信息來源:安全內(nèi)參
近日,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)聯(lián)合發(fā)布了網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理(C-SCRM)框架和安全軟件開發(fā)框架(SSDF)指南項(xiàng)目,這一指南遵循拜登于去年 5 月發(fā)布的“改善國家網(wǎng)絡(luò)安全 (14028) ”行政命令,要求政府機(jī)構(gòu)采取措施“提高軟件供應(yīng)鏈的安全性和完整性,優(yōu)先解決關(guān)鍵軟件問題?!?
這份指南概述了企業(yè)在識別、評估和應(yīng)對供應(yīng)鏈不同階段的風(fēng)險(xiǎn)時應(yīng)采用的主要安全控制措施和做法,以幫助組織識別、評估和應(yīng)對整個供應(yīng)鏈中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),同時還分享了與供應(yīng)鏈攻擊相關(guān)的趨勢和最佳實(shí)踐。
近年來,供應(yīng)鏈中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)已經(jīng)成為首要問題,在包括Solar Winds等幾起大規(guī)模的供應(yīng)鏈攻擊事件中,針對廣泛使用的軟件的攻擊浪潮同時破壞了數(shù)十家下游供應(yīng)商。
根據(jù)歐盟網(wǎng)絡(luò)安全局 (ENISA)的供應(yīng)鏈攻擊威脅態(tài)勢,在 2020 年 1 月至 2021 年初記錄的 24 次攻擊中,有 62% 是“利用客戶對其供應(yīng)商的信任”。
該份指南提到,供應(yīng)鏈攻擊的最常見技術(shù),分別是:
· 劫持更新
· 破壞代碼簽名
· 破壞開源代碼
在某些情況下,攻擊可能會混合使用上述技術(shù)來提高其效率。這些攻擊大多數(shù)歸因于資源豐富的攻擊者和APT團(tuán)體,它們具有很高的技術(shù)能力。
報(bào)告指出:“軟件供應(yīng)鏈攻擊通常需要強(qiáng)大的技術(shù)才能和長期投入,因此通常很難執(zhí)行??偟膩碚f,高級持續(xù)威脅(APT)參與者更有可能、同時有意愿和能力來進(jìn)行可能危害國家安全的高度技術(shù)性和長期性的軟件供應(yīng)鏈攻擊活動?!?
“該指南幫助組織將網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)考慮因素和要求納入其采購流程,并強(qiáng)調(diào)監(jiān)控風(fēng)險(xiǎn)的重要性。由于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可能出現(xiàn)在生命周期中的任何階段或供應(yīng)鏈中的任何環(huán)節(jié),因此該指南現(xiàn)在考慮了潛在的漏洞,例如產(chǎn)品中的代碼來源或攜帶該產(chǎn)品的零售商,”NIST 指出。
修訂后的指南主要針對產(chǎn)品、軟件和服務(wù)的收購方和最終用戶,并為不同的受眾提供建議,包括負(fù)責(zé)企業(yè)風(fēng)險(xiǎn)管理、收購和采購、信息安全/網(wǎng)絡(luò)安全/隱私、系統(tǒng)開發(fā)/工程/實(shí)施的領(lǐng)導(dǎo)和人員等等,內(nèi)容涉及組織如何預(yù)防供應(yīng)鏈攻擊以及在使用此技術(shù)交付惡意軟件或易受攻擊的軟件的情況下如何緩解這些攻擊。