由清华大学-奇安信联合研究中心团队历时半年编撰的《互联网基础设施与软件安全年度发展研究报告(2020)》于近日正式出版了。
互联网基础设施或服务与软件系统的安全是互联网所有应用安全可靠运行的基础。本书从互联网基础设施安全、物联网软件安全、软件供应链安全和恶意代码分析四个方面对中国互联网基础设施和软件安全风险进行了实证性的研究分析和测量。
首先我们推出了可以代表中国网络基础设施安全水平的热门域名列表SecRank,然后,利用奇安信技术研究院开发的系列安全能力支持平台进行了大规模的测量和分析,其中包括天罡网络基础数据平台、司南威胁分析和溯源平台、天穹智能沙箱平台、天问软件供应链安全分析平台以及木啄物联网漏洞挖掘平台。在研究的基础上形成了《我国互联网基础设施安全测量与分析报告》、《 物联网安全测量与分析报告》、《 软件供应链安全分析报告》和《 恶意样本分析报告》,从而汇集成本书。
本书的研究表明,尽管我国互联网基础设施的安全状态相较过去有所改善,但与国际主流的安全实践相比仍存在一定的差距,特别是新的防范技术的部署方面。同时,一些新的攻击方法以及新的防范技术也给安全管理带来了新的挑战(如加密DNS)。本书的研究可以为网络安全研究、为各行业的互联网基础设施安全建设、规划和管理提供参考。
——————————————————————–
《互联网基础设施与软件安全年度发展研究报告(2020)》
出品:清华大学(网络研究院)- 奇安信集团网络安全联合研究中心
主编:段海新
副主编:郑晓峰 应凌云 聂眉宁 刘跃
本书共由四个子报告组成,分别是:
子报告之一:我国互联网基础设施安全测量与分析报告
基于更客观反映网络服务在我国影响力的SecRank 热门域名排名,对我国主要网络服务的安全防护水平进行测量评估。测量工作主要从域名系统(DNS)安全、HTTPS 部署与公钥证书、内容分发网络(CDN)安全、电子邮件协议安全、IPv6 安全态势共5 个方面进行。
结果表明,国内域名系统安全的发展较快,但最新技术的部署仍低于国际水平;HTTPS 部署与公钥证书的支持率良好,但协议版本和安全性有待提高;内容分发网络仍然存在不少安全隐患,特别需要关注新型攻击和方法;电子邮件协议安全机制的部署率不够理想,需要进一步加强;IPv6 部署正在不断推进,其安全措施研究应该同步开展推进。
子报告之二:物联网安全测量与分析报告
以当前新基建场景下的物联网安全问题为切入点,基于物联网设备固件、全网物联网活跃资产、用户侧App 等海量数据,进行多维度的安全测量分析。研究团队依次从智能终端系统、物联网云服务、物联网通信协议、移动端App 等维度出发,发现了系统安全漏洞、网络协议脆弱性、密码学误用等一系列当前物联网场景中的诸多严重安全问题;并且以攻击者的视角,进行全方位的安全漏洞分析与测量,定位问题根源,提出修补建议,期望能够辅助行业更好地发现、解决当前物联网面临的实际安全问题。
子报告之三:软件供应链安全分析报告
随着软件生态的日益复杂,软件供应链安全问题越来越多地引起了公众和国家的重视。针对这一问题,研究团队利用自研的天问软件供应链安全分析系统,对Windows、macOS、Android等不同平台上的系统程序、基础软件、热门应用进行了深度剖析和全面测绘,内容涵盖了近30万款Windows软件、约14万个预装Android App、4,300多个Android ROM镜像和5,200多个IoT 固件,以及OpenSSL、Chromium 等被大量依赖的软件模块。在此基础上,本报告针对操作系统安全机制、应用程序代码特性、软件元素依赖关系等主题进行了深入分析,并结合具体案例,阐述了当前软件供应链安全方面的各类典型问题,以及这些问题之间的共性特征。
子报告之四:恶意样本分析报告
恶意代码作为网络攻击的主要载体和表现形态,是网络安全关注的重点、维护信息安全的关键,也是网络安全检测和防御的主要对象。为了更好地了解目前的网络安全状况,摸清当前恶意代码的攻击方式、方法和发展变化趋势,奇安信技术研究院星图实验室利用安全分析工具和天穹沙箱系统,对4,000多万个恶意样本进行了详细分析,从静态属性、动态行为等不同视角展现了恶意代码各个维度的现状。
集赞赠书
100本新书集赞赠
关注“奇安信技术研究院”公众号
将文章或下方图书海报
分享至朋友圈并集满50个赞
保留截图并发送到邮箱
wangxinlei AT qianxin.com或fuyufan AT qianxin.com
即可兑换奖品
数量100本,赠完为止~
欢迎大家积极转发~
