信息來(lái)源：安全內(nèi)參

近日，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)聯(lián)合發(fā)布了網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理(C-SCRM)框架和安全軟件開發(fā)框架(SSDF)指南項(xiàng)目，這一指南遵循拜登于去年 5 月發(fā)布的“改善國(guó)家網(wǎng)絡(luò)安全 (14028) ”行政命令，要求政府機(jī)構(gòu)采取措施“提高軟件供應(yīng)鏈的安全性和完整性，優(yōu)先解決關(guān)鍵軟件問題。”

這份指南概述了企業(yè)在識(shí)別、評(píng)估和應(yīng)對(duì)供應(yīng)鏈不同階段的風(fēng)險(xiǎn)時(shí)應(yīng)采用的主要安全控制措施和做法，以幫助組織識(shí)別、評(píng)估和應(yīng)對(duì)整個(gè)供應(yīng)鏈中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，同時(shí)還分享了與供應(yīng)鏈攻擊相關(guān)的趨勢(shì)和最佳實(shí)踐。

近年來(lái)，供應(yīng)鏈中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)已經(jīng)成為首要問題，在包括Solar Winds等幾起大規(guī)模的供應(yīng)鏈攻擊事件中，針對(duì)廣泛使用的軟件的攻擊浪潮同時(shí)破壞了數(shù)十家下游供應(yīng)商。

根據(jù)歐盟網(wǎng)絡(luò)安全局 (ENISA)的供應(yīng)鏈攻擊威脅態(tài)勢(shì)，在 2020 年 1 月至 2021 年初記錄的 24 次攻擊中，有 62% 是“利用客戶對(duì)其供應(yīng)商的信任”。

該份指南提到，供應(yīng)鏈攻擊的最常見技術(shù)，分別是：

· 劫持更新

· 破壞代碼簽名

· 破壞開源代碼

在某些情況下，攻擊可能會(huì)混合使用上述技術(shù)來(lái)提高其效率。這些攻擊大多數(shù)歸因于資源豐富的攻擊者和APT團(tuán)體，它們具有很高的技術(shù)能力。

報(bào)告指出：“軟件供應(yīng)鏈攻擊通常需要強(qiáng)大的技術(shù)才能和長(zhǎng)期投入，因此通常很難執(zhí)行?？偟膩?lái)說(shuō)，高級(jí)持續(xù)威脅(APT)參與者更有可能、同時(shí)有意愿和能力來(lái)進(jìn)行可能危害國(guó)家安全的高度技術(shù)性和長(zhǎng)期性的軟件供應(yīng)鏈攻擊活動(dòng)。”

“該指南幫助組織將網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)考慮因素和要求納入其采購(gòu)流程，并強(qiáng)調(diào)監(jiān)控風(fēng)險(xiǎn)的重要性。由于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可能出現(xiàn)在生命周期中的任何階段或供應(yīng)鏈中的任何環(huán)節(jié)，因此該指南現(xiàn)在考慮了潛在的漏洞，例如產(chǎn)品中的代碼來(lái)源或攜帶該產(chǎn)品的零售商，”NIST 指出。

修訂后的指南主要針對(duì)產(chǎn)品、軟件和服務(wù)的收購(gòu)方和最終用戶，并為不同的受眾提供建議，包括負(fù)責(zé)企業(yè)風(fēng)險(xiǎn)管理、收購(gòu)和采購(gòu)、信息安全/網(wǎng)絡(luò)安全/隱私、系統(tǒng)開發(fā)/工程/實(shí)施的領(lǐng)導(dǎo)和人員等等，內(nèi)容涉及組織如何預(yù)防供應(yīng)鏈攻擊以及在使用此技術(shù)交付惡意軟件或易受攻擊的軟件的情況下如何緩解這些攻擊。