摘要
近期,NIST发布了《网络安全软件供应链安全管理实践》(Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations )。将美国政府自2019年供应链安全战略发布以来的优秀案例实践加以汇总,整理出了针对供应链安全管控的实现方法与操作路线图。与此同时,MITRE作为美国的官方智库部门,同步推出了自身的供应链安全系统可信技术框架——MITRE SoT™,框架内容在NIST发布的官方文档中占据了大比例篇幅,并作为官方主推的供应链安全管理架构在行业内进行推广。至此,美国政府在经历了漫长的摸底调研与资料整理过程后,终于有相关机构正式提出了供应链安全技术路线图与安全架构,对我国的供应链安全研究具有重要的借鉴意义。
01 MITRE SoT™建设目标
MITRE此次发布的SoT™,完整表述应为供应链安全可信系统技术框架,英文是Supply Chain Secruity(SCS)System of Trust (SoT) Framework,旨在提供一种战略性的、可广泛采用的、全面的、数据驱动的评估供应链安全风险的分析技术框架与评估平台。
MITRE将供应链可信评估的基础风险维度分为三个方向,供应商、供应品、服务。其下包含有12个涉及信任度的最高级决策性风险域,机构或企业在进行其收购活动的整个生命周期内必须对上下游进行评估并据此选择。SoT框架深入分析这12个最高级风险域,调查了多达76个风险子领域并对400多个详细问题进行研究。在最新的风险域划分中已将服务风险从原来的接触式服务/非接触式服务细化为4个风险子域。整体数量上升到14个(最新版为表1)。在2020年末,MITRE开展了一组初步的试点评估并达到了预期效果。SoT框架的定位是为了让需求方就是否从某个特定供应商那里购买产品和服务或是否从供应商购买特定的产品和服务,做出一个清晰而明智的决定。
02 MITRE SoT™评级方法与技术框架
SoT Body of Knowledge(SoT BoK):SoT BoK是MITRE基于数十年的供应链安全经验、对重要采购群体面临的复杂挑战的深刻见解,以及社区对供应链的广泛认识,所制定的应对供应链安全的可信系统知识库。SoT BoK能够扩展用于不同的行业、组织和供应链领域类型。
SoT BoK使用了知识图谱方式管理知识结构,从公开资料能看到,目前最高级域包括供应商、供应品和服务,如下表所示。
风险类别 | 定义 |
供应商 | 与产品或服务供应商的特征(包括其供应链)相关的风险,这些风险可能会影响这些产品或服务的消费者。 |
供应品 | 供应品,即产品。此类相关的风险,包括其供应链的来源和血统,可能会影响这些产品的消费者。 |
服务业 | 与服务特征相关的风险,包括其供应链来源和血统,可能会影响涉及相关服务的消费者。 |
表1. 供应链安全
三类展开的技术框架如下图所示,具体类型如表2、3、4所示。
风险类别 | 定义 |
外部影响 | 指与供应商特征相关的风险。其可能会潜在增加供应商受外部动机或效忠的负面影响。在民族国家背景下,风险通常是指受外国影响的问题;在商业环境中,风险通常是指竞争对手对供应商的影响。 |
金融稳定 | 与供应商的财务健康和稳定性特征相关的风险,其可能会影响供应商长期的生存,运营,诚信,增长,技术进步和持续的供应/服务交付。 |
恶意 | 与供应商特征相关的风险,其可能通过明确的意图(无论是内部还是外部驱动),对客户,合作伙伴或市场造成负面影响,比如违反法律/业务规范或造成伤害。 |
组织安全 | 与供应商的员工、设备、运输和网络安全能力、政策和实践的特征相关的风险,其会影响供应商抵抗恶意行为及其对客户的影响的潜力。 |
组织声望 | 与供应商的地理、地缘政治、结构或运营特征相关的风险,其会影响供应商以有效和弹性方式运营的潜力。 |
质量文化 | 与供应商可靠地交付优质供应品和服务的能力特征相关的风险。 |
敏感性 | 与供应商特征(工业部门、位置、客户等)相关的风险,包括主动管理那些可能被恶意分子针对,攻击,或附加其他负面影响并危害到客户的风险。 |
表2. 供应商的最高级风险类别
风险类别 | 定义 |
仿冒 | 与供应品(产品)或服务的真实性有关的风险。 |
健康度 | 影响供应品(产品)或服务按预期执行能力的风险。这涉及与质量,安全性,恢复力等相关的特征。 |
恶性漏洞 | 与供应品(产品)或服务的完整性相关的风险。 |
表3. 供应品的最高级风险类别
风险类别 | 定义 |
所提供服务的完整性 | 与服务原封不动地交付相关的风险。 |
所提供服务的质量 | 与按指定交付的服务相关的风险。 |
所提供服务的可靠性 | 与所提供服务的一致性相关的风险。 |
所提供服务的安全性 | 与在面对恶意操作时按预期交付的服务相关的风险。 |
表4. 服务的最高级风险类别
SoT BoK的知识图谱结构展示如下:
03 MITRE SoT™风险模型管理
Risk Model Manager (RMM):SoT云应用程序原型系统,包含SoT BoK内容及应用实例。RMM当前运行在 Amazon Web Services (AWS) 环境,计划提供更灵活的部署能力(如容器),并开放访问。计划提供能力如下:
1.查看 SoT 内容
2.构建/编辑 SoT 内容
3.定制要使用的 SoT 内容的范围及其评分权重
4.执行评估
5.导出 SoT 内容(以电子表格形式、用于定制的 SoT 子集以及其他位置的评估)
MITRE打算在SoT网站上提供SoT RMM能力的功能性副本供公众使用,以促进公众广泛采用和理解SoT的功能。由于评估产品和服务的特定风险可能会比较敏感,因此提供的RMM版本将仅允许查看SoT BoK并选择或创建BoK的配置文件。电子表格导出功能将提供下载 SoT BoK 的结果子集的选项,以便于在组织的系统上进行评估,这样他们可以适当地加以保护。
技术栈如下图所示:
可信试点系统
2020年末,MITRE 进行了一套初步的试点评估:
1. 普遍关注的一些公司
2. 作为关键基础设施供应商的一家特定公司
3. 联邦政府内部的特定团体使用的一个软件产品
4. 依赖于能提供一种特定的技术和工业能力的一个组织的工业基础评估
早期的试点展现出了充满希望的结果。所有的试点都使用了SoT来生成分析评估的数据源。这些试点为SoT的实用性提供了早期的证据。随着SoT的完成,试点将被更深入更广泛地分析。
部分试点结果图:
在SoT工作的下一阶段,MITRE将使用预期的所有数据源,并调整权重和得分贡献,对使用在给定评估中的特定次级风险领域进行微调。虽然试点项目只使用了SoT预期利用的公共、私有和受限访问数据源的一部分,但MITRE正在对进行此类分析的大量潜在实用资源进行编目和捕获。
04 MITRE SoT™展望
MITRE SoT正在筹划开放此技术框架及平台的使用方式
MITRE展示信息表露正在探索一种机制,用于传达SoT BoK的信息,并使其可作为RMM工具本身内的评估信息源而可以进行访问。同时,他们也在筹划建立SoT™兼容性计划,与CVE ®和CWE™等计划类似,将建立一个流程,允许组织共享使用SoT风险分类法。
MITRE积极扩展渠道
MITRE此次在RSA大会展示的信息,所涉及知识已经与IETF等机构有合作,未来可能扩展更多行业组织和部门,展开技术合作。
结合TEE技术
在供应链风险管理中,将软件生命周期各个阶段的供应链管理对象(即数据资产)与TEE技术相结合,确保供应链管理实体的证据真实、可信,提升供应链管理的完整性、透明度和可信力(SCITT)。
参考
[1]https://sot.mitre.org/
[2]https://www.rsaconference.com/usa/agenda/session/Addressing%20Supply%20Chain%20Security%20Risks%20MITREs%20System%20of%20Trust
声明:本文来自M01N Team,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
