聚焦网络安全创新,蚂蚁安全天穹实验室联手上交、浙大获2023年网络安全优秀创新成果大赛二等奖
11月4日,在刚刚落幕的2023年网络安全优秀创新成果大赛中,蚂蚁集团联合上海交通大学、浙江大学提报的“面向数字基础设施及软件供应链的多维智能风险挖掘解决方案”获得解决方案赛道二等奖。
2023年网络安全优秀创新成果大赛由中央网信办网络安全协调局指导,中国网络安全产业联盟(CCIA)主办。大赛历时8个月,共征集到200余家企业申报的370余项解决方案和创新产品,涉及人工智能安全、云原生安全、数据安全管理与防护、汽车网络安全检测等近40个技术方向以及能源、金融、医疗、车联网等近20个应用领域。
面向数字基础设施及软件供应链的
多维智能风险挖掘解决方案
关键数字基础设施作为数字化发展的根基,其安全稳定运行不仅关乎产业链发展,更与国计民生和国家安全息息相关。数字基础设施涉及数据库、操作系统、IoT、云计算、人工智能以及基于此类技术持续复杂化的技术和业务平台,其背后为海量代码,如何构建全面的防护体系,使得大规模、自动化的安全风险和漏洞挖掘成为可能,从根本上提升抵御网络攻击的能力一直是行业亟待解决的难题。
在此次大赛中,蚂蚁集团和上海交通大学、浙江大学产学研深入联合,从复杂数字化业务安全需求及行业痛点出发,研发了一套针对基础设施和供应链的智能风险挖掘解决方案。该方案通过海量基础设施及供应链镜像脆弱点主动识别能力、基于控制流和数据流结合的静态漏洞挖掘能力、对海量代码大规模自动化分布式的灰白盒漏洞挖掘能力和多个针对基础设施及供应链的智能风险挖掘引擎,主动挖掘基础设施及其供应 链中存在的安全问题,提前揭露基础设施系统及供应链中存在的安全风险。
平台核心技术创新点
海量基础设施及供应链镜像
脆弱点主动识别
蚂蚁集团联合上海交通大学创新性提出基于镜像依赖关系和内容差分的海量容器安全性检测方法,高效挖掘供应链Nday安全风险。
基于控制流和数据流结合的
静态0day漏洞挖掘
实现基于海量漏洞模型引导库的统一静态风险挖掘能力,扫描基础软件及供应链中可能存在的薄弱风险点,构建更加完整的潜在风险集合。
对海量代码大规模自动化分布式的
灰白盒漏洞挖掘
大规模分布式模糊测试能力,基于动态反馈式模糊测试技术,高效变异输入,触达代码深处逻辑,实现高效反馈式漏洞挖掘;同时平台底层基于分布式集群,能够根据项目类型,动态分配机器资源,对海量代码进行大规模并行模糊测试;
多个针对基础设施及供应链的
智能风险挖掘引擎
在IoT、数据库、操作系统、Java中间件等基础设施及供应链领域实现多个风险挖掘引擎,核心技术被多个国际顶级会议收录。
海量场景支持及应用
目前,本解决方案在蚂蚁集团内部及相关行业基础设施和供应链领域均已实现广泛应用。相比于传统基础设施及软件供应链安全解决方案,本方案有两大显著优势:既能识别已知漏洞,更能挖掘潜在未知漏洞,可实现多维度揭示软件及供应链中存在的安全风险。
在内部应用上,对蚂蚁内部自研关键基础设施均形成高效全面防御,在供应链相关产业上,挖掘了包括防火墙、操作系统、路由器、摄像头、数据库等方向数百处高危漏洞,获得了来自Google、Apple、华为、思科等超过200+次国内外厂商的漏洞致谢,大大提高了相关基础设施及供应链安全水位。另外还获得了7项发明专利、1项软著、参与2项行业标准建设,中稿10篇国内外顶会论文,其中一篇为国际顶会CCS best paper。
未来,天穹实验室还将继续保持强化安全攻防技术优势,为蚂蚁自身及相关生态安全保驾护航,为守护网络世界的安全继续贡献自己的力量。
延伸阅读