一、概述
供应链“作为ICT/OT 依赖于由公共和私营部门实体(例如,收单方、供应商、开发商、系统集成商、外部系统服务提供商和其他 ICT/OT 相关服务提供商)组成的分布全球、相互关联的供应链生态系统。”[1]在全球经济体制下成为不可或缺的一个环节。随着近年来针对供应链攻击的事件层出不穷,使得供应链安全问题成为网络安全的一个新的焦点。
美国NIST(美国国家标准与技术研究所)率先针对供应链攻击问题开展了一系列研究并发布相关标准,本文通过笔者在一次针对制造业业务安全咨询活动中针对供应链安全问题所建立的风险识别及对策活动中的实践结合NIST系列标准总结的非跨行业供应链安全保护思想进行研讨。
二、场景分析
制造业作为一个严重依赖供应链活动的组织,由于其自身的网络安全意识及保护能力不足,缺乏网络安全专业知识,使得传统制造业在网络安全的对抗能力严重不足,尤其是在理解供应链安全的问题上缺乏跨部门及系统工程化的理解,尤其是在跨IT/OT领域中尤为薄弱,本文从其中一个业务链入手进行分析。如图1:
图1-一个简化的制造业业务链流程
本业务链从结构上声明以下步骤:
-
原厂商将需要加工产品的源代码通过预先协商的邮件服务器发送给制造工厂
-
制造工厂相关人员获得源代码后对源代码进行功能验证后进行编译
-
完成编译后的代码将交由生产工艺部门制作母片
-
母片制作完成进行功能测试后开始进入批量生产环节
-
完成生产后产品经过功能性验证(质量检测)交回采购方或根据协议实施分销活动
从本流程中我们可以发现,实际上在整个工艺环节中我们涉及到采购方、邮件服务提供商、软件工具提供商(测试工具、编译工具)、产品提供商(主机、服务器、制造设备)、人员(采购方人员、生产方IT人员、测试/编译人员、工艺部门人员、生产人员、检测人员、销售人员、原材料采购人员)
结合上述因素,我们重点讨论IT/ICT供应链问题,于是可以产生如下供应链关系图:
图2 供应链关系图
注:限于篇幅,本文仅阐述相关组织供应链及2级供应链中“适合用途”[2]场景
图3 供应链关系图
我们可以将供应商关系进行分类,如下表描述:
表1 供应商分级关系表
|
核心供应商 |
不可替代,具有唯一性,一旦停止提供服务/供应,将导致组织彻底中断生产和服务。 |
|
关键供应商 |
至少有一家供应商可替代,一旦停止提供服务/供应,将导致组织产生中断生产/服务,虽然可以寻求替代,但替代后会导致生产/服务在品质上存在明显差距。 |
|
重要供应商 |
有一家以上供应商可替代,一旦停止提供服务/供应,将导致组织产生主要生产/服务中断,可以寻求替代,但替代后短期内会产生生产/服务在品质上存在差距。 |
|
一般供应商 |
广泛的市场可替代性,一旦停止提供服务/供应,可能会导致组织生产/服务短时中断。 |
针对以上场景我们进行供应链风险的讨论。
三、供应链风险识别
网络安全供应链风险在美国NIST SP 800-161 R2中被定义为“网络安全供应链风险信息包括但不限于描述或识别以下信息的信息: (1) 涵盖物品的功能,包括访问数据和信息系统权限; (2) 有关使用涵盖物品的用户环境的信息或安装; (3) 来源按预期生产和交付涵盖物品的能力(即供应链保证); (4) 外国控制或影响来源(例如外国所有权、个人和职业关系、来源与任何外国实体之间、来源总部或开展业务所在的任何外国的法律制度); (5) 对国家安全、国土安全和/或与使用涵盖来源相关的国家关键职能的影响; (6) 联邦系统、计划或设施的脆弱性; (7) 涵盖来源的市场替代品; (8) 由可能的损失、损坏或暴露造成的潜在影响或伤害组织运营或使命的产品、材料或服务;(9) 潜在影响或伤害的可能性,或系统的可利用性; (10) 涵盖物品及其供应和编译链的安全性、真实性和完整性; (11) 降低已识别风险的能力; (12) 对其他供应链风险信息的可信度和信心; (13) 任何其他可能影响安全性、完整性、弹性、质量、可信度或真实性分析的信息涵盖的文章或来源;(14) 上述信息的摘要,包括: 1(低)到 5(高)级别的威胁级别摘要;以及 1(低)到 5(高)级别的漏洞级别摘要规模;以及,被确定为与确定供应链风险相关的任何其他信息。”
我们从上述场景中拆分每一个环节对业务链下的供应链风险执行分析和研究。
-
3.1厂商
对于制造组织而言,厂商是制造组织的主供应链,我们可以称之为核心供应商,没有厂商提供的源代码,制造组织不可能生产出符合采购方需求的产品,因此,该供应链为不可替代组织。厂商的下游供应链对厂商而言我们称之为厂商供应链。
从制造组织视角分析:厂商的供应链对制造组织为二级供应链,因此,传统供应链安全而言,二级供应链之后的供应商关系其实是透明的,如果供应组织未声明其自身的供应链关系时,我们无法更多的探知其风险状况;但由于厂商为核心供应链,制造组织需要更多的通过降低风险的方式处置风险。
从厂商视角分析:制造组织的供应链为厂商的二级供应链,而制造组织可能属于可替代供应组织,因此,制造组织的供应风险可以通过规避风险方式建立处置;
本文仅从制造组织角度分析厂商风险;
保密性:对于制造组织而言,厂商发送的源代码保密性并不会影响制造组织的生产及其他风险,保密性会导致厂商自身的知识产权保护及商业秘密问题;因此,对于制造组织需要针对已获取的源代码的保密性建立保护,履行合同及相关立法要求。
完整性:源代码完整性破坏常见的供应链攻击包括下表:
表2-基于威胁模型的供应链完整性风险分析简表
|
威胁源 |
威胁动机 |
威胁能力 |
威胁手段 |
|
内部不良人员 |
泄愤 经济诱惑 |
强 |
篡改 植入 替换 |
|
外部不良人员 |
经济诱惑 泄愤 不正当竞争 |
中 |
篡改 植入 替换 |
|
软件供应链 |
技术缺陷 不良工作行为 开发工具缺陷 恶意的开发人员 |
强 |
不良的代码 后门 |
可用性:软件可用性应在交付制造组织时进行验证,因此,软件可用性本身带来的影响及后果与制造组织基于合同要约不产生直接影响,可接受
-
3.2邮件服务提供商
如图3所示,邮件服务提供商作为厂商和制造组织共同的供应链环节,由于其具有可替代性,虽然其承载业务的重要环节,但仍然可以将其列入重要供应链环节。
同样,由于邮件服务提供商的供应链对用户是透明的,并且在协议约定中并无对邮件服务提供商供应商的要约关系和明示规则,因此,此处暂不讨论与其供应链相关的关联风险。
从保密性而言,由于邮件服务提供商产生的技术、管理、人员等诸多因素的影响,一旦邮件内容发生泄露,会对关联组织产生影响,其中影响最大的为厂商,故此处作为接受邮件的制造组织接受该风险;
从完整性而言,其安全特性及影响等同于厂商完整性要求,此状态下风险为高,组织不可接受;
从可用性而言,由于邮件系统不可用可能导致制造组织不能及时接受软件包,导致生产延时,造成合同违约责任或其他相关的直接经济损失,因此,该风险对于制造组织而言不可接受,风险为高。
-
3.3制造组织
对于制造组织而言,一旦接受软件包完成,在其整个内部环节跨部门活动过程我们可以将其理解为一个内部供应链关系,其风险结构如图:
图4 组织内部供应关系图
由于制造组织不可能生产所有组件或者完成所有技术操作,故此关系图中有可能在每个环节包含新的供应关系,比如:劳务外包、代工、代购、第三方监督审核等等环节。上述问题不在本文中讨论
保密性:由于内部供应链除涉及获得厂商源代码保密性保护要求之外,更多的关注组织在整个工艺流程中产生的知识产权和商业秘密保护需求,在形成内部供应链活动中,是否会产出泄露,需要组织经过有效的风险评估活动进行分析和度量,一旦产生保密性暴露,对组织不可接受,但不会构成直接的生产影响,风险级别为中;
完整性:制造组织任何环境下完整性都可能构成对整个生产环节的影响,当完整性会破坏可用性时,对组织为不可接受,故此风险级别为高;
可用性:业务持续性是制造业组织的命脉,一旦可用性遭到破坏,组织将完全陷入黑暗,因此可能触发可用性破坏
四、对策
4.1 针对厂商:
通过前述风险场景分析,作为制造组织针对厂商建立对策:
-
必须验证所有来自厂商的带附件的邮件,例如:要求软件包通过邮件发送时必须使用HASH验证,并通过第三方手段发送HASH码;
-
厂商应指派专人或专有途径与制造组织建立联系和消息发送;
-
重要邮件必须加密,双方可预先协商密钥并定期更换或者通过第三方通道传递密钥;
-
厂商应能对自己的供应商建立有效识别与管理,并将涉及制造组织的供应商安全问题形成合同约定。
-
邮件服务提供商
邮件服务提供商作为厂商和制造组织的共用供应链,从制造组织视角而言,需要关注如下问题:
-
在与邮件服务提供商的合约中声明对邮件保密性、完整性与可用性保障的条款;
-
组织第2方审核定期将涉及本公司邮件服务的内容进行审计
-
关注邮件服务提供商所使用的技术,一旦获悉该技术存在漏洞或攻击案例时应及时做好邮件服务器可能被攻击的对策;
-
选择替代供应商,一旦原邮件服务提供商发生服务中断,可以及时更换邮件服务组织,维持组织的可持续性运行;
-
制造组织
制造组织面临来自内部和外部的供应链关系,在整个供应链体系中,制造组织需要:
-
建立跨越组织各部门的供应链风险管理机制,将所有部门纳入组织供应链风险管理活动;
-
识别组织内、外部供应商,并为供应商建立供应商分级;在有能力的情况下,需要关注核心供应商的关键子供应商;
-
在整个生命周期中融入供应链风险文化,针对获取/采购的产品建立完整性和可用性验证活动;
-
定期开展供应链风险评估,并通过行业案例作为经验和教训进行总结;
-
跨知识的供应链风险的识别能力,比如:经济、环境、地缘政治、国家局势等可能影响供应关系发生变化的非IT化因素;
-
通过有效的技术手段对软件包及工艺流程中涉及软件包形态变更的每个环节建立完整性和可用性验证,并确保其能够可靠执行其预定义的工作;
-
定期执行人员审核,降低内部人员因素构成的供应链风险,包括但不限于组织自身及服务商人员的培训与教育;
-
融入SDLC的思想,将软件安全开发控制及软件变更管理活动与SDLC相互融合,构成良好的软件控制活动。
供应链关系是一个复杂的关系状态,笔者基于美国NIST SP 800-161 R2所描述的供应商关系进行改进(参见图5),我们可以发现在交错复杂的供应商关系中,很难形成有效的识别,因此,对于整个供应链风险管理而言,通过有效的手段建立供应链风险治理将是供应链管理的首要工作,识别供应链,建立供应链分级机制,通过风险评估跨领域的识别风险,输出风险处理结果并运用与供应链风险管理活动,最终当供应链产生风险时,组织能够形成有效的对策实施控制。
图5 复杂化网络供应链关系简图
表3列出美国NIST SP 800-181 R2所提供的供应链风险暴露框架分析表,可以作为组织评估供应链风险的参考模型。
表3 美国NIST SP 800-181 R2供应链风险暴露框架分析表
|
威胁情景 |
威胁源 |
|
脆弱性 |
|
|
威胁事件描述 |
|
|
威胁事件结果 |
|
|
受影响的企业单位/流程 |
|
|
风险 |
影响 |
|
可能性 |
|
|
风险评分(影响 x 可能性) |
|
|
缓解 |
可接受的风险水平 |
|
潜在的缓解策略/C-SCRM 控制 |
|
|
缓解策略的估计成本 |
|
|
可能性变化 影响变化 选择战略 |
|
|
估计残余风险 |
|
[1] NIST SP 800-161 R2 系统和组织的网络安全供应链风险管理实践
[2]适合用途用于非正式地描述能够满足其目标或服务级别的流程、配置项、IT服务等。为达到目的,需要适当的设计、实施、控制和维护
原文始发于微信公众号(老烦的草根安全观):从业务链分析轻量级供应链安全及对策
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论