昨天刚刚写完对 GB/T 43698-2024 《网络安全技术 软件供应链安全要求》[1] 的解读,然后就是铺天盖地的 Windows 蓝屏导致外国大量关键基础设施停摆的新闻,国内也有企业被波及。
| 笔者: |
国际认证信息系统审计师(CISA) 软考系统分析师 软件工程硕士 |
罪魁祸首居然是这些 Windows 上安装的 CrowdStrike 安全软件。
在笔者观点,这妥妥的就是一次软件供应链安全事件。
CrowdStrike 发了个有缺陷的补丁,把 Windows 给干蓝屏了。表面上,CrowdStrike 是主要责任。
但是按软件供应链安全管理的要求,这些蓝屏的 Windows 所属企业(软件需方)的责任实际是比作为软件供方的 CrowdStrike 要大。
在 GB/T 43698-2024 标准的 6.3 软件供应链安全风险评估,即软件供应链安全风险评估对组织的要求,第a)项指出:
|
应按照 GB/T 36637-2018 中6.3风险评估流程,定期开展软件供应链安全风险评估,识别现有或预计产生的组织管理和供应活动管理相关的安全风险,重点关注以下安全风险: ...... 4)供应活动在软件中引入的安全风险破坏发行版本或升级补丁的完整性、安全性和合规性。 |
注:GB/T 36637-2018 [2]
就这一项就已经明确了,软件需方也即软件的用户,不能盲目直接采信软件供应商提供的软件,必须先进行风险评估的原则性要求。
又如在 GB/T 43698-2024 标准的 7.2.4 软件运维,即软件运维对需方要求,第d)项指出:
|
d)应将软件作为组织资产进行管理,保障软件安装、升级维护时从安全可控的渠道获取软件安装包、升级包、补丁包,并开展相应的可用性、安全性及完整性检测分析,在确保符合要求后进行软件安装、更新升级,并同步更新相关配置。 ...... j)应依据实际业务场景的业务连续性和灾难恢复计划,制定可接受的恢复时间和恢复目标,并确定防范供应中断和服务中断等风险的安全策略。 |
很显然,这次蓝屏的企业组织都没有对 CrowdStrike 的补丁进行 CIA 三性检测分析,更没有制定切实的业务连续性和灾难恢复计划,及时恢复运行。
虽然外国的企业不需要遵循中国的标准要求,但国际标准 ISO/IEC 27001:2022 [3] 里面,也有明确的 Patch Management Policy,对补丁要 identify, prioritise, test, deploy and monitor 的。
更不用说业务连续性计划(BCP)和灾难恢复计划(DRP)这两个是属于IT治理的基本要求。
所以,如果这些企业组织还声称自己严格对标执行 ISO 27001,COBIT[4],ITIL[5] 什么的,可信性真是要打个大折扣。
在更为读者所熟知的等级保护标准 GB/T 20269-2006 《信息安全技术 信息系统安全管理要求》[6] 里面就已经明确地有补丁检测的要求,位于第5章,5.5.6.3 条,安全机制整合要求:
|
对安全机制整合的要求,主要包括: ...... ——脆弱性管理:进行补丁库管理和补丁检测与分发;实现对网络中主机系统和网络设备安全脆弱性信息的收集和管理,通过远程和本地脆弱性评估工具及时收集和分析网络中各个系统的最新安全风险动态; |
最后提醒各位读者,可以看看自己所在企业组织的网络安全管理制度里面有没有明确补丁管理的要求:
1、需要先进行验证通过然后才能分发部署到生产环境?
2、操作规程有没有定义补丁验证的规范过程?
3、以及有没有对补丁的验证和分发部署保留操作记录?
4、应用补丁前有无先进行备份?
5、是否只考虑了操作系统补丁,没有同时兼顾其它类别软件的补丁?
6、网络安全审计管理员有无定期审计操作记录?
最后:是否没有这些制度规程和记录,都照样能通过等保测评?
参考引用:
[1] GB/T 43698-2024 《网络安全技术 软件供应链安全要求》
https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=94FEB278E715BD48566C48804F1A56EC
[2] GB/T 36637-2018 《信息安全技术 ICT供应链安全风险管理指南》
https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=8C81D84FB9FF253645FEE8AE17EC0F53
[3] ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements
https://www.iso.org/standard/27001
[4] COBIT® 2019 Framework (Control Objectives For Information and Related Technology)
https://www.isaca.org/resources/cobit
[5] ITIL 4 (IT Infrastructure Library)
https://www.axelos.com/certifications/itil-service-management/what-is-itil/
[6] GB/T 20269-2006 《信息安全技术 信息系统安全管理要求》
https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=797127310413D5E64517E951AA2CFCDF
点赞和转发都是免费的↓
还可以看看这些内容:
原文始发于微信公众号(wavecn):软件供应链安全应敲响警钟:从CrowdStrike搞蓝了Windows所思
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论