近日,美国网络安全和基础设施安全局(CISA)和美国国家标准技术研究院(NIST)联合发布了网络供应链风险管理(C-SCRM)框架和安全软件开发框架(SSDF)指南项目,这一指南遵循拜登于去年 5 月发布的“改善国家网络安全 (14028) ”行政命令,要求政府机构采取措施“提高软件供应链的安全性和完整性,优先解决关键软件问题。”
这份指南概述了企业在识别、评估和应对供应链不同阶段的风险时应采用的主要安全控制措施和做法,以帮助组织识别、评估和应对整个供应链中的网络安全风险,同时还分享了与供应链攻击相关的趋势和最佳实践。
近年来,供应链中的网络安全风险已经成为首要问题,在包括Solar Winds等几起大规的供应链攻击事件中,针对广泛使用的软件的攻击浪潮同时破坏了数十家下游供应商。
根据欧盟网络安全局 (ENISA)的供应链攻击威胁态势,在 2020 年 1 月至 2021 年初记录的 24 次攻击中,有 62% 是“利用客户对其供应商的信任”。
该份指南提到,供应链攻击的最常见技术,分别是:
· 劫持更新
· 破坏代码签名
· 破坏开源代码
在某些情况下,攻击可能会混合使用上述技术来提高其效率。这些攻击大多数归因于资源丰富的攻击者和APT团体,它们具有很高的技术能力。
报告指出:“软件供应链攻击通常需要强大的技术才能和长期投入,因此通常很难执行。总的来说,高级持续威胁(APT)参与者更有可能、同时有意愿和能力来进行可能危害国家安全的高度技术性和长期性的软件供应链攻击活动。”
“该指南帮助组织将网络安全供应链风险考虑因素和要求纳入其采购流程,并强调监控风险的重要性。由于网络安全风险可能出现在生命周期中的任何阶段或供应链中的任何环节,因此该指南现在考虑了潜在的漏洞,例如产品中的代码来源或携带该产品的零售商,”NIST 指出。
修订后的指南主要针对产品、软件和服务的收购方和最终用户,并为不同的受众提供建议,包括负责企业风险管理、收购和采购、信息安全/网络安全/隐私、系统开发/工程/实施的领导和人员等等,内容涉及组织如何预防供应链攻击以及在使用此技术交付恶意软件或易受攻击的软件的情况下如何缓解这些攻击。
指南原文地址:https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161r1.pdf