美國網絡安全和數字組件供應鏈深度評估
責編:gltian |2022-08-19 14:08:48導 語
2021年2月24日,拜登總統發布了關于美國供應鏈的第14017號行政命令,指示能源部長提交關于能源部門工業基礎的供應鏈戰略概述報告。美國能源部(DOE)將能源行業劃分為能源和相關供應鏈,包括直接和間接參與能源行業的所有行業、公司以及相關利益群體,涵蓋采掘業、制造業、能源轉換和運輸業、生產終止和垃圾管理業以及服務業,包括數字商品和服務提供商。
隨著能源部門變得越來越全球化、復雜化、數字化甚至虛擬化,其能源系統中數字組件(軟件、虛擬平臺和服務以及數據)的供應鏈風險也在演變和擴大,由于數字組件的脆弱性,很可能會受到各種威脅、漏洞帶來的網絡供應風險的影響。因此對供應鏈風險進行深度評估,從而對保護能源以及其他部門具有重要意義。本文為大家介紹了美國能源部門對供應鏈風險的定義,以及具體產生的風險種類與影響。
美國網絡供應鏈風險
在網絡安全風險管理領域,風險通常被定義為風險=威脅×脆弱性×后果。網絡風險管理的目標是增強應對威脅的抵抗能力,以及解決當漏洞被利用時可能產生的潛在后果,從而將風險降低到可接受的水平。當風險定義等式應用于網絡供應鏈風險管理時,該等式提供了有關組織可以采取哪些步驟來緩解此類風險的見解。
NIST將網絡風險定義為:“由于用于通過電子手段引入制造系統的信息和/或操作功能的數字技術的故障,以及制造系統的未經授權訪問、使用、披露、中斷、修改或破壞,導致財務損失、運營中斷或損壞的風險。[1]”
我們重點介紹與能源部門系統中數字組件相關的網絡供應鏈威脅和漏洞的主要類型。此處描述的威脅和漏洞通常是一些長期、復雜且往往難以解決的問題。雖然主要側重于能源部門,并在適當情況下強調與OT(操作技術)和工業控制系統(ICS)相關的問題,[2]這些網絡供應鏈問題也是信息和通信技術(ICT)系統和所有數字化關鍵基礎設施系統中高度關注的問題。一般來說,能源部門系統中數字組件的供應鏈風險與ICT的風險一致,ESIB(能源部門和工業基礎)中的所有利益相關者都使用著某種形式的ICT。其次,能源部門系統面臨著一些特殊的網絡供應鏈風險,這些風險與OT和ICS中的數字組件相關。最后,能源部門系統面臨的網絡供應鏈風險還包括一些軟件相關,這些軟件連接在ICT和OT系統中以提高效率。IT和OT系統的這種融合正在不算增加。[3]總的來說,隨著這些系統日益互聯、數字化和遠程操作,能源部門系統中數字組件的供應鏈風險將繼續演變并可能增加。
國家安全風險
國家安全威脅對能源部門系統造成損害的風險正在增加。敵對國家越來越愿意利用網絡安全攻擊包括能源系統在內的關鍵基礎設施,作為加劇國家間緊張局勢的準備步驟。可以說,網絡攻擊被用作對手干擾美國關鍵基礎設施的手段,同時具有限制動態攻擊升級或報復的可能性。一些敵對國家將此類準備工作作為其公開的戰爭理論的一部分,至少有一個國家(俄羅斯)已證明對電網進行網絡攻擊是發動動能攻擊的前兆(在格魯吉亞和烏克蘭)。在2021年度威脅評估中,美國情報機構指出: “自2006年以來,俄羅斯一直將能源作為外交政策工具來脅迫合作,迫使各國坐到談判桌上。例如,在莫斯科和基輔發生價格爭端后,俄羅斯于2009年切斷了向烏克蘭的天然氣供應,包括過境天然氣,影響了歐洲部分地區13天。俄羅斯還利用其在民用核反應堆建設方面的能力作為其外交政策的軟實力工具。[4]”
對手經常利用網絡供應鏈漏洞實現一系列潛在影響,包括網絡間諜、組織破壞或其他影響[5]。網絡供應鏈漏洞可以在IT或OT軟件開發時引入(通過損害制造商的網絡),也可以通過安裝后的系統更新引入,例如軟件補丁(通過損害資產所有者的系統),以獲得并保持對關鍵基礎設施系統的持久訪問。在能源部門系統中,創造對系統產生網絡影響的能力(例如,使系統離線)通常涉及成功利用商業IT網絡中的網絡供應鏈漏洞獲得進入,隨后,如果IT和OT網絡沒有正確地相互分割,則系統內部的橫向移動到操作技術網絡中,在該網絡中存在干擾工業控制系統的能力。
犯罪活動風險
網絡犯罪者損壞或破壞能源系統設備的風險正在增加。從歷史上看,能源部門系統并沒有成為網絡犯罪行為體的一個有吸引力的目標,因為相對于其他目標,資產所有者通常不擁有大量可供竊取的貨幣化信息。然而,勒索軟件對能源部門系統來說是一種更為有害的威脅,因為它可以拒絕或降低系統可用性,而能源部門系統的最高要求是持續可用性。網絡犯罪者明白,能源系統可用性的優先級之高將使系統所有者更有可能快速支付費用以恢復服務,而不是等待數天、數周或數月的停機時間來從備份中恢復。一家商業網絡威脅分析公司2022年1月的一份報告發現,2021年針對目標系統工具軟件的網絡攻擊的第三季度中20%為勒索軟件攻擊,而系統工具軟件已經是除供應鏈漏洞之外第二個最易受攻擊的關鍵基礎部門[6]。
勒索軟件通常作為初始感染媒介,通過網絡釣魚活動通過電子郵件引入受害者網絡。然而,“太陽風獵戶座”平臺在2020年12月公開宣布的止損方案中表明,可以通過在常規軟件修補周期中插入惡意代碼來破壞軟件供應鏈,從而引入勒索軟件。勒索軟件攻擊的易實施性和快速獲得回報的能力意味著這些類型的攻擊將繼續成為能源部門的一個問題。
對外國供應商的依賴
能源部門系統中的網絡組件在日益分散和動態的數字供應鏈中全球采購。IT和OT系統的軟件在國外越來越發達,在這些國家,有熟練勞動力庫,互聯網連接可用,工資較低很常見。網絡供應風險源于與這種依賴低成本外國軟件供應商相關的情況,這些軟件可能由外國對手擁有或控制的人員設計、開發、制造、維護或供應,或受外國對手的管轄或指示。
在這些情況下,軟件和固件可以由不受信任的個人開發,他們可能插入惡意代碼,由于這些系統的大小和復雜性,很難檢測到惡意代碼。此外,軟件、固件和數據集可以在敵對國家開發,這些國家在穿越其領土的網絡上無處不在地收集所有數字信息,這為插入合法代碼或以其他方式干擾在其境內開發的軟件或損害數據集的完整性創造了機會
同樣,托管在某些敵對國家的數據中心中的虛擬平臺和服務也會受到相同類型的收集和干擾。太陽風獵戶座平臺的妥協是最近最嚴重的一個例子,它表明任何軟件維護供應鏈都容易受到戰略性、資源充足的民族國家的運營操縱。
網絡組件的不透明供應鏈
在能源部門系統中操作數字和非數字組件的軟件和固件代碼龐大且高度復雜,由數十萬行代碼和數千個子例程組成。
在現代系統開發中,軟件代碼是由來自各種原始和間接源的舊代碼的一部分組裝而成的,這些原始和間接源具有不同的質量和完整性保證水平。因此,很難跟蹤軟件和數字組件中所有代碼的出處和來源,以通過確保代碼來源可靠來說明和管理供應鏈泄露的風險
為了節省時間,幾乎所有開發人員都會定期共享和重用代碼庫和通用子例程(統稱為開源軟件)。開源軟件是與源代碼一起公開發布的軟件,可供重用和修改。開源軟件的使用正在快速增長。最近的一項研究發現,截至2020年,商業應用程序平均包含528個開源組件,比過去5年增加了259%[7]。
雖然開源軟件由于其方便性和效率而越來越普遍,但從網絡安全的角度來看,它越來越受到關注。開源軟件經常沒有明確的出處,并且經常沒有得到一致的維護(例如,有安全更新),從而產生網絡供應鏈風險。正如2022年白宮軟件安全會議所指出的那樣[8],開源軟件由于其使用的廣泛性以及安全更新和維護的自愿性質,具有獨特的安全挑戰。此外,網絡對手積極使用開源代碼庫將合法代碼分發給毫無戒心的軟件開發人員;最近大量的例子表明對手利用了這種漏洞[9]。
高速變化的技術市場
技術公司,包括為能源部門系統開發數字組件的公司,存在于一個高度動態的全球市場中,其特點是高度的并購活動。隨著新技術創新者的出現,他們往往被大公司收購。更成熟的技術業務部門買賣頻繁。
收購技術公司通常會導致數字組件重新品牌化和集成到更大的產品套件中,從而模糊了這些子組件的來源。并購活動可能會導致外國所有權和控制權的快速變化,這些變化很難確定,更不用說跟蹤,而敵對國家往往積極尋求混淆外國所有權和控制權。控制一家技術公司通常意味著訪問所有源代碼、敏感的當前和歷史客戶數據,并繼續訪問客戶系統進行維護。
對手公司積極增加了對具有戰略重要性的技術公司的采購和投資[10]。除其他外,《2018年外國投資風險審查現代化法案》(FIRRMA)[11](公法115-232)擴大了美國外國投資委員會(CFIUS)的權限,以審查涉及外國投資到具有關鍵技術的美國企業的交易。在FIRRMA的同時,國會通過了《出口管制改革法案》,該法案除其他外,創建了一個識別新興和基礎技術的過程,這些技術應添加到現有的美國出口管制中。
集中式網絡的風險
關鍵基礎設施系統,包括能源部門系統,經常依賴于數量有限的具有戰略重要性的軟件組件。雖然在支持能源部門系統的軟件、固件和虛擬平臺中沒有一個故障點,但有許多無處不在的網絡組件的例子,如果這些組件共同受損,可能會對能源部門系統產生巨大影響。
這種依賴性一直是軟件供應鏈攻擊的戰略目標,最著名的是“太陽風獵戶座”平臺的止損案(2020年12月)[12],俄羅斯對外情報局(SVR)[13]就針對了其中一個用途極其廣泛的模糊管理軟件組件。最近許多的軟件供應鏈攻擊[14],包括對Codecov的Bash上傳程序的高調公開的網絡攻擊(2021年1月)[15],Kaseya Limited的VSA軟件(2021年7月)[16],和Apache的Log4j軟件庫(2021年12月)[17],都采取了類似的方法。換言之,最近的軟件供應鏈攻擊試圖識別具有高戰略價值的軟件和虛擬平臺,以作為妥協的目標。軟件的一些屬性和高戰略價值包括:廣泛使用或在高比例的系統中存在;作為其正常操作的一部分,訪問網絡憑據;運行在應用層之下,對網絡管理員不太可見;而且經常性地長時間不打補丁。
許多內部關鍵基礎設施系統和組件依賴于某種形式的服務(即遠程或直接升級、補丁等),這一事實增加了這些組件的攻擊面。
分散和分歧的監督
能源部門系統的數字供應鏈沒有整體定義或框架。這些數字供應鏈的分散性和復雜性導致了對相互依存的網絡安全風險進行優先排序和管理的零散方法。
第14017號行政命令“美國供應鏈”指示能源部長提交一份關于能源部門工業基地供應鏈的報告(由能源部長決定)。雖然國土安全部的網絡安全和基礎設施安全局(CISA)在其關鍵基礎設施部門分類中發布了“能源部門”的描述[18],但“能源部門工業基地”尚未正式定義。
在操作層面上,ESIB既廣泛又多樣。ESIB供應鏈的數字部分來自幾個關鍵的基礎設施部門(定義見總統政策指令-21)[19]。這些相互依存的部門包括信息技術、通信、運輸系統和關鍵制造業。每個部門都有不同的聯邦部門風險管理機構[20]和圍繞網絡安全和物理風險的衍生組織結構。
支持ESIB的數字供應鏈的某些部分,如散裝電力系統和管道的某些方面,受到監管;許多人并非如此。如果存在監管和監督,則由多個聯邦部門和機構以及州、地方、部落和地區各級政府以不同的方式提供。ESIB數字供應鏈適用多種安全標準制度和準則,存在差距和重疊。沒有全面的方法來確定風險、投資或權衡的優先級。
與此同時,能源部門系統中的數字組件正日益相互關聯成為復雜和相互依存的系統。ESIB組成部分之間的互連通常基于有意識或無意識地假設的、未經驗證的信任。因此,來自未緩解、零碎監督的剩余供應鏈風險會在站點、系統(例如,IT和OT)和資產所有者之間轉移。
參考文獻
[1] https://csrc.nist .gov/glossary/term/cyber_risk
[2] https://csrc.nist .gov/glossary/term/industrial _control_ system
[3] https://www.dni.gov/files/NCSC/documents /news /20180724-economic-espionage-pub.pdf
[4] https://www.dni.gov/files/ODNI/documents/assessments/ATA-2021-Unclassified-Report.pdf
[5] https://www.dni.gov/files/NCSC/documents/news/20180724-economic-espionage-pub.pdf
[6] https://www.trellix .com/en-us/threat-center/threat-reports/jan-2022.html
[7] https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html?cmp=pr-sig
[8] https://www.whitehouse.gov/briefing-room/statements-releases /2022/01/13/readout-of-white-house-meeting-on-software-security/
[9] https://arstechnica.com/information-technology/2021/12/malicious-packages-sneaked-into-npm-repository-stole-discord-tokens/
[10] 有關2020年美國外國投資委員會年度報告的統計數據,請參見:https: //home.treasury.gov/system/files/206/CFIUS-Summary-Data-2008-2020.pdf
[11] https://home.treasury.gov/sites/default/files/2018-08/The-Foreign-Investment-Risk-Review-Modernization-Act-of-2018-FIRRMA_0.pdf
[12] https://www.cisa.gov/uscert/ncas/alerts/aa20-352a
[13] https://www.whitehouse.gov/briefing-room/statements-releases/2021/04/15/fact-sheet-imposing-costs-for-harmful-foreign-activities-by-the-russian-government/
[14] 有關2006年發生的重大網絡事件列表,參見:https://csis-website-prod.s3.amazonaws.com/s3fspublic/220203_Significant_Cyber_Incidents.pdf?6nUHMBGT7zrGtFIeHU4gGdjD7dXFObfO
[15] https://www.cisa.gov/uscert/ncas/current-activity/2021/04/30/codecov-releases-new-detections-supply-chain-compromise
[16] https://www.cisa.gov/uscert/kaseya-ransomware-attack
[17] https://www.cisa.gov/uscert/ncas/alerts/aa21-356a
[18] https://www.cisa.gov/energy-sector
[19] https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/presidential-policy-directive-critical-infrastructure-security-and-resil
[20] 根據PPD-21和2021財年《國防授權法案》第9002節
作者:中國科學院信息工程研究所 潘泊凡
責編:高琪
來源:中國保密協會科學技術分會