RSAC2021现场：供应链安全将成为网络安全的黄金赛道

网络安全行业年度盛会RSAC 2021已接近尾声。在这场盛会上，供应链安全无疑是最热门的主题之一，有多个重磅演讲和环节涉及。

大会邀请了去年底最严重供应链事件的主角SolarWinds CEO现场分享攻击细节，这是其近半年少有的公开露面；美国国家安全副顾问针对大型供应链攻击，提出了美国新政府对网络安全防御进行现代化改造的方法；连今年创新沙盒的冠军，也是一家号称可以发现和阻止类SolarWinds攻击的厂商。

SolarWinds CEO披露最严重供应链攻击细节

本届RSAC的重磅环节之一，是网管软件公司SolarWinds的总裁兼首席执行官Sudhakar Ramakrishna公开露面，披露了去年底曝光的针对他们的大规模供应链攻击事件的细节。

Ramakrishna称，SolarWinds分析了整个IT环境的数百TB数据和数千个虚拟机系统，发现攻击者在2019年1月便进行了早期侦查活动，而此前调查结论认为攻击者在2019年9-10月才开始行动。

在事件曝光后的近6个月里，SolarWinds一直在协助客户应对影响。SolarWinds的软件产品是本地部署的，不会出现客户收到更新消息后便全部进行更新，而是一个个客户持续沟通，一次次的推动对方升级。Ramakrishna表示，目前正在努力做好透明度，增强客户对公司的信任。

美国国家安全副顾问提出大型供应链攻击的应对

在RSAC第二天的主题演讲中，美国总统副助理兼网络和新兴技术国家安全副顾问安妮·纽伯格（Anne Neuberger）代表美国国家安全委员会（National Security Council）提出了美国新政府对网络安全防御进行现代化改造的方法。

Anne首先描述了日益危险的网络威胁态势，并指出拜登政府在其任职的头100天中就已经面对并处理两个大规模供应链安全事件，即SolarWinds和微软Exchange攻击。

她表示：“政府和公司日渐受到来自罪犯的定期、精细及恶意的攻击，如今，网络安全比任何时候都重要，对国家安全也至关重要。”

Anne提到，此时需要真正开始改变思维模式——从事后补救转变到事前预防，优先将投资转移到威胁发生之前，加强事前网络安全防护水平。同时对已发生的大型事件做出必要处理、反馈及复盘。

开发安全创新厂商获创新沙盒冠军

当地时间5月19日下午，Apiiro公司从RSAC 2021创新沙盒比赛脱颖而出，最终斩获创新沙盒冠军，荣膺“RSAC 2020最具创新初创企业”。

Apiiro是一家安全开发生命周期（SDLC）管理厂商，成立于2019年，总部位于以色列特拉维夫。Apiiro的创始人Idan Plotnik和Yonatan Eldar均是以色列国防部的退伍军人，此前均曾在微软负责大型软件的风险管理，SDLC也是微软提出的安全开发框架。

Apiiro 创立了业界领先的代码风险可视化管理平台，可识别整个开发过程中的风险，加强应用程序治理和合规性，并防止高级CI/CD攻击，所有这些能力都可以在一个平台上以及在开发生命周期的早期进行。

Apiiro宣传可以发现和阻止类似SolarWinds的供应链攻击，非常契合当前的网络威胁主题。SolarWinds事件后，软件供应链安全受到了空前关注，各国陆续出台相关法律法规保障和审查软件供应链安全，该领域有望成为未来几年网络安全的黄金赛道。

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。