企业应用软件安全管理的痛点分析与应对
作者: 日期:2022年02月08日 阅:70,991

作者简介:

张奕,谷安(安全牛)研究院研究员,长期从事信息安全、企业数字化转型顶层规划和自动化运维等工作,拥有20年以上IT安全、运维服务和IT咨询经验,已取得CISA、TOGAF、COBIT、ITIL、PMP、CCNA证书。曾在某英国全球性公司北京公司担任IT负责人,以及埃森哲担任IT咨询师。

随着信息安全重要性的不断提高,许多企业都开始重视自身的信息安全建设,完善信息安全管理和技术措施。在实际的信息安全咨询工作中,我们发现许多企业在信息系统的安全保障与管理中投入大量精力,并取得了一定成效。

但是,员工个人终端上的软件安全管控因为其多样性和复杂性往往成为企业信息安全的薄弱环节,同时,恶意软件攻击导致的企业数据丢失、未授权访问、勒索软件、系统中断等安全事件层出不穷,占比不断提高。

以上问题出现的根本原因在于安装未经许可软件和开源软件管控不严格。结合咨询工作实践,我们总结出企业应用软件安全管理的四种模式,分别为白名单模式、软件库模式、资源平台模式以及软件开发平台模式。

企业应用软件安全管理的挑战

IDC的统计报告显示,企业安装未经许可的软件包或购买未经许可的计算机时,非合规软件使用率越高,被恶意软件感染的可能性就越高。

图1 未经许可的软件安装率与恶意软件遭遇率(来源:IDC)

随着企业越来越多地使用开源软件,其带来的安全风险也日益增加,其中包括开源软件的漏洞问题、许可问题、连续性等安全风险。Synopsys报告显示,2020年开源代码中84%的代码包含至少一个开源漏洞,其中高风险开源漏洞百分比占60%,并且比2019年增加了9%,高风险漏洞增加11%,开源软件漏洞安全风险正在增加。

图2 开源漏洞的代码库的百分比(来源:Synopsy)

非合规软件和开源软件的管理问题主要包括资产不清、管理成本大和管控能力差等问题。

资产不清。软件使用不规范、版本不统一、软件未及时升级都会使企业面临法律合规和开发漏洞问题,给企业带来安全风险,易造成系统中断/停机等问题。

正版软件不普及。企业科技部门或IT运行部门对软件资产合规使用管理不到位、不严格,造成非合规软件使用普遍存在,给企业带来安全合规和漏洞风险等问题。

管理成本高。开源软件可以随意获取并使用,并且种类和版本繁多,使企业内部存在多个不同版本的开源软件,当修复开源漏洞时,需要花费大量人力和时间成本,来识别并找到漏洞代码。

企业软件管理的解决之道

在实施了多个相关安全咨询项目后,我们认为企业在进行应用软件安全管理时,需要根据自身安全管理需求,从企业规模、管控模式、管理成本等几方面综合考虑,采用不同的管理模式。我们对软件管理模式进行了总结,将其归纳为四种模式,分别为白名单模式、软件库模式、资源平台模式以及软件开发平台模式。

一、白名单模式

白名单模式就是企业根据软件使用需求建立软件清单,用户只允许安装白名单中的软件。这种模式的好处是成本低、易实现,缺点是对软件使用的管控力度弱、监控能力差,适用于中小型企业。

实践案例:在国内某金融公司项目中,我们征集其软件需求并进行汇总,评审后建立白名单,包括软件名称和版本。当用户使用时,需要对使用人、使用版本和时间等进行登记,实现了软件的资产管理和使用管理。

二、软件库模式

软件库模式就是企业在内部建立一个共享软件库,用户从软件库下载并安装软件。这种模式的好处是管控力度较强,缺点是对评审技术有一定要求,需要有专门的技术专家团队进行安全评估,检测和评估的成本较高。该模式适用于中小型企业。

实践案例:在国内某银行企业项目中,我们协助其在公司内部建立软件库,对引入的软件从自主可控能力、安全能力、服务能力等方面进行专家评审,并定期对软件库列表进行安全评估,用户只允许使用库内软件,不得使用自己下载的软件。

三、资源平台模式

资源平台模式就是将正版软件、许可的开源软件和工具归类并在平台展现,用户没有安装其他软件的权限,在需要时可以在平台上进行搜索并安装软件。这种模式的好处是管控力度强,自动化管理的效率高,缺点是资源平台的建立和运维成本较高。资源平台模式适用于对正版化要求严格的大型集团企业。

实践案例:在某全球化公司项目中,该企业在其内部建立了软件资源平台,平台上的软件使用网络许可模式,因此用户在使用时可以自动获取网络许可,同时资源平台对用户许可使用情况进行自动监控,用户名称、客户端以及许可使用信息都将自动被记录下来,对正版软件和开源软件的安装和使用都进行了有效管理和记录。

四、软件开发平台模式

软件开发平台模式就是提供了统一开发环境,引入了合规的第三方组件和工具,同时收集威胁情报,并利用监控工具进行扫描和监控。这种模式的优点是可以实现对集团型企业软件安全的强管控,缺点是成本较高,位置限制性强,可能造成效率下降。软件开发平台模式适用于以自开发为主、对安全要求非常高的大型集团企业。

实践案例:在某大型电力企业项目中,其行业性质对安全要求很严格,软件以自行开发为主,因此需要强化对开发的安全管理。该大型电力企业搭建了SG-UAP平台,为各级电力子公司提供了安全统一的集成开发环境平台。


相关文章