聊聊供应链安全：实践

本文将介绍美国CISA在ICT供应链安全方面的国家级实践项目，以供各位参考。最后部分包括了本次疫情下，新成立的WG5研究和工作方向及实践成果。文中均为CISA官方实践案例，仅供参考，不代表本人观点。

聊聊供应链安全：政策与问题

聊聊供应链安全：建议与方法

ICT供应链风险管理组
2018年10月，网络安全和基础设施安全局(CISA)启动了ICT供应链风险管理工作组，这是一个公私合作伙伴关系，旨在就评估和管理ICT供应链相关风险的方法向CISA及其利益相关者提供建议。第二工作组(WG2，威胁评估)是为了确定基于威胁的ICT供应商、产品和服务评估的流程和标准而建立的。

工作组主要成员基本来自国土安全局（DHS）、总务管理局（GSA）、联邦通信委员会（FCC）、联邦调查局（FBI）、司法部（DOJ）、国防部（DoD）、NASA等，同时包括一些主流ICT企业，如Intel、AT&T、Sprint、HP、DELL、CenturyLink、Verizon、FireEye、Cisco、Microsoft等。

网络供应链风险管理(Cyber Supply Chain Risk Management，C-SCRM)是识别、评估、预防和缓解ICT(包括物联网)产品和服务供应链分布式和互联性相关风险的过程。C-SCRM涵盖ICT的全生命周期，包括硬件、软件和信息保障，以及传统的供应链管理和供应链安全考虑因素。

WG2侧重于威胁评估，而不是全面的考虑威胁以及组织对风险的容忍度、特定资产或业务目的关键性以及可能被外部利用的特定漏洞影响的风险评估任务，因为风险与资产相关(在特别工作组的定义中，风险与产品、服务、供应商有关)。工作组利用了NIST SP 800-161中描述的NIST风险管理实践，以帮助指导工作中确定的威胁和威胁源分析。

用于开发和分析与供应商相关的供应链管理威胁的步骤：

工作组成员要根据最初提出的范围确定有代表性的样本，这些样本针对供应商最严重的SCRM威胁。一旦确定威胁，WG就开始编写NIST SP 800-161中确定的附加信息字段，作为与WG成员一起捕获和改进的要素。

工作组随后审查了每一个确定的威胁，对组织确定的威胁拟制定一套通用分类和类别匹配。在对工作组提交威胁的介绍和分析基础上，将威胁聚合成一组更小、更易于管理的通用“威胁分组”，以此帮助评估过程。聚集的目的是减少威胁数据，并确定通用要素，以便使用场景开发流程进行进一步评估。

工作组成员共享分组和描述性标题以供审查和评论。这些威胁分组用于指导场景开发，旨在为进行供应商威胁评估的流程和标准提供深入了解。

对于每个类别，工作组将组建团队以报告格式编写一份描述/场景报告，其中包括威胁本身的背景信息、威胁的重要性以及对供应链的潜在影响。如果编写团队认为合适，可为每个类别开发多个场景。开发一种通用格式，以确保每个威胁场景都能提供与NIST SP 800-161中确定的信息字段要求一致的特定威胁的综合视图。

该过程和由此产生的描述不仅可以作为对特定SCRM威胁的基线评估，而且可以进一步作为NIST风险管理框架应用的示范指南。这个过程可以扩展到产品和服务评估，也可以复制到其他关键基础架构提供商。它还建立了一个可靠的威胁源评估，可以扩展到特定产品或服务，以推动SCRM风险的评估。

其他工作组主要职责：

WG1双向信息共享

WG3合格投标名单/合格制造商名单

WG4 供应商SCRM模板

WG5 疫情风险研究

目标
WG2——威胁评估，被特许为ICT供应、产品和服务基于威胁的评估过程和标准识别。威胁评估的目标定义为：

制定进行供应商、产品和服务威胁评估的流程和标准。

流程和标准最初将只关注全球ICT供应商的选择、历史和来源。它还将解决产品保障(硬件、软件、固件等)、数据安全和供应链风险。

该流程和标准将建立一个基于威胁的网络供应链风险评估框架，可在未来的工作产品中扩展，以应对其他关键基础设施部门。

范围
ICT C-SCRM工作组利用NIST对C-SCRM的定义，并根据《联邦采购供应链安全法》确定范围。

NIST定义：网络供应链风险管理(C-SCRM)是识别、评估和减轻ICT产品和服务供应链分配和互联性相关风险的过程。C-SCRM覆盖了ICT的整个生命周期：包括硬件、软件和信息保障，以及传统的供应链管理和供应链安全实践。

方法
关注供应商的威胁——数据收集过程

SCRM供应商产生威胁的过程，以及将这些威胁作为后续评估输入共享的过程。这些威胁只是具有代表性的，因此评估工作组可以继续执行NIST风险管理框架提出的威胁评估。

工作组考虑来自各种来源的C-SCRM威胁，包括国防部(DoD)、情报系统(IC)、国土安全部(DHS)和其他机构，以便为基于风险的标准开发提供信息。首次数据电话会议是WG成员要求提供从自己的经验或组织的角度认识到的供应链威胁。最初的目的是展开一张网，以获取大量的威胁输入样本进行分析。

每个提交的威胁都由WG成员提出，并将信息提供给一般成员。讨论使工作组能够处理每种威胁的额外细节，其目的是获得对所确定的具体威胁的一致理解。这个过程是重复的，并且对每个确定的威胁都进行记录。这组信息被编译到一个单独的数据存储库中，用于后边描述流程的数据分析阶段。

数据分析

工作组对收集的数据进行审查和分类，以便对公共和私营部门供应商威胁的现状进行了解。工作组对确定的威胁随后进行合并和分组，提供一套可管理和可共享的威胁分组，以进一步开发特定场景。这些威胁分组用于指导场景的开发，旨在为进行供应商威胁评估的流程和标准提供深入了解。

作为分析的一部分,工作组考虑现有业务尽职调查指标,如确定总务管理局(GSA)请求信息(RFI)、美国货币监理署(OCC)办公室第三方风险管理指导和业界最佳实践为库存办公产品的一部分（流程如上图所示）。

威胁场景开发

一旦工作组建立了供应链威胁类别，就会为每个类别组建团队。然后，每个小组以报告形式提供描述/场景，其中包括威胁本身的背景信息、威胁的重要性以及对供应链的潜在影响。如果团队认为有必要，为每个类别开发多个场景。每个场景还包括什么（与类别相关的威胁示例）、谁（谁可能是威胁的来源）、什么时间（袭击时间？拒绝服务还是0day？是持久的还是一次性的？）、为什么（目的是知识产权窃取还是网络破坏）、何地（特定的威胁活动在供应链的什么位置发生）？

有关威胁种类和威胁场景可以参考报告：

INFORMATION AND COMMUNICATIONS TECHNOLOGY SUPPLY CHAIN RISK MANAGEMENT TASK FORCE

CISA 信息与通信技术（ICT）供应链安全实践
美国关键基础设施依赖于美国国家标准与技术研究所（NIST）定义的(ICT)，用于获取、存储、检索、处理、显示、代表、描述、组织、管理、安全、传输和交换日常操作和功能的数据与信息。ICT供应链的设计、开发和生产、分发、获取和部署、维护和处置阶段，容易受到恶意或无意中引入的漏洞(如恶意软件和硬件)的影响、假冒组件、以及不当的产品设计、制造流程和维护程序。

利用ICT供应链漏洞可能导致：系统可靠性问题、数据盗取和操纵、恶意软件传播和网络内持续的未授权访问。为各级政府和行业的领导人提供关于如何将漏洞引入ICT供应链以及漏洞利用后果的见解。

设计阶段
在设计过程中引入的漏洞通常是无意的，可能会潜在地影响到组件的所有用户。恶意行为者可以将漏洞集成到可能安装在数百万台设备上的组件中。

设备劫持——2016年，一家外国公司设计的固件被一家美国手机制造商使用。这些手机对短信、通话记录、电话详细信息和联系信息进行加密记录，并每72小时将这些数据传输到外国服务器。

开发和生产阶段
在此阶段中引入的漏洞通常是无意的，如果在测试初始原型时没有识别出来，修复这些漏洞的成本可能会很高。设计良好的产品在制造和组装过程中可能仍会引入恶意组件，而这种方式可能难以识别。

感染交换机闪存卡——2012年，一家生产由美国公司设计的交换机的第三方工厂在生产过程中安装了受感染的紧凑型闪存卡。这家美国公司警告说，使用受感染的组件可能会危及系统，并有可能在网络中传播恶意软件。

分配阶段
在生产设施和客户之间运输的组件通常不属于负责其设计或生产人员的职权范围。在分发过程中引入的漏洞可能是恶意的，与早期阶段相比，影响的组件和客户数量有限。

终端用户设备恶意程序——2012年，美国一家大型软件公司调查盗版软件的研究人员发现，他们测试的设备中有20%预装了恶意软件。这些恶意软件被安装在新的台式机和笔记本电脑中，它们是从工厂运到经销商、运输商或转售商那里的。

获取和部署阶段
在获取或安装过程中，恶意的内部人员可能会植入漏洞或用易受攻击的组件替换设备。在此阶段引入的漏洞可能只影响有限数量的客户。