MITRE推出供应链安全原型

MITRE的“信任系统”（System of Trust，SoT）框架可定义和量化供应链风险和网络安全问题。近日，MITRE悄悄为此框架发布了基于云的原型平台。

该平台名为“风险模型管理器”（RMM），可供企业和机构评估供应链风险及安全，查看、编辑和定制SoT框架内容，或者将之导出作为子集框架使用。MITRE在2022年RSA大会（RSAC）上提出了SoT框架概念，并将于下月在旧金山举行的2023年RSAC上官宣RMM原型平台。

SolarWinds和Log4j等重大攻击让人深切感受到了恶意黑客入侵供应商软件并进而染指客户软件的危险，大声敲响了供应链风险和安全的警钟。截至目前，业界还没有公认的通用方法来定义或衡量此类风险。而MITRE的SoT框架提供了评估供应商、服务提供商和供应品的标准方法，网络安全团队和整个企业都可以用这个框架来评估供应商或软件产品。

SoT框架是托管在AWS上的云原生应用，围绕与供应商、服务提供商和供应品相关的14个顶级风险领域展开，例如供应商的财务稳定状况和网络安全实践，以及假冒伪劣产品的风险。可以在采购过程中使用这些风险类别来评估供应商或产品，深入研究细节问题，比如供应商如何跟踪并确保其产品所用第三方软件组建的安全等问题。

MITRE实验室高级软件与供应链保证首席工程师Robert Martin解释道：“这个信任系统极具吸引力，因为它提供了更全面、更合理的结构，可以详细阐明你供应链中存在的风险”。传统风险衡量和评估工具可没那么厉害。

目前约有40个组织参与了SoT平台的塑造，平台现在包含大约660个特定供应链类别和风险因素。为了充实这款工具，MITRE采集意见的对象包括了供应链企业、供应链安全供应商和涉及供应链运营某些要素的标准组织。微软、黑莓、美国网络安全与基础设施安全局（CISA）、思科、戴尔、英特尔、万事达、美国国家航空航天局（NASA）、雷神公司、施耐德电气、西门子和The Open Group都是SoT社区的知名成员。

SoT不过是MITRE为网络安全行业打造的又一个参考框架。MITRE此前推出的ATT&CK框架可以映射威胁团伙渗透网络和入侵系统的常用步骤，而其较新的D3FEND模型则详细说明了定义防御能力和技术的通用方式。但SoT的风险视野不仅仅包括网络安全，还考虑了财务、质量和诚信风险等等。

Omdia企业安全管理首席分析师Curt Franklin表示：“最重要的是，这东西用起来跟用ATT&CK和D3FEND类似：提供一种通用语言供我们不仅讨论链上的位置，还探讨特定的漏洞或攻击方法和防御措施。”

Franklin表示，MITRE与其其他网络安全项目之间的渊源应能助推SoT，但广泛采用可能需要时间。“我可以想象得到，一些第三方风险评估供应商会将SoT构建到他们的产品中，就像他们将FAIR（信息风险因素分析）或ATT&CK构建到自家产品中一样。”Franklin称，“我认为SoT推广开来的可能性很高，需要一定时间的可能性也很高。”

这是因为，现在仍然有多种方法可以用来定义和衡量网络安全风险，但是这些方法都没办法协同。Franklin表示：“很难说清楚我们的风险状况与业内同行相比如何。这种东西所做的就是提供一个特定框架，可以用来进行一些通用风险量化。”

SoT的运作机制

RMM中的每个风险项目都会得到一个评分，这个评分是评分算法根据测量数据得出的。这些得分可以表明供应商在特定风险类别上的优劣。企业就能用得分量化评估某家软件供应商或其产品的安全风险。

施耐德电气是SoT项目的密切合作伙伴之一，其供应链安全副总裁Cassie Crossley将与MITRE实验室高级软件与供应链保证首席工程师Robert Martin一起参加2023年RSAC SoT会议，会议议题是“创建供应链风险标准——MITRE System of Trust”。Crossley表示，施耐德电气的各个不同部门目前都设置有多个全面的供应链风险评估流程，而且公司还计划根据自己的要求和标准向SoT提供输入和反馈。”

Crossley表示：“我们希望与施耐德的这些团队合作，从而确定我们可以为哪些领域提供建议，看看我们怎么才能更好地协同或者多加利用SoT框架。我不知道我们是否能实现100%的SoT。但我们会制定自己的流程，确定要纳入更多供应链风险评估结构的领域。”

对施耐德电气而言，自身产品和购入供内部使用的产品，包括公司合作的第三方和第四方，都适用供应链风险和安全问题。Crossley认为，SoT或许有助于了解与“上游”供应商相关的风险，而上游供应商通常并未纳入供应商评估流程。

她表示：“如果SoT能够成为广为使用的通用模型，只要企业能要求供应商将之映射到其上游供应商，我们就可以更为快速地搞清这些上游供应商的情况。”

MITRE的开源计划

Martin表示，SoT成为供应链评估首选标准的主要挑战是要有足够的带宽来扩展项目，同时还要加以宣传，避免重复劳动。“我担心有人没注意到这个项目，还在试图解决一些有交集的问题。我们会确保大家都注意到SoT并为之贡献。”

MITRE计划在RMM完全成熟时将之作为开源工具提供。至于目前，Martin表示，企业和机构可以使用这款工具，帮助MITRE充实工具本身；也可以自己内部使用。“他们可以离线使用，对照SoT做评估。”

---

参考阅读
MITRE：内部威胁知识库
命名对软件供应链安全的影响
MITRE ATT&CK框架角色的转变
MITRE发布网络韧性系统可视化设计工具CREF Navigator

原文始发于微信公众号（数世咨询）：MITRE推出供应链安全原型