诸子笔会 | 肖文棣:供应链安全的思考
自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。
供应链安全的思考
文 | 肖文棣
肖文棣
晨星资讯(深圳)有限公司
安全架构师
缘起
2020年12月13日,FireEye发布了关于Solarwinds供应链攻击的通告。该事件波及范围极大,超过250家美国联邦机构和企业受到影响。这个事件将供应链安全带入了大家的视线,引发全球关注。
当有人可以通过访问系统和数据的外部合作伙伴或供应商的方式渗透到系统时,这就意味着发生供应链攻击,供应链攻击也称为价值链攻击或第三方攻击。
根据BlueVoyant最新发布的报告,过去一年,供应链风险陡增,全球大约93%的大中型企业组织由于供应链的漏洞而遭受直接破坏,特别是SolarWinds漏洞和勒索软件攻击等活动,更加凸显了企业组织面临的供应链攻击风险。
BlueVoyant对规模超过1000名员工的全球公司负责供应链和网络风险管理的1200名IT和采购负责人进行调查。调查显示,过去12个月,企业的平均违规次数从2020年的2.7次增加到2021年的3.7次,同比增长37%。
供应链攻击风险在增加,那么我们的应对方法是什么呢?SANS 研究所在最近一份关于供应链安全成功模式的报告指出了保证供应链安全的五个关键点:
1、设置供应链安全代表
SANS报告指出,公司的安全管理链条中必需有一个负责供应链决策的代表,这个代表可以是董事会成员、首席执行官、首席运营官、首席信息官或采购主管。安全代表需要 CISO 或安全经理与管理层建立信任,然后相互合作,而不是发生问题时互相指责和推诿。
2、了解自己的所有供应商
SANS报告解释说,任何成功的安全计划的基础都始于资产管理、漏洞评估和配置控制。供应链安全中的等价物是投资组合管理。这意味着发现所有供应链合作伙伴——从一级合作伙伴到扩展的供应商网络——并定期评估漏洞以及风险。
3、扩展多种供应链风险评估方法
SANS报告警告说,一刀切的风险评估方法不适用于大多数企业,可能需要多种技术——从快速的检视到详细、深入的评估——来支持业务需求并实现对风险级别的更持续监控。供应链安全计划需要提供分层评估以支持业务需求。
4、将安全仪表盘和安全报告发送给业务部门负责人和IT部门负责人
SANS报告建议使用供应链安全流程和工具为业务部门负责人和IT部门负责人等非安全人员提供对当前安全风险的可见性,并使各个负责人能够将风险信息纳入其决策中,应将安全系统集成到任何现有流程中,以对供应商和合作伙伴的财务或生存风险进行评级。
供应链安全问题不仅仅是IT 问题,而是一个重大的业务挑战,需要整个企业的利益相关者共同参与。
5、供应商质量控制形成闭环
SANS报告解释说,制造商很久以前就了解到,仅仅淘汰低质量的供应商并不是成功的质量控制计划的处方,必须“形成闭环”——提供反馈以鼓励所有供应商采用更高质量的流程。有效的供应链安全计划必须包括对供应商的反馈以及对评估和评级结果的可见性,以修复未解决的问题并推动整体改进。
如果能够根据SANS报告的要求实施上述五点关键要求,应该对提升供应链安全是很有帮助的。但对于供应链安全是不是就足够呢?
延伸
供应链安全现在已经超脱了企业的层面,已经引起国家层面的关注,并且立法保障。强化供应链安全保障工作,保护关键信息基础设施安全,已经成为了国家任务。
2021年8月17日,《关键信息基础设施安全保护条例》(以下简称《条例》)公布,标志着国家对关键信息基础设施保护工作的制度设计已经完成,关键信息基础设施保护工作进入新阶段。
保障关键信息基础设施安全的一个很重要方面是确保关键信息基础设施使用的网络产品和服务的供应链安全。
供应链安全的风险有四个方面的内容:
网络产品和服务自身安全风险,以及被非法控制、干扰和中断运行的风险;
网络产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;
网络产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;
网络产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险。
党中央和国务院高度重视关键信息基础设施的供应链安全,习近平总书记曾经指出“供应链的‘命门’掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击”。
《条例》第十九条明确“运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。”
为了保证供应链安全,国家提出了四个方面的要求:
1、网络安全审查制度。
2020年4月13日,国家网信办等12部委联合发布《网络安全审查办法》(以下简称《审查办法》),第一条即明确,该办法的制定是为了确保关键信息基础设施供应链安全。
要求“运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查”;明确审查范围是“核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务”;指出运营者应当申报网络安全审查,而没有申报或者使用网络安全审查未通过的产品和服务,根据《网络安全法》第六十五条规定,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款(与《条例》第四十一条一致)。
2、云计算服务安全评估制度。
2019年7月2日,国家网信办、发展改革委、工信部、财政部等4部委联合制定了《云计算服务安全评估办法》(以下简称《云评估办法》)。
通过《云评估办法》的实施,客观评价、严格监督云平台的安全性和可控性,特别提出了要重点评估“云平台技术、产品和服务供应链安全情况”。
通过云计算服务安全评估的实施,提高关键信息基础设施领域云计算服务准入门槛,为关键信息基础设施运营者把关。
此外,云计算服务安全评估工作机制办公室还通过抽查等方式,对通过评估的云平台进行持续监督,确保云平台在安全控制措施有效性、应急响应、风险处置等方面持续符合要求。
3、网络关键设备和网络安全专用产品安全检测认证。
2017年6月1日,国家网信办、工信部、公安部、国家认监委联合发布公告,制定了《网络关键设备和网络安全专用产品目录(第一批)》,明确了应进行安全认证或检测的15类网络关键设备和网络安全专用产品,要求这些设备和产品按照国家标准的强制性要求,安全认证合格或安全检测符合要求后方可销售或提供。
这项工作对关键信息基础设施使用的重要设备和产品提出了强制性的合规要求,为关键信息基础设施产品提供基础保障。
4、加强关键信息基础设施供应链安全管理和督促检查。
《条例》第十九条明确“运营者应当优先采购安全可信的网络产品和服务”。
国家网信办牵头,会同工信部、国资委以及有关保护工作部门持续开展中央部门和关键信息基础设施运营者供应链安全督促检查工作,了解各单位供应链安全管理情况,重点检查运营者优先采购安全可信的网络产品和服务方面的组织保障、制度建设和执行情况,提高运营者对供应链安全管理的重视程度,促进运营者加快开展供应链安全风险评估,严格按照国家有关要求开展重要网络产品和服务的采购、部署、使用和维护,降低供应链安全风险。
启示
安全源于信任,供应链安全就是突破了信任边界,所以零信任可能是一个很好的思路,但也不是银弹,供应链安全要着眼于全局,牵一发而动全身。
当前,在网络产品和服务采购全球化的态势下,供应链安全与国家安全间的关系愈发密切。某些强国将切断网络产品和服务供应链作为其维护技术领先地位、实施贸易制裁的重要手段,近年来不断针对我国高科技企业发起单边制裁与措施,不仅使我国网络产品和服务企业的供应链安全受到威胁,还将威胁我国关键信息基础设施的安全与自主控制权,进而影响我国的政治、经济和社会安全。
所以供应链安全不仅仅是软件安全这个小小的范畴,而可能关系着国计民生等头等大事,大家要慎之又慎,重中之重。
推荐阅读
诸子笔会 |11月征文合集《供应链安全》
蔚晨:金融机构供应链安全的分析方法和应对之道张永宏:从供应链安全看企业信息化系统风控刘志诚:从供应链到生态——情景化安全的创新与挑战杨文斌:从第三方引入开始思考供应链安全孙琦:企业视角下的软件供应链安全刘顺:软件开发过程中供应链安全的风险与治理王振东:供应链安全之人件风险赵锐:基于DevOps的软件供应链安全诸子笔会 |10月征文合集《安全周》
张永宏 王振东 赵锐 蔚晨
刘志诚 刘顺 肖文棣 季奖公布
诸子笔会 |9月征文合集《安全团队》
刘志诚 张永宏 刘顺 杨文斌 蔚晨
王振东 孙琦 肖文棣 赵锐 月奖公布
诸子笔会 |8月征文合集《数据安全》
赵锐 刘顺 刘志诚 杨文斌 张永宏蔚晨 王振东 孙琦 肖文棣 月奖公布
诸子笔会 | 7月征文合集《安全自动化》
张永宏 肖文棣 杨文斌 于闽东 孙琦 刘志诚 蔚晨 赵锐 季奖公布
诸子笔会 | 6月征文合集《安全数字化》
张永宏 刘志诚 孙琦 李磊 赵锐 于闽东肖文棣 顾伟 侯大鹏 蔚晨 杨文斌 月奖公布
齐心抗疫 与你同在