Everything you care about in one place
Follow feeds: blogs, news, RSS and more. An effortless way to read and digest content of your choice.
Get Feederwechat2rss.xlab.app
墨菲安全
Get the latest updates from 墨菲安全 directly as they happen.
Follow now 19 followers
Latest posts
Last updated 22 days ago
论韧性数字安全体系(第十三章)
23 days ago
Micropoor 2025-06-24 14:57 北京 人在认识世界、改造世界的实践活动中自会形成种种具有积累价值和交流价值的思想和认识,文章总结便是用来完善、固定 人在认识世界、改造世界的实践活动中自会形成种种具有积累价值和交流价值的思想和认识,文章总结便是用来完善、固定和交流这些思想认识成果的工具。也只有这样的变化,才能符合客观实际,准确地把握现实,从胜利走向更大的胜利。因此,文章必须言之有物,言必载物。————Micropoor一、引言在当代肿瘤医学中,治疗癌症的目标已从“彻底根除”转向“长期控制”,即将其转化为一种可以持续管理的慢性病。这一转变不仅是技术的进步,更是理念的深刻演化。从理念来看,现代医学抗癌至少经历了四次革命:第一次是以手术为核心的局部清除;第二次是通过放疗和化疗实现对全身病灶的打击;第三次是基因检测和靶向药物带来的精准治疗;第四次则是免疫疗法的兴起。尤为重要的是,免疫疗法所倡导的逻辑不同于传统的“直接消灭病灶”,它通过激活人体自身的免疫系统,使其具备识别与压制癌细胞的能力,从而形成一种系统性、内生性的防御机制。这一医疗逻辑的深层转变,恰可比拟当前网络安全治理中正在发生的范式转型。随着数字技术在社会各个层面的广泛渗透,网络攻击的复杂性、隐蔽性和破坏性不断增强,传统的信息安全观念——如边界防御、边界模糊、静态隔离、威胁封堵——越来越难以应对不断演化的威胁。大规模勒索病毒、APT攻击、数字供应链污染攻击、物联网滥用等新型风险不断突破防御系统的边界,也使得边界越其模糊,而系统一旦崩溃,往往面临数据丧失、关键功能瘫痪、组织运营中断等灾难性后果。在此背景下,网络安全的战略目标正从“防止被攻破”向“允许在被打击后仍能生存”发生根本转变。韧性数字安全体系应运而生。该体系不再一味追求系统的“不可穿透性”,而是强调系统在面对威胁和攻击时,能否快速识别、精准定位、有效隔离,并在最短时间内恢复关键业务运行,保持整体系统的稳定性与业务连续性。韧性数字安全强调“存活能力”而非“绝对安全”;追求“系统抗打击性”而非“攻击零发生率”;构建的是一种具备多层缓冲、动态调节、自主恢复与跨域协作能力的复杂系统安全结构。基于此理念,本文提出构建韧性数字安全体系的五大核心思想:1、分层防护:基于资产重要性和网络结构,构建多层次的防御架构,避免单点突破和整体瘫痪;2、层层发现:在各个安全层级部署侦测机制,实现全域范围内的持续感知与动态监控;3、主动防御:主动识别并干预潜在攻击链;4、跨行跨业联动:建立跨行业、跨组织的信息共享与协同应对机制,实现“单点受侵,集体免疫”;5、极限生存:在最恶劣的攻击环境中,通过最小功能集、灾备恢复、信任根重建等机制,确保核心业务得以维持。本文将围绕上述五个核心思想,系统性地论述韧性数字安全体系的理论基础、结构构建路径、关键技术支撑以及其在国家安全、产业安全与社会治理中的现实意义。通过理论分析与实践探索相结合,力图为当代信息社会建立一种能够应对不确定性、复杂性与极端事件的新型安全治理范式。(参考我为什么坚信韧性安全体系的内在逻辑(第二章))二、韧性数字安全体系的理论基础2.1 韧性概念的源起与演化“韧性”最早源于物理学领域,指材料在受力变形后恢复原状的能力。在20世纪后期,该概念被引入生态学、社会学和工程系统中,逐步发展出一套系统性韧性的分析框架。在网络和信息安全领域,“韧性”不再仅仅意味着恢复原状,而是指系统在遭遇攻击、故障、异常或突发事件时,能够维持其核心功能、快速适应扰动并逐步恢复能力的综合性能。与传统的“信息安全”相比,网络韧性更强调的是应对失败的能力,而非单纯避免失败。信息安全的核心在于保密性、完整性和可用性,而韧性则将焦点转向了系统性的持续运行能力、功能退化后的承载力、以及资源调度与恢复策略的动态性。因此,可以说,“韧性”并非替代“安全”,而是在现实威胁环境中对安全范式的一种必要补充和再定义。这也构成了韧性数字安全体系的理论根基:接受风险存在,重构系统设计。2.2 从“防御性安全”到“生存性安全”传统网络安全强调边界设防、防火墙阻断、规则匹配与黑白名单。其逻辑基础是“攻击可以被预先阻断”,前提是“我们知道攻击来自哪里”。但随着威胁源高度多元化、攻击手法动态演化,防御策略逐渐陷入被动:一旦攻击手段绕过设定规则,系统几乎毫无抵抗能力。韧性安全体系强调的是另一种逻辑:攻击不可避免,瘫痪无法彻底防止,但“生存”能力可以构建、可以优化、可以模拟测试。它反映了如下几种思维转向:1、从完美防护至允许受损但不崩溃;2、从静态规则至动态适应机制;3、从单点边界防御至系统性协同韧性;4、从攻击阻断至恢复保障与重建能力。以此为核心,韧性体系不追求“绝对安全”,而是追求“相对生存能力最大化”,即在“已被攻击”的设定下,系统还能维持服务、限制蔓延、重建功能。2.3 韧性体系的四大理论支柱在文献和实践探索中,成熟的韧性体系往往由以下四大理论支柱构成,这也为后文提出的五大核心思想提供理论基础:1、冗余性——系统必须具备功能冗余与路径冗余。2、适应性——在不确定条件下,系统需具备根据环境变化自动调整资源和行为的能力。3、恢复性——即使在功能崩溃或被攻击的情况下,系统应具备以最快速度恢复核心服务的能力。它要求恢复路径明确、指令通畅、数据完整。4、可感知性——系统必须对内部状态与外部环境有持续、准确的感知能力。这包括对攻击、异常、流量变化等的实时检测与研判。这四个支柱,相互配合、共同支撑一个系统“在混乱中仍能运行”的底层逻辑。本文提出的“分层防护”、“层层发现”、“主动防御”、“跨行跨业联动”、“极限生存”五大思想,正是对这四大原理的具体化、结构化与操作化落地。2.4 韧性构建的工程必要性在现实网络环境中,任何足够复杂的系统都不可能保持永久的“完美运行”。无论防御策略多么精密、策略规则多么严密,总有一种攻击路径、操作失误或供应链缺陷能够突破设防。这种“不可避免的失败”,并非偶然,而是由系统的本质决定的。从工程视角来看,现代数字基础设施正面临三大困境:1、系统边界不再清晰:随着云计算、物联网、移动终端的大规模部署,网络系统的边界趋于模糊,防御线越来越难以定义。2、攻击手段日益复杂:攻击者不再依赖单一手段,而是采取“低慢隐”方式,绕过规则检测,穿透多个安全层面。3、组织协作链条冗长:安全事件往往涉及多个部门、外部供应商、上下游合作单位,导致响应链条变长,决策滞后。在这种条件下,继续寄希望于“零入侵”“零出错”是不现实的。安全系统不能只追求封闭式防御,而应像生命系统一样具备在失败后“控制损害、限制扩散、迅速恢复”的能力。这正是韧性数字安全体系的工程逻辑起点。韧性数字安全建设不是抽象概念,而是对以下三个维度的具体“工程组织”:1、结构上的容错设计2、机制上的恢复路径预设3、快速响应链条更进一步说,韧性数字安全体系不是对现有安全架构的修补,而是对系统运行逻辑的整体再设计。它改变的不只是“用了什么工具”,而是“如何理解系统如何生存”。当我们不再把安全理解为“屏障的坚固程度”与“业务的保驾护航”,而是“在攻击中系统能否站稳”的问题时,韧性便不再是理想主义附加项,而是数字安全的底线逻辑与工程相揉的和谐。三、韧性数字安全体系的五重结构原则在传统安全范式下,防护体系往往以边界设防、点状拦截为主,假设只要“前端不破”,整体系统便可安然无恙。但在现实中,复杂系统始终存在不可预测的漏洞与人为误差,攻击也逐渐呈现“多点突破、链条演进、隐蔽持久”的态势。在这一背景下,韧性数字安全体系必须构建一套多维联动、动态协同的结构机制,其核心即“五重结构原则”:3.1 分层防护:结构解耦,避免单点失效韧性安全的第一原则是分层防护。该原则要求根据资产的关键程度、业务的耦合关系及潜在攻击面,对整个系统进行逻辑与物理上的分层与分区。在结构上形成“内外有别、等级分明、职责清晰”的防御纵深,在策略上制定各层独立响应与联动机制。关键特征:1、构建从互联网网络、互联网应用、互联网用户交互、互联网服务器、内网网络、内网应用、内网用户交互、主机、应用、数据等到身份的多重防线;2、各层独立部署安全策略,避免“一处突破,全局瘫痪”;3、引入微隔离技术,将关键服务模块细分成独立单元。此类设计通过“结构解耦”与“功能最小化”???在提高攻击成本的同时,为系统提供了容错冗余基础。3.2 层层发现:连续感知,动态诊断防护不能停留在封堵层面,更应强调实时发现与持续感知。“层层发现”要求在各个系统层级部署可持续运行的监测与检测机制,实现从外围异常行为感知,到核心数据访问分析的全景安全可视化。关键特征:1、建立覆盖全域的日志、告警、行为分析机制;2、采用人工智能与威胁情报驱动的智能分析模型;3、支持对未知攻击手法的“行为态势识别”与溯源能力。系统必须像免疫系统一样,具备多层感知神经网络,不仅能“看到”攻击,更能“理解”其结构与走向。3.3...
墨菲安全出席OSPO Summit 2025,分享开源软件供应链威胁治理实践
27 days ago
2025-06-20 15:30 北京 墨菲安全在会议中全面展示在开源软件供应链威胁治理方面的先进思考和实践成果 近日,第三届开源管理办公室峰会(OSPO Summit 2025)在北京中关村国家自主创新示范区会议中心隆重举行。本届峰会以"拥抱AI,走进开源"为主题,汇聚了全球近百位开源领域专家、企业技术领袖、社区决策者、学术研究者及一线开发者集聚一堂。墨菲未来科技(北京)有限公司(简称 “墨菲安全”)联合创始人&实验室负责人欧阳强斌受邀出席,并在「OSPO与企业论坛」中,发表了题为《从合规到安全:OSPO如何应对开源软件供应链威胁》的主题演讲。全面展示了墨菲安全在开源软件供应链威胁治理方面的先进思考和实践成果,不断为开源生态的可持续发展提供全局视角和务实路径。一、开源软件供应链威胁严峻,趋势不容小觑在演讲中,欧阳强斌首先剖析了开源软件供应链的威胁与趋势。随着开源软件在企业中的广泛应用,供应链面临的攻击面不断扩大,安全威胁不断增加。同时,当下开源软件等供应链攻击手段愈发隐蔽与复杂,攻击者常利用供应链上下游信任关系,在软件开发、分发等各环节巧妙植入恶意代码。2024年的XZ-Utils供应链后门投毒事件就是其中典型代表。XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件。投毒者处心积虑蛰伏三年多,一步步支起一张大网,企图掌控全球主流linux发行版,一旦成功他将可以随意侵入全球绝大多数的服务器,这将是足以引爆全球的核弹危机。所幸被及时察觉,没有造成过大的现实危害。但此次事件却凸显出了开源软件生态的脆弱性。根据数据统计,漏洞数量正在逐年增长,每年新披露的开源软件漏洞有2万多个,2024年已披露的开源软件漏洞中,高危及以上占比超40%。而开源软件供应链的复杂性和开放性,也会使得风险传播速度更快,影响范围更广,一个微小漏洞可能会在短时间内引发连锁反应,冲击整个生态体系。二、OSPO 治理挑战重重,亟需破局之策谈及 OSPO(开源项目办公室)在应对开源软件供应链威胁时面临的挑战,欧阳强斌表示,首要难题在于企业内部开源软件管理的无序性。多数企业不同部门各自为政,缺乏统一管控,导致开源软件使用情况混乱,难以全面梳理软件供应链构成,自然也无法精准评估与防控风险。同时,开源社区的多元与活跃,虽为创新注入活力,却也增加了OSPO追踪和管理开源组件更新及安全问题的难度。开源项目版本迭代频繁,不同版本间兼容性、安全性参差不齐,而企业既要保障业务正常运转,又要及时跟进更新修复漏洞,平衡二者关系并非易事。此外,开源软件许可证合规性管理也错综复杂,不同许可证条款各异,一旦企业使用不当,便可能陷入法律纠纷。三、治理实践要点突出,墨菲安全架构赋能基于以上重重挑战,欧阳强斌着重介绍了在治理实践方面,墨菲安全构建的ESSF企业软件安全治理框架。该架构从企业的业务系统出发,深入到具体的应用,再到构成应用的软件成分,最终识别和应对各种威胁类型。通过这种层层递进的分析方法,帮助企业从全局视角理解软件安全,并找到有效的治理路径。ESSF 目前包含企业软件成分分类(ESCT)及企业软件成分威胁分类(ESTT)两个重要组成部分。企业软件成分分类(ESCT) 是一套标准化的分类框架,旨在帮助企业清晰地识别、定义和组织构成企业软件的各种成分,有效管理安全风险。企业软件成分威胁分类...
墨菲安全再获行业认可,和华为鸿蒙携手共探国产开源生态安全
about 2 months ago
2025-05-28 09:30 北京 祝贺!墨菲安全以突出的安全检测能力荣获OpenHarmony开源社区奖项 近日,墨菲未来科技(北京)有限公司(简称 “墨菲安全”)以突出的安全检测能力荣获OpenHarmony开源社区2025年度“OpenHarmony安全检测能力突出实践团队”称号,并正式完成和OpenHarmony开源社区的合作授牌,充分展示了墨菲安全领先的安全检测能力已获得产业和学术方等多方面的认可。一、成为新成员:授牌仪式开启合作新起点2025年5月26日,由开源鸿蒙安全委员会主办、华中科技大学承办的“聚智聚力,共筑OpenHarmony安全生态”论坛在武汉成功举办。墨菲安全联合创始人&实验室负责人欧阳强斌作为代表出席此次活动。在本次活动中, 墨菲安全和 OpenHarmony 开源社区的合作也迎来重要进展:墨菲安全正式加入OpenHarmony 开源社区并完成授牌仪式,成为社区成员。这标志着,墨菲安全作为专注于以供应链视角重新定义企业安全的科技创新企业,后续将以更深的参与度,???社区内上下游企业、开发者共同推动OpenHarmony生态建设。二、技术实践获认可:安全检测能力再获行业肯定本次,墨菲安全被授予 “安全检测能力突出实践团队” 奖项,以表彰其在OpenHarmony...
理性看CVE项目是否会停摆,一起积极应对
3 months ago
2025-04-16 23:01 北京 从目前来看,CVE的更新预计不会受到实质性的影响 4月15日,MITRE向CVE委员会发送了一封邮件,告知美国政府对CVE/CWE项目的资助合同将于4月16日到期。受此影响,CVE漏洞可能更新受到影响,并影响NVD等下游的漏洞库。但是根据我们的分析和判断:从目前来看,CVE的更新预计不会受到实质性的影响。CVE项目始于1999年,由美国国土安全部(DHS)和网络基础设施安全局(CISA)的赞助,MITRE负责运营,NVD(美国国家漏洞库)等下游漏洞库基于CVE的数据进一步加工分析。在过去的二十多年里,CVE是对通用漏洞标识的标准,是漏洞情报共享、漏洞库、各类安全工具的重要基础数据,这是一项非常有意义的伟大工作。CVE会停摆吗从目前来看,CVE的更新应该不会受到实质性的影响。CVE受益者众多,各方都会想办法延续这一重要的基础设施,并且已经有了一些实际的动作。CISA已延长合同期限根据Cynthia Brumfield在bsky平台上的发言(https://bsky.app/profile/metacurity.com/post/3lmwjbndmd22s)来看,CISA已经延长了对MITRE的项目合同,CVE项目并不会在4月16日就终止。CVE基金会成立在16日,由Kent Landfield等CVE委员会成员宣布为应对政府对该项目的资金,成立CVE基金会,助力CVE项目持久、独立发展,并将在接下来几天公布后续的基金会发展计划。在公告中提到「作为回应,一群长期活跃的 CVE 委员会成员已经花费过去一年时间制定策略,将 CVE 过渡到一个专门的、非盈利的基金会。新的 CVE...
总结过去三年软件供应链安全一些非共识核心问题
4 months ago
章华鹏 2025-03-19 15:04 北京 软件供应链安全最被关心的20个问题 写在前面过去三年,我大概每年平均至少见300个企业的专家和大佬们,这三年下来也快1000人次了吧。虽然有一些人是重复见了很多次的,但每次见也多少会有新的收获。因为工作的原因,我们聊最多的话题其实是跟软件供应链安全相关的,所以我最近就特别想把过去我们这1000次交流过程中,聊到的最核心的问题都提炼出来,然后在今年的产品迭代、公众号、直播、闭门会议、对外技术交流分享中,把这些内容重点放进去。也是希望通过这样的方式,给所有准备做,或者正在做企业软件供应链安全的专家和大佬朋友们一些输入。一方面可以把过去我们交流和讨论这些问题的一些成果分享给大家,让大家可以在思考和实践的过程中少踩坑。同时我们可以就这些重点问题,结合各个企业的实际场景,进行更多更深入的讨论。让一些其他正在碰到/还没有碰到这些问题的朋友也能受益。以上,就是今天这篇文章的想法和初衷。我想这是一个长期的工作,后面我会把它整理成一个系列,这是第一篇。我可能更多的是抛出一些最关键的、被提及最多的问题,这些问题通常是非共识的。之后我会不定期的通过不同的方式分享,最近一次就是在3月26日晚19:00的线上闭门会,会有京东、小米、理想、字节、某股份制银行、某头部券商、某头部运营商等企业安全大佬,一起专场讨论这些软件供应链安全的核心问题,也欢迎企业安全的各位专家和老师报名参加讨论或者旁听,这场闭门会上,我们也会提前分享我们之后要开源的一些工具和内容,文末有线上沙龙报名链接,名额有限,先到先得(请注意本次沙龙主要面向企业安全从业者)。软件供应链安全最被关心的20个问题以下是我和我所有同事们一起总结出来的,被企业问到最多的20个非共识问题,我先把它们列举出来。出于篇幅的原因,本文我将先聊聊对于前10个问题的简明扼要的看法。关于全部20个问题的解答,会首先在3月26日的闭门会上详细讨论,之后找时间我会汇总发出。如果你们企业最近准备/已经开展软件供应链安全治理工作,不妨再好好梳理一下这20个关键问题,我相信对于你们开展这项工作治理一定会有一些帮助。▸ 1)软件供应链安全太大了,到底什么是软件供应链安全?▸ 2)软件供应链安全有哪些威胁场景?▸ 3)如何向企业的管理者说清楚软件供应链安全的价值?▸ 4)同行业企业软件供应链安全项目是怎么立的?▸ 5)同行业企业是怎么落地的?效果和价值咋样?▸ 6)软件成分分析工具识别出来的漏洞太多了?大家怎么处理?▸...
软件供应链安全行业大佬闭门交流会
4 months ago
2025-03-05 16:37 北京 限时开放全套产品免费试用 & CEO 1V1护航 | 仅30席 写在前面软件供应链安全威胁,作为近些年网络勒索/资金窃取/网络攻击等黑灰产最常用的攻击手段之一,目前已成为各大企业最关心的问题。但是企业软件供应链安全的治理和落地,本身也存在很多挑战,整个行业也在摸索怎么落地。一直以来很多企业的安全负责人,和专家大佬朋友,都在问我们,能不能组织有经验的大佬们,来一起交流交流。所以这场闭门交流沙龙就来了。过去三年,墨菲安全和各个行业的一批企业,在软件供应链安全治理方面,积累了一些实践经验。本场沙龙我们将邀请多位行业头部企业大佬,以及墨菲安全三位创始人,和大家一起深入交流和探讨,关于企业软件供应链安全的实践经验和踩过的坑。如果您:1.是对软件供应链安全感兴趣???企业安全负责人/应用安全专家;2.是正在准备在企业内调研/立项做软件供应链安全;3.是正在探索企业安全建设新方向;那您不妨深入了解一下软件供应链安全,欢迎大家报名参加。一、核心议程抢鲜看▸ 软件供应链安全边界如何划定?▸ 如何快速评估软件供应链安全对于自己企业的价值?判断投入必要性?▸...
墨菲安全入驻区块链与数据安全研究院,携手浙大国家重点实验室筑行业新未来
5 months ago
2025-02-10 14:06 北京 墨菲安全入驻区块链与数据安全研究院 最近,有朋友发现区块链与数据安全研究院的公众号发布了关于墨菲安全获得pre-A轮融资的报道《喜讯!研究院引进企业墨菲安全获数千万pre-A轮融资》,提到了双方的合作。没错,我们要官宣啦!2024年10月,墨菲安全受邀正式入驻杭州高新区(滨江)区块链与数据安全研究院,开启与国内顶尖科研力量的深度合作!此次合作不仅是墨菲安全技术实力的重要体现,更是我们在软件供应链安全与数据安全领域迈出的战略性一步。强强联手,共筑数据安全新高地杭州高新区(滨江)区块链与数据安全研究院是由浙江大学区块链与数据安全全国重点实验室与地方政府共建的唯一基地,由中国工程院陈纯院士领衔。研究院聚焦国家数据安全战略需求,致力于区块链技术的自主可控、监管充分和内生安全等关键目标,开展前沿技术科研攻关与产业孵化,是国内区块链与数据安全领域的权威科研平台。墨菲安全作为软件供应链安全领域的领先企业,此次入驻研究院,将与研究院及浙江大学国家重点实验室展开深度合作,共同探索软件供应链安全与数据安全领域的前沿技术,推动科研成果的转化与应用。技术创新,赋能软件供应链安全本次合作中,墨菲安全将依托研究院强大的科研能力,重点围绕软件供应链安全威胁的识别与自动化修复等核心问题,开展创新技术研究。通过将研究成果应用于墨菲安全的系列产品中,我们将为用户提供更智能、更高效的安全解决方案,帮助用户快速识别并修复软件供应链中的安全威胁,全面提升安全防护能力。我们相信,通过与顶尖科研力量的携手,墨菲安全不仅将推动产品的技术升级,还将在软件供应链安全领域实现更多突破,为用户带来更优质的安全体验。未来展望:科技赋能,安全护航墨菲安全与研究院的合作,标志着我们在技术研发与产业应用方面迈出了重要一步。未来,我们将继续深耕软件供应链安全与数据安全领域,推动更多创新技术的落地应用,为用户提供更可靠的安全保障,助力国家数据安全战略的实施。科技赋能,安全护航。墨菲安全将以此次合作为契机,持续提升技术实力,与行业伙伴共同构建更加安全、可信的软件生态,为数字化时代的安全发展贡献力量! 阅读原文 跳转微信打开
程序员注意!PyPI惊现DeepSeek高仿投毒包!
5 months ago
章华鹏 2025-02-05 18:41 北京 程序员注意!PyPI惊现DeepSeek高仿投毒包! 2025年1月29号,一位用户名为bvk的用户,在Python PyPI开源组件中央仓库中发布了两个组件:DeepSeeek和DeepSeekai。根据墨菲安全实验室的分析,这两个组件包是属于明显的投毒组件。用户一旦安装后,攻击者会窃取用户服务器上的环境变量等信息,通常会涉及一些ak/sk等用于API认证的敏感数据,可能导致用户的数据泄露。目前PyPI官方已火速下架这两个组件,但已经被开发者下载了222次,建议企业排查。详情可看视频 ⬇️⬇️ 阅读原文 跳转微信打开
美国CISA报告称Contec病人监护仪存在后门
5 months ago
原创 墨菲安全 2025-02-02 20:57 北京 美国CISA报告称Contec CMS8000病人监护仪存在软件供应链后门 2025年1月30日,美国网络安全和基础设施安全局(CISA)和食品药品监督管理局(FDA)联合发布警报(文末有pdf报告地址),Contec CMS8000患者监护仪存在后门,并发布了详细的分析报告,从报告表述来看,这是一个非常典型的软件供应链安全问题。目前该“后门”相关漏洞已分配两个CVE编号(CVE-20250626、CVE-2025-0683),报告指出该后门允许一个硬编码的公网IP可以执行任意的命令以达到随意控制这款医疗设备的目的,包括执行任意系统命令和获取患者的敏感数据。值得注意的是该报告指出Contec CMS8000的生产商是总部在中国的企业,至于是哪家企业,大家可自行检索。从互联网检索来看,该款医疗设备在用的医疗机构还不少。建议大家关注自己是否使用了该型号设备,自行联系厂商排查风险。我用deepseek对这份英文报告进行了简单的解读,本质上就是该款医疗设备会从一个公网IP地址的NFS服务器上拉取文件到设备上进行执行,如果拉取的文件中存在恶意的代码逻辑,那么就可以达到远程控制该设备和获取敏感数据的目的。报告指出,Contec分别于2024年11月9日、2024年12月17日给CISA发了两个补丁文件,第二次的补丁版本号为2.0.8。但是这两个补丁并没有解决这个后门问题。建议国内所有使用Contec CMS8000的医疗机构排除是否存在此类风险,并尽快联系厂商处置。最后墨菲安全是国内领先的软件供应链安全厂商,我们可以支持对医疗器械的固件及代码进行软件供应链安全漏洞及后门检测分析及快速修复。如果你是医疗器械厂商,我们可以为您提供专业的安全解决方案,避免此类的安全问题发生,如果您是医疗机构,我们可以帮助您对您采购的医疗器械进行安全类的审查,避免采购到存在安全风险的医疗设备。参考链接:https://www.cisa.gov/sites/default/files/2025-01/fact-sheet-contec-cms8000-contains-a-backdoor-508c.pdfhttps://www.fda.gov/medical-devices/safety-communications/cybersecurity-vulnerabilities-certain-patient-monitors-contec-and-epsimed-fda-safety-communication 阅读原文...
DeepSeek因软件供应链安全问题导致严重聊天记录数据泄漏
6 months ago
2025-01-30 14:18 陕西 这是非常典型的云上软件供应链安全漏洞导致的严重数据泄漏风险 阅读原文 跳转微信打开
36氪广东首发 | 以供应链视角推动企业软件安全架构升级,「墨菲安全」获数千万pre-A轮融资
6 months ago
36氪广东 2025-01-20 11:33 北京 36氪广东就墨菲安全融资一事,对墨菲安全创始人&CEO章华鹏进行采访报道 本轮融资金额计划用于市场拓展及人工智能技术研究。36氪广东获悉,近日,专注于软件供应链安全领域的技术创新公司——墨菲未来科技(北京)有限公司(下称「墨菲安全」)完成数千万元pre-A轮融资,投资方为恒生电子、复琢资本,由航行资本担任独家财务顾问。本轮融资金额计划用于市场拓展及人工智能技术研究。「墨菲安全」2020年完成核心团队组建,聚集来自百度、华为,超十年企业安全建设经验的相关成员,围绕企业软件安全风险导致的漏洞攻击、勒索事件、数据泄露、投毒后门及开源许可证合规等相关痛点问题,研发了一系列创新的软件供应链安全产品及服务,致力于帮助企业客户实现“精准识别真漏洞、分钟级快速修复”。其于2021年完成数千万元天使轮融资,在2023年获“国家高新技术企业”认定。“我们在实践中发现,随着企业数字化程度提升,软件规模扩大,软件安全漏洞导致的数据泄露和勒索事件增多。”谈及为何选择创立「墨菲安全」,创始人章华鹏指出,软件供应链安全赛道是网络安全市场的结构性机会,因为企业数字化升级以及对生产效率要求提高,促使软件供应链引入规模快速增大,相对应的供应链软件漏洞攻击风险显著提高,而市场缺乏成熟应对的产品与解决方案。根据中国信通院调研结果显示,超过73%的企业关注开源治理体系建设。同时,据云计算开源产业联盟发布的《软件供应链安全发展洞察报告(2024)》,企业及政府等组织以安全为切入点进行软件供应链治理,软件供应链安全市场快速增长。2023年,中国软件供应链安全市场规模达到2.23亿美元,预计2029年将达到10.59亿美元,年复合增长率(CAGR)为29.6%。事实上,不少企业在做开源风险治理时会遇到开源组件管控难、供应链资产依赖庞杂,依赖数量庞大、漏洞修复非常困难、应急响应难等痛点。顺应市场发展趋势以及市场痛点,「墨菲安全」以供应链视角重新定义企业软件安全,为企业客户提供软件应用安全全生命周期的供应链安全解决方案,其中,围绕软件安全漏洞和合规风险,推出源安全网关、软件成分分析(SCA)、漏洞及投毒情报、软件资产及风险管理平台等产品,未来还将针对不同场景推出更多产品。简单而言,「墨菲安全」为需求方(头部企业)提供软件应用全生命周期风险管理、为供应方(软件厂商)解决软件生产交付中的安全风险,提升其竞争力。“软件供应链安全赛道发展迅速,吸引众多玩家进入,但尚未成熟和拥挤。对于公司的挑战,在于能否精准结合客户痛点定义产品,实现PMF(产品市场匹配),帮助客户解决过去一直没有被很好解决的软件安全风险的修复问题,打通软件安全治理的最后一公里”。据了解,「墨菲安全」核心特点是拥有超过十年的大型企业安全建设实践经验和行业顶尖的软件安全漏洞研究经验,同时具备这两项核心能力的团队非常少见,目前墨菲安全产品主要具备四大核心能力,一是高准识别软件中依赖的软件供应链成分,二是基于可达性分析实现95%无效漏洞过滤,三是线上应用0day漏洞及投毒组件实时预警,四是针对企业软件应用漏洞实现快速修复,处置效率提升20倍;而这些核心产品能力都依赖于墨菲安全自主研发和运营的的行业领先软件供应链风险知识库SRKB(Software supply chain security Risk Knowledge Base)。章华鹏表示,「墨菲安全」的软件供应链风险知识库SRKB是来自于核心团队在大型企业及大型安全社区超过十五年的软件安全研究经验积累,再加上墨菲安全过去几年服务客户过程中的大量真实反馈,快速迭代和进化而来。近两年随着大模型技术的快速发展,墨菲安全很早就将AI技术应用于知识库的生产过程,极大地提升了漏洞知识库的生产效率,这也使得该知识库在整个行业内持续保持领先,目前该知识库已经覆盖了40W+的漏洞,其中每个漏洞都是经过墨菲安全实验室的专家团队校准,并且有超过25个独家的数据字段,这些数据字段正是构建墨菲安全产品核心能力的基础。未来,墨菲安全将进一步结合AI技术加大在软件供应链风险知识库上的研究,并深耕企业用户场景,为用户提供实用、靠谱的产品及服务,帮助客户精准识别真漏洞,实现漏洞的快速修复闭环。目前,「墨菲安全」标杆客户包括运营商、金融、泛互联网、智能制造、能源/央企、软件供应商,如字节跳动、中国银行、蚂蚁集团、中国电信、天翼云、国家电网、理想汽车等。“公司在2024年实现盈利,过去几年业绩增速超300%,未来仍将保持较高增速。”据了解,在企业经营上,「墨菲安全」订阅金额复购率156%,同时在客户的复购率数据上表现非常亮眼。“目前聚焦互联网、金融、运营商、能源、智能制造等行业,本轮融资后,在现有行业基础上向全国市场拓展。并在未来3-5年内探索出海业务可能性。...
直播倒计时2天:在企业做安全和对外做安全产品有什么差异?
6 months ago
2025-01-19 17:06 北京 1月21日,《三个白帽聊安全》过来人聊经验感受,干货满满等你来! 阅读原文 跳转微信打开