在線”的云會議模式，上線僅1分鐘，訪問人次突破5萬，平均每分鐘有百人爭相涌入。ISC為全球萬千參會者打造了永不閉幕的云上安全交流平臺，360秉承開放合作原則，呼吁行業(yè)伙伴共擔新時代安全使命，共創(chuàng)數(shù)字孿生時代新紀元。

360集團董事長兼CEO周鴻祎指出，數(shù)字化時代安全已發(fā)生巨變，漏洞是網(wǎng)絡安全最重要的命門，也是最重要的戰(zhàn)略資源。

安全事件不勝枚舉。在著名的斯諾登棱鏡門事件中，國際網(wǎng)絡巨頭直接參與了秘密監(jiān)控項目，造成了多個國家核心機構與人員的信息泄露。震驚世界的伊朗震網(wǎng)事件，則是利用Windows 0day漏洞，感染計算機上的工業(yè)控制軟件，通過運行非正常命令以破壞伊朗核設施核心組件設備，由于高潛伏性、高偽裝性和高破壞性，給伊朗核工業(yè)造成了不可估量的損失。在2014年，索尼影業(yè)成了0day漏洞攻擊的受害者，索尼網(wǎng)絡被入侵，大量敏感信息和核心數(shù)據(jù)被盜取并公開，其中包括即將上映影片的細節(jié)、商業(yè)計劃以及企業(yè)核心團隊的個人信息等。

“這些事件的根本原因，在于面對安全威脅，企業(yè)對漏洞的掌控度遠遠不夠。缺乏對漏洞的發(fā)現(xiàn)和挖掘能力，就無法建立網(wǎng)絡空間動態(tài)進攻下的防御體系。”360漏洞云業(yè)務線負責人胡曉娜在信創(chuàng)安全論壇上如是說道。

信創(chuàng)背景下，安全發(fā)展的可行方向

信息技術創(chuàng)新應用是我國信息技術領域打造自主創(chuàng)新生態(tài)的國家戰(zhàn)略舉措?？倳浿赋?ldquo;網(wǎng)絡安全和信息化是一體之兩翼，驅動之雙輪。”我國在大力推進信創(chuàng)產業(yè)發(fā)展的同時，做好網(wǎng)絡安全保障是實現(xiàn)我國信創(chuàng)戰(zhàn)略目標的重要前提和基礎。

當下，國家正在通過發(fā)展信創(chuàng)產業(yè)構建自己的IT產業(yè)標準和生態(tài)，推動IT產品和技術，從本質上解決安全問題，擺脫對美國IT標準的依賴。

2020年是信創(chuàng)產業(yè)全面推廣的起點，未來三年，信創(chuàng)產業(yè)將迎來第三次黃金發(fā)展期，從產業(yè)鏈的底層到應用層都將明顯受益。

360漏洞云業(yè)務線負責人胡曉娜認為，信創(chuàng)產業(yè)主要存在五大安全痛點：

① 信創(chuàng)產業(yè)細分領域多;安全生態(tài)不成熟;缺乏相關安全專家及產品供應商;難以自建安全團隊。

② 自主開發(fā)產品大量使用了開源組件，在加速開發(fā)的同時，漏洞風險也變得難以評估。

③ P-K體系是基于新的軟硬件所搭建的體系，從處理器到通用應用軟件的遷移都面臨著如何進行安全測試、如何發(fā)現(xiàn)漏洞、如何培養(yǎng)新體系內安全人才等新的安全考驗。

④ 受疫情影響，全球經濟呈下滑趨勢，市場競爭日益激烈，在現(xiàn)有體系中要遷移或兼容到新的體系必然會增加額外成本，這令資金本就不充裕的信創(chuàng)產業(yè)用戶雪上加霜。

⑤ 信創(chuàng)產業(yè)用戶重視安全卻苦于沒有抓手，僅能被動接收產品供應商漏洞修復補丁，漏洞威脅后知后覺，風險無法掌控。

為了解決信創(chuàng)產業(yè)層出不窮的漏洞風險，就需要一整套科學可行的解決辦法，更需要整個產業(yè)生態(tài)上的建設與產品能力上的創(chuàng)新。

一站式漏洞安全管理服務，360安全大腦漏洞云全面提升企業(yè)風險應對能力

360安全大腦漏洞云是圍繞漏洞生態(tài)體系打造的集漏洞情報、漏洞挖掘、專家響應、安全服務定制化于一體的漏洞安全管理服務平臺，擁有360漏洞云情報平臺、360BugCloud開源漏洞響應平臺、360漏洞云安全眾測服務平臺等產品。

01定向漏洞情報訂閱

依托360全球漏洞風險感知探測系統(tǒng)，360漏洞云情報平臺動態(tài)呈現(xiàn)全球漏洞安全隱患和威脅態(tài)勢，提供及時、高效、權威、優(yōu)質的漏洞情報推送服務，為客戶提供與自身資產關系密切的漏洞風險預警。通過專家漏洞剖析復盤，協(xié)助客戶進行漏洞研究和相關信息挖掘，幫助其更好地了解和應對網(wǎng)絡威脅。360漏洞云情報平臺整合360安全大腦，360漏洞研究院及360BugCloud開源漏洞響應平臺的頂級漏洞研究實力，匯聚全球千萬級漏洞數(shù)據(jù)源，打造業(yè)內領先的漏洞情報服務，幫助企業(yè)走在安全風險防控前沿。

02開源通用軟件漏洞響應平臺

360BugCloud開源漏洞響應平臺專注于收錄開源及通用組件高危及以上未披露漏洞，致力于維護開源軟件和供應鏈安全。首創(chuàng)自主議價的漏洞提交收錄模式及第三方專家評審機制，讓安全研究員全面掌握提交漏洞的主動權，讓他們的付出以及每個漏洞價值得到充分的保障與肯定。在過去的一年中，360BugCloud平臺收到了來自全球的大量開源高危漏洞，包含0day漏洞和1day漏洞，這些漏洞的提交成功守護了數(shù)千萬臺終端，其中包括：IoT/網(wǎng)絡設備等3950萬臺，建站系統(tǒng)類2011萬臺，框架插件類872萬臺，中間件類2300萬臺，客戶端軟件801萬臺等，涉及政府、企、事業(yè)等上百余家單位，覆蓋：能源、金融、交通、醫(yī)療、電信、教育、政府眾多關鍵行業(yè)領域，避免了全球數(shù)億的價值損失。

03“安心”眾測服務

360漏洞云安全眾測服務平臺聚集高端安全研究人員，通過打造“人員可信，全程可視，風險可控，行為可阻，違規(guī)可溯”五可理念，以攻擊者思維，在安全可控的場景下，由經驗豐富的安全專家模擬黑客對業(yè)務系統(tǒng)進行全面深入的安全測試，幫助企業(yè)挖掘出正常業(yè)務流程中隱藏的安全缺陷和漏洞，并提出專業(yè)的修復建議。360眾測綜合運用平臺約束、法律和技術管控為客戶系統(tǒng)的定向漏洞挖掘建立了完善的過程保障體系，保障眾測交付的整體質量。360眾測通過嚴格的靶場準入機制和全程透明的安全把控監(jiān)管模式，開創(chuàng)了眾測服務新業(yè)態(tài)。

360安全大腦漏洞云已聯(lián)合各大SRC，國內外開源組織社區(qū)，知名安全戰(zhàn)隊及安全廠商等合作伙伴，共同攜手構建漏洞生態(tài)。通過持續(xù)創(chuàng)新的技術及運營能力，360安全大腦漏洞云還將不斷開展漏洞的研究，從攻防不同視角開拓更多的漏洞使用場景，為國家、企業(yè)、用戶搶占風險預警處置先機。

（免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）