大咖訪談|一文解讀ICT供應鏈安全

大咖訪談|一文解讀ICT供應鏈安全

隨著資訊通訊技術(ICT)產品和服務在各重點行業應用的深入,其全球化特點帶來的安全事件時有發生,ICT供應鏈安全管理成為各行業和國家關注的焦點。

並且,世界各國和ICT行業已普遍意識到,相較傳統行業,ICT行業供應鏈更加複雜,存在安全風險的機率更大,加強ICT供應鏈的安全風險管理刻不容緩。

因此本次訪談就ICT供應鏈安全邀請到任老師與大家進行分享。

大咖訪談|一文解讀ICT供應鏈安全

任博倫

OWASP

中國陝西區域負責人,

常年從事甲方資訊保安防禦及體系建設,

擅長IoT安全、移動安全、web安全等。

啪仔:

ICT

供應鏈安全被如此重視,有什麼重要的戰略意義?

任老

師:

首先我們需要了解什麼是ICT供應鏈,才能知道它有什麼戰略意義。ICT供應鏈指的是ICT產品和服務的供應鏈,是指為滿足供應關係透過資源和過程將需方,供方互相連線的網鏈結構,可用於將ICT的產品和服務提供給需方。如一個禁用攝像頭要想正常使用,首先涉及攝像頭硬體本身、其次是移動終端,再者是雲端後臺的管理,在這三者之間還有互聯的通訊協議,包括軟硬體設施,都是ICT供應鏈安全的一部分。它的涵蓋面非常廣,在安全層面來說,軟硬體是涉及面越廣,安全風險點越多。

近年來ICT供應鏈安全已經滲入到人們的生活當中,家中配置的智慧硬體越來越多,同時這方面的安全事件又頻頻發生。最典型的硬體供應鏈事件之一——菊廠晶片斷供事件,該事件的影響導致菊廠從早期的全球第一銷量變成現在的others,甚至掉出排行榜,此事給了國人非常大的警示。還有近期的軟體供應鏈事件——全球最著名的網路安全管理軟體供應商SolarWinds遭遇國家級APT團伙高度複雜的供應鏈攻擊並植入木馬後門,導致包括美國關鍵基礎設施、軍隊、政府在內的18000多家企業客戶全部受到影響,成為年度最嚴重的供應鏈安全事件。

上述事件都是比較典型的供應鏈安全問題,由此可見ICT供應鏈安全已經逐漸上升到國家安全層面。在當下經濟全球化時代,供應鏈有四大特點,分別是全球分佈性、全生命週期、產品服務複雜和供應商多樣性,其中全生命週期十分複雜,涵蓋了設計與開發階段、傳統供應階段和服務運維階段。而國家關鍵基礎設施建設是高度依賴ICT的,因此ICT供應鏈風險安全直接影響到國防經濟甚至國家安全。

事關國家安全與行業發展,在全球各國都對ICT供應鏈安全給予了很高的戰略定位。

啪仔:

目前國內ICT供應鏈安全管理現狀是什麼樣的,與國際上有什麼差距嗎?

任老師:

美髮達國家在ICT供應鏈領域起步較早,而國內最早的是2019年釋出的《資訊保安技術—ICT供應鏈安全風險管理指南》,該標準制定計劃由2012年開始,本人也有參與到其中一小部分。

除了這個標準,還有等保2。0,包括《網路安全審查辦法》裡涉及到的對基礎設施供應鏈安全的指導,且在9月1日釋出的《關鍵資訊基礎設施安全保護條例》中,也專門針對ICT供應鏈安全做了特別的強調和管理。

但是從實際實力來看,美國是在ICT供應鏈安全領域的先行者,早在2012年就已經是在基於全球供應鏈安全,上升到國家戰略層面來進行該領域的部署和規劃的。除此之外,歐美髮達國家也是很早就已經重視起供應鏈安全。起步晚,快步趕。雖說起步比較晚,但國內目前也已經逐步形成了一些相關的標準、管理辦法,甚至是在網安法中都會涉及到ICT供應鏈安全的管理規範。

在ICT供應鏈安全領域,國內外差距一方面來自國家標準,管理辦法的制定,在這方面目前我們是在穩步前進的;另一方面是我們國家的關鍵基礎設施較為落後,自主可控的安全保障能力不足,在上端的技術包括軟硬體都還需要依託國外的供應商,因此是與國外存在較大的差距的。

啪仔:

針對國內的發展現狀,有什麼對策或者建議?

任老師

基於國內ICT領域的基本國情,首先從政府層面,可以釋出國家政策法規和建立制度體系;其次從行業層面,第一我們需要重視自研,透過自己的努力,讓我們不會在關鍵節點再被國外供應商卡住脖子。比如企業使用開源技術的基礎設施的軟體,在引用時可以進行一定程度的魔改,一定程度防止對家瞭解並對你的軟體供應鏈進行攻擊。第二是制定相關標準,提升ICT供應鏈安全的監管性,形成行業聯盟,共同努力,不要再關注於內部競爭,而是要把目標放於整個行業的大進步;再者是個人層面,要有能力去掌控自己的產品研發能力。可以從這三個層面來促進國內ICT供應鏈安全的發展。

啪仔:ICT供應鏈安全面臨的風險來源有哪些,應該如何應對?

任老師:

風險非常多,這次主要分享四個較為重點的風險。

第一個是硬體供應鏈和軟體供應鏈,硬體供應鏈安全設計ICT硬體採購、設計、製造等一系列過程,從硬體出發,駭客可能從晶片層、電路板層、韌體層發動攻擊,其風險來源於ICT硬體供應鏈系統與外部環境發生資源交換,以及在與供應鏈成員進行協調與合作過程中,存在著各種內部不確定性和外部不確定性的風險因素;軟體供應鏈攻擊成本小、門檻低、危害廣,也已逐步成為 ICT供應鏈安全的重要威脅,無論何時,只要供應鏈參與者能接觸最終的軟體程式碼或系統,危及軟體供應鏈安全的風險都是存在的。應對這一風險點,可採用分散供應商來分散風險。

第二個是供應鏈斷供的風險,如上文講到的斷供事件,產品在交付給終端使用者的過程中,會涉及多種參與產構成的角色,包括產品的製造商、供應商、系統整合商、服務提供商等,在這期間任一主體都可能製造漏洞、利用存在的漏洞造成ICT產品的不安全,或是供應商都來自單一的國家地區,若供應鏈上游的廠商資源斷供,都會導致ICT供應鏈斷供等安全風險對平臺產生巨大的影響。對於這一風險,我們可以採取督促供應商營造安全的供應環境的方法來應對。

第四是資訊洩露,近些年的資訊洩露導致的資料安全在全球都有很多的影響範圍,例如2018年Facebook巨大的資料隱私洩露影響了數百萬Facebook使用者,該事件原由並非Facebook本身,而是它這管理供應商上的問題,導致此次洩露。因此這種資訊洩露或者第三方資訊洩露也是一大風險點。所以要對第三方的服務和供應商做一個嚴格的標準,並且核心的敏感資料儘量不要開放給第三方供應商,對核心資料進行較嚴格的保護。

啪仔:

CIT供應鏈安全管理的未來趨勢是什麼樣的?

任老師:

重點在於兩個字:可信。不論從宏觀政策角度或是從行業企業角度來看,最重要的都是——可信。整個供應鏈上的各個角色是否可信,不要因為政治、企業競爭或是其他因素來影響自己對自己供應商的信任。破除固有的僵化思維同時強調互聯互通而非人為割裂,提升安全的可信度,而非像現在一樣盲目地敵視和焦慮。

啪仔:

可以與大家分享一些您從業經歷中遇到過的ICT供應鏈安全管理的典型案例嗎?

任老師:

分享一個硬體供應鏈和一個軟體供應鏈的案例。

第一個例子是硬體方面的,就取我的某次任職經歷中一個事件,我們在上市一個攝像頭,在上線成本測試的過程中,發現了他的wifi晶片存在嚴重的安全漏洞,當時整個wifi模組才剛開始運作,修復需要耗時很長、並且會耗費巨大的資金,但是由於產品對我們比較重要,所以還是要求供應商做了整個wifi模組的計劃,其中的成本損失大概在上百萬。

第二個例子就是軟體方面的,是一個軟體供應商的資訊洩露問題。很多公司,包括一些大廠,可能他們的核心的系統安全係數較高,但是某些外包的系統中,就是由供應商提供的一些資訊系統是沒有做到很好的保護的。比如我曾遇見過,在得到授權的,並且也沒有洩露資訊的前提下,測試一個硬碟,在其中發現某個大廠的招聘系統。由於這個大廠的招聘系統是第三方供應商提供的,並且這個供應商的同一個模板提供給了很多公司使用,因此我們攻擊他們的系統發現他們的漏洞,就可以輕易攻克到它的招聘資訊,不僅可以透過招聘系統進入大廠內部,還可以透過這個系統查到了其公司較為敏感的人員簡歷資訊,因此這個漏洞對於公司來說會有一個非常嚴重的打擊。

ICT供應鏈安全是一個複雜、多維度的問題,隨著大國博弈日益激烈,先進技術產業競爭態勢加劇,我國各重點行業在供應鏈重視程度及安全管理都需要得到重視,並且要持續完善ICT供應鏈安全風險評估機制和手段。