工業(yè)軟件供應(yīng)鏈安全風(fēng)險分析及對策建議

樊佳訊，楊佳寧

（國家工業(yè)信息安全發(fā)展研究中心，北京 100040）

0 引言

供應(yīng)鏈?zhǔn)窃O(shè)計(jì)、制造和分銷產(chǎn)品所需的資源生態(tài)系統(tǒng)的組合，在網(wǎng)絡(luò)安全領(lǐng)域，供應(yīng)鏈包括硬件和軟件、云或本地存儲和分發(fā)機(jī)制。軟件供應(yīng)鏈安全作為供應(yīng)鏈管理的一個重要組成部分，涵蓋產(chǎn)品在開發(fā)、交付、驗(yàn)收、使用和維護(hù)整個生命周期內(nèi)的安全。近年來，受復(fù)雜的國際形勢和新冠疫情等因素影響，工業(yè)軟件供應(yīng)鏈安全形勢日益嚴(yán)峻，安全事件層出不窮，給企業(yè)的安全生產(chǎn)甚至是國家的穩(wěn)定運(yùn)轉(zhuǎn)造成了嚴(yán)重的威脅，工業(yè)軟件的供應(yīng)鏈安全得到廣泛關(guān)注。

1 國內(nèi)外工業(yè)軟件供應(yīng)鏈安全現(xiàn)狀

安全事件頻發(fā)、上游漏洞威脅給工業(yè)軟件供應(yīng)鏈安全帶來嚴(yán)峻挑戰(zhàn)，對此政府、研究機(jī)構(gòu)和企業(yè)在政策標(biāo)準(zhǔn)和安全技術(shù)方面加大了投入以應(yīng)對面臨的安全危機(jī)。

1.1 安全事件頻發(fā)

工控系統(tǒng)相關(guān)產(chǎn)品的構(gòu)成日益復(fù)雜，一件產(chǎn)品的配件可能來自不同的國家和廠商，一套復(fù)雜軟件系統(tǒng)可能由不同地方的人員共同設(shè)計(jì)完成[1]，供應(yīng)鏈成為工業(yè)軟件網(wǎng)絡(luò)安全的重要風(fēng)險點(diǎn)。

近年來，IT、OT供應(yīng)鏈安全事件頻頻發(fā)生，如2020年12月，SolarWinds 旗下的Orion基礎(chǔ)設(shè)施管理平臺的發(fā)布環(huán)境遭到黑客組織入侵，黑客對源碼進(jìn)行篡改添加了后門代碼，該文件具有合法數(shù)字簽名會伴隨軟件更新下發(fā)，從而形成供應(yīng)鏈攻擊，本次供應(yīng)鏈攻擊事件，波及范圍極廣，包括政府部門，關(guān)鍵基礎(chǔ)設(shè)施以及多家全球500強(qiáng)企業(yè)，有關(guān)部門預(yù)估此次事件造成的影響尤為巨大；2021年4月，軟件審計(jì)公司Codecov的產(chǎn)品代碼爆出供應(yīng)鏈攻擊，導(dǎo)致該公司數(shù)百個客戶的網(wǎng)絡(luò)遭遇非法訪問，涉及許多大型科技品牌，例如IBM、Google、GoDaddy和HP，以及媒體發(fā)行商《華盛頓郵報》和知名消費(fèi)品公司（寶潔）；2021年7月，REvil勒索軟件利用Kaseya VSA遠(yuǎn)程IT管理軟件的自動更新機(jī)制發(fā)起大規(guī)模供應(yīng)鏈攻擊，影響多家托管服務(wù)提供商（MSP）及其客戶；2021年8月，一名黑客入侵了暖通空調(diào)（HVAC）供應(yīng)商ENE Systems，并遠(yuǎn)程訪問了包括波士頓兒童醫(yī)院在內(nèi)的客戶OT系統(tǒng)，引發(fā)社會擔(dān)憂。

此外，2021年7月，ENISA發(fā)布報告《供應(yīng)鏈攻擊的威脅態(tài)勢》，該報告分析了最近的24次攻擊，結(jié)果顯示，即使組織采取良好的防御措施，也仍容易受到供應(yīng)鏈攻擊。攻擊者正將目標(biāo)對準(zhǔn)供應(yīng)商，以探索滲透組織的潛在路徑，這些類型的攻擊正變得越來越普遍。

1.2 上游漏洞威脅

網(wǎng)絡(luò)威脅參與者利用漏洞威脅工業(yè)軟件供應(yīng)鏈安全，通過運(yùn)用攻擊策略和技術(shù)挖掘供應(yīng)商漏洞，在上游防御者進(jìn)行修復(fù)之前展開攻擊，將其惡意活動及其后果向下游傳播給眾多用戶。

2021年8月，臺灣物聯(lián)網(wǎng)（IoT）供應(yīng)商ThroughTek開發(fā)的軟件協(xié)議中發(fā)現(xiàn)了漏洞，黑客可能會利用該漏洞攔截嬰兒監(jiān)視器和網(wǎng)絡(luò)攝像頭等設(shè)備上的音頻和視頻數(shù)據(jù)，該協(xié)議已集成到設(shè)備制造商和經(jīng)銷商中，其客戶包括中國電子巨頭小米，其他品牌（如相機(jī)供應(yīng)商Wyze）生產(chǎn)的8300萬臺設(shè)備正在運(yùn)行其軟件，受影響范圍難以確定。

2 0 2 1年6 月，臺灣工業(yè)網(wǎng)絡(luò)解決方案提供商Korenix Technology生產(chǎn)的固件產(chǎn)品存在安全漏洞，此漏洞允許對目標(biāo)設(shè)備具有網(wǎng)絡(luò)訪問權(quán)限的攻擊者可以對其配置進(jìn)行未經(jīng)授權(quán)的更改，使其進(jìn)入DoS狀態(tài)，并獲取敏感信息，從而利用這些漏洞來完全控制設(shè)備。多家廠商的工業(yè)交換機(jī)受到這些漏洞的影響，受影響的設(shè)備用于重工業(yè)、運(yùn)輸、自動化、電力和能源、監(jiān)控和其他部門。安全研究人員稱，這些交換機(jī)用于網(wǎng)絡(luò)中的關(guān)鍵位置，攻擊者可以利用這些漏洞切斷與附加系統(tǒng)的網(wǎng)絡(luò)連接，導(dǎo)致用戶網(wǎng)絡(luò)面臨巨大隱患。

2021年8月，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）發(fā)布安全警報指出，黑莓公司（BlackBerry）設(shè)計(jì)的QNX實(shí)時操作系統(tǒng)存在重大網(wǎng)絡(luò)安全漏洞BadAlloc。成功利用該漏洞可能造成拒絕服務(wù)條件或在受影響的設(shè)備上執(zhí)行任意代碼，導(dǎo)致黑客獲取高度機(jī)密系統(tǒng)的權(quán)限。受影響的黑莓QNX實(shí)時操作系統(tǒng)廣泛應(yīng)用于近2億輛汽車以及數(shù)千臺工業(yè)控制設(shè)備、醫(yī)療工具等。其中，使用該軟件的車企包括本田、奔馳、大眾、寶馬、福特、通用等主流汽車制造商，其眾多關(guān)鍵功能均使用了這個軟件，包括高級駕駛輔助系統(tǒng)等。

1.3 政策標(biāo)準(zhǔn)出臺

事關(guān)國家安全與行業(yè)發(fā)展，軟件供應(yīng)鏈安全如今正在隨著大國網(wǎng)絡(luò)空間博弈的加劇日益受到重視，各國政府、企業(yè)和學(xué)術(shù)界都對這一問題給予了高注，并出臺有關(guān)措施與倡議。

2021年3月，新加坡通信和信息部（MCI）發(fā)布高級國務(wù)部長Janil Puthucheary博士的講話，概述了關(guān)鍵信息基礎(chǔ)設(shè)施（CII）供應(yīng)鏈計(jì)劃的發(fā)展，旨在協(xié)助利益相關(guān)者管理供應(yīng)商網(wǎng)絡(luò)安全風(fēng)險以及網(wǎng)絡(luò)安全措施。

2021年4月，中國《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》在國務(wù)院第133次常務(wù)會議上通過，旨在建立專門保護(hù)制度，明確各方責(zé)任，提出保障促進(jìn)措施，保障關(guān)鍵信息基礎(chǔ)設(shè)施安全及維護(hù)網(wǎng)絡(luò)安全，條例第十九條明確：“運(yùn)營者應(yīng)當(dāng)優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)；采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的，應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查”，為我國供應(yīng)鏈安全保駕護(hù)航。

2021年4月，CISA和美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）發(fā)布了《防御軟件供應(yīng)鏈攻擊》報告，提供了有關(guān)使用NIST的網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險管理（C-SCRM）框架和安全軟件開發(fā)框架（SSDF）來識別、評估和降低風(fēng)險的指南，旨在當(dāng)網(wǎng)絡(luò)威脅參與者滲透到軟件供應(yīng)商的網(wǎng)絡(luò)并在供應(yīng)商將其發(fā)送給客戶之前使用惡意代碼來破壞軟件時，幫助軟件供應(yīng)商和客戶抵御這些攻擊。

2021年5月，英國政府就如何部署軟件防御供應(yīng)鏈攻擊以及如何在全國范圍內(nèi)增強(qiáng)IT托管服務(wù)提供商（MSP）提出計(jì)劃，旨在保護(hù)越來越依賴于網(wǎng)絡(luò)攻擊技術(shù)的企業(yè)和組織，并加強(qiáng)數(shù)字供應(yīng)鏈的安全性。

2021年8月，拜登政府召開科技、銀行業(yè)、保險業(yè)和基礎(chǔ)設(shè)施的高管會議后，公布了供應(yīng)鏈和關(guān)鍵礎(chǔ)設(shè)施領(lǐng)域的安全舉措，旨在建立更安全的國家技術(shù)供應(yīng)鏈。圍繞供應(yīng)鏈安全，NIST、科技公司和保險公司計(jì)劃加強(qiáng)合作，開發(fā)指導(dǎo)公私機(jī)構(gòu)如何構(gòu)建安全技術(shù)和評估技術(shù)安全性的指南，其中包括開源軟件。

1.4 安全技術(shù)發(fā)展

軟件供應(yīng)鏈攻擊帶來了前所未有的高風(fēng)險，由于新型攻擊方式的出現(xiàn)，公眾對威脅的認(rèn)識不斷提高，監(jiān)管機(jī)構(gòu)也加強(qiáng)了監(jiān)管力度，國家、企業(yè)和研究機(jī)構(gòu)開始在安全技術(shù)上發(fā)力。

2021年3月，據(jù)Secrss網(wǎng)站報道，美國網(wǎng)絡(luò)安全、能源安全和應(yīng)急響應(yīng)辦公室的CyTRICS項(xiàng)目初步具備了運(yùn)營能力。CyTRICS網(wǎng)絡(luò)漏洞測試支持跨多個能源部倡議的供應(yīng)鏈安全需求，在確定優(yōu)先級的方法、標(biāo)準(zhǔn)化的測試過程、標(biāo)準(zhǔn)化的報告和存儲庫，以及與供應(yīng)商深度合作等四個方面做出創(chuàng)新。

2021年6月，據(jù)ZDnet網(wǎng)站報道，為了應(yīng)對軟件供應(yīng)鏈不斷增長的攻擊威脅，谷歌提出了軟件產(chǎn)品供應(yīng)鏈級別框架（SLSA，Supply chain Levels for Software Artifacts）。SLSA旨在鎖定軟件構(gòu)建鏈中的所有內(nèi)容，從開發(fā)人員到源代碼、構(gòu)建平臺和CI/CD系統(tǒng)、包存儲庫和依賴項(xiàng)，從而改善行業(yè)狀況，特別是開源，以抵御最緊迫的完整性威脅。

2021年7月，據(jù)ZDNet網(wǎng)站報道，GitHub 提高了Go模塊的供應(yīng)鏈安全性，GitHub宣布了一系列基于Go編程語言的模塊的供應(yīng)鏈安全升級。Go模塊于2019年推出，旨在改進(jìn)依賴項(xiàng)管理，現(xiàn)在是該平臺上最流行的編程語言之一，調(diào)查顯示76%的受訪者表示Go現(xiàn)在以某種形式在企業(yè)中使用。GitHub稱在Go模塊四個主要的供應(yīng)鏈安全領(lǐng)域進(jìn)行了改進(jìn)，包括咨詢數(shù)據(jù)庫，依賴關(guān)系圖，Dependabot警報和Dependabot安全更新。

2 國內(nèi)工業(yè)軟件供應(yīng)鏈威脅來源分析及對策建議

2.1 風(fēng)險來源分析

縱觀近些年來發(fā)生的網(wǎng)絡(luò)安全事件，結(jié)合軟件供應(yīng)鏈的流程特性，工業(yè)軟件供應(yīng)鏈面臨的風(fēng)險主要包括，一是攻擊者利用軟件供應(yīng)鏈漏洞，在攻擊目標(biāo)與其軟件供應(yīng)商和業(yè)務(wù)合作伙伴之間的信任環(huán)節(jié)所做的攻擊，如SolarWinds、Codecov攻擊；二是利用開源生態(tài)系統(tǒng)設(shè)計(jì)漏洞的依賴項(xiàng)混淆攻擊；三是利用供應(yīng)關(guān)系，從供應(yīng)商處竊取客戶信息，從而入侵系統(tǒng)或進(jìn)行勒索，如HVAC攻擊。

因此，不難看出工業(yè)軟件供應(yīng)鏈的內(nèi)部風(fēng)險來源主要是，一是產(chǎn)品源代碼存在漏洞；二是開源生態(tài)設(shè)計(jì)缺陷；三是供應(yīng)商信息系統(tǒng)漏洞，造成數(shù)據(jù)泄露。

其中開源代碼的安全問題亟需得到重視，據(jù)奇安信發(fā)布的《2021中國軟件供應(yīng)鏈安全分析報告》，通過對國內(nèi)自主開發(fā)的軟件項(xiàng)目源代碼進(jìn)行檢測發(fā)現(xiàn)，每1000行代碼就有超過10個安全缺陷，超8成項(xiàng)目存在高危開源軟件漏洞。

此外，從外部風(fēng)險來看，一是全球化發(fā)展進(jìn)程導(dǎo)致系統(tǒng)構(gòu)成復(fù)雜，拓展了攻擊面。二是攻擊者逐漸將低成本、高回報的供應(yīng)連攻擊作為重點(diǎn)，根據(jù)歐盟信息安全機(jī)構(gòu)ENISA在《供應(yīng)鏈攻擊的威脅格局》報告中的分析，2021年的供應(yīng)鏈攻擊將比2020年增加4倍。三是攻擊者在攻擊技術(shù)方面不斷精進(jìn)，出現(xiàn)了如依賴關(guān)系混淆等新型攻擊手段。

2.2 對策建議

工業(yè)軟件供應(yīng)鏈已經(jīng)成為世界網(wǎng)絡(luò)安全的焦點(diǎn)，直接影響國家關(guān)鍵基礎(chǔ)設(shè)施和工業(yè)企業(yè)生產(chǎn)安全，國家、機(jī)構(gòu)、企業(yè)和用戶亟需采取相應(yīng)的措施，以提升我國在工業(yè)軟件供應(yīng)鏈方面的風(fēng)險發(fā)現(xiàn)能力、安全分析能力和應(yīng)急處置能力，全面提升我國工業(yè)領(lǐng)域網(wǎng)絡(luò)安全技術(shù)保障水平，為推進(jìn)制造強(qiáng)國和網(wǎng)絡(luò)強(qiáng)國建設(shè)保駕護(hù)航。

國家層面，建議政府相關(guān)部門與技術(shù)機(jī)構(gòu)合作，一是制定針對工業(yè)軟件供應(yīng)鏈安全審查的具體政策，設(shè)置安全審查的具體流程和評判指標(biāo)，要求供應(yīng)商產(chǎn)品在進(jìn)入市場，特別是國家關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域前，通過安全審查；二是建立國家級風(fēng)險預(yù)警、漏洞通報平臺，借助平臺力量及時將安全風(fēng)險通報到具體企業(yè)，防范惡意攻擊。

研究機(jī)構(gòu)方面，建議專家、學(xué)者針對供應(yīng)鏈安全加大資金投入，與工業(yè)軟件開發(fā)企業(yè)、工業(yè)軟件用戶一同，從實(shí)際情況出發(fā)，發(fā)展切實(shí)可行、可靠的保障工業(yè)軟件供應(yīng)鏈安全的技術(shù)，在提高工業(yè)軟件供應(yīng)鏈安全方面做出創(chuàng)新。

工業(yè)軟件開發(fā)企業(yè)方面，首先應(yīng)提高開源代碼安全意識，充分評估所用開源代碼的安全性，同時加大自主創(chuàng)新投入，提高代碼自主水平；其次，要充分評估開源代碼知識產(chǎn)權(quán)的法律風(fēng)險，避免許可證糾紛和斷供問題[2]；另外，作為掌握大量客戶信息的供應(yīng)商，工業(yè)軟件開發(fā)企業(yè)應(yīng)該做好自身信息系統(tǒng)安全防護(hù)，防止數(shù)據(jù)泄露事件給用戶帶來安全威脅。

工業(yè)軟件用戶方面，企業(yè)用戶首先應(yīng)該加強(qiáng)對供應(yīng)商產(chǎn)品的安全審查，確保產(chǎn)品來源的可靠性；并且應(yīng)及時關(guān)注廠商發(fā)布的更新信息，及時更新，避免更新不及時導(dǎo)致漏洞利用帶來風(fēng)險；使用風(fēng)險預(yù)警系統(tǒng)，監(jiān)控應(yīng)用場景的安全態(tài)勢，對攻擊行為及時有效的響應(yīng)。

3 結(jié)語

本文闡述了供應(yīng)鏈的含義，從安全事件、漏洞威脅、政策標(biāo)準(zhǔn)、安全技術(shù)四個角度分別介紹了工業(yè)軟件供應(yīng)鏈的安全現(xiàn)狀，并針對國內(nèi)工業(yè)軟件供應(yīng)鏈面臨的威脅來源進(jìn)行了分析，最后給出了相應(yīng)的對策建議，為加強(qiáng)我國供應(yīng)鏈安全提供了參考。