导 语
2021年2月24日,拜登总统发布了关于美国供应链的第14017号行政命令,指示能源部长提交关于能源部门工业基础的供应链战略概述报告。美国能源部(DOE)将能源行业划分为能源和相关供应链,包括直接和间接参与能源行业的所有行业、公司以及相关利益群体,涵盖采掘业、制造业、能源转换和运输业、生产终止和垃圾管理业以及服务业,包括数字商品和服务提供商。
随着能源部门变得越来越全球化、复杂化、数字化甚至虚拟化,其能源系统中数字组件(软件、虚拟平台和服务以及数据)的供应链风险也在演变和扩大,由于数字组件的脆弱性,很可能会受到各种威胁、漏洞带来的网络供应风险的影响。因此对供应链风险进行深度评估,从而对保护能源以及其他部门具有重要意义。本文为大家介绍了美国能源部门对供应链风险的定义,以及具体产生的风险种类与影响。
美国网络供应链风险
在网络安全风险管理领域,风险通常被定义为风险=威胁×脆弱性×后果。网络风险管理的目标是增强应对威胁的抵抗能力,以及解决当漏洞被利用时可能产生的潜在后果,从而将风险降低到可接受的水平。当风险定义等式应用于网络供应链风险管理时,该等式提供了有关组织可以采取哪些步骤来缓解此类风险的见解。
NIST将网络风险定义为:“由于用于通过电子手段引入制造系统的信息和/或操作功能的数字技术的故障,以及制造系统的未经授权访问、使用、披露、中断、修改或破坏,导致财务损失、运营中断或损坏的风险。[1]”
我们重点介绍与能源部门系统中数字组件相关的网络供应链威胁和漏洞的主要类型。此处描述的威胁和漏洞通常是一些长期、复杂且往往难以解决的问题。虽然主要侧重于能源部门,并在适当情况下强调与OT(操作技术)和工业控制系统(ICS)相关的问题,[2]这些网络供应链问题也是信息和通信技术(ICT)系统和所有数字化关键基础设施系统中高度关注的问题。一般来说,能源部门系统中数字组件的供应链风险与ICT的风险一致,ESIB(能源部门和工业基础)中的所有利益相关者都使用着某种形式的ICT。其次,能源部门系统面临着一些特殊的网络供应链风险,这些风险与OT和ICS中的数字组件相关。最后,能源部门系统面临的网络供应链风险还包括一些软件相关,这些软件连接在ICT和OT系统中以提高效率。IT和OT系统的这种融合正在不算增加。[3]总的来说,随着这些系统日益互联、数字化和远程操作,能源部门系统中数字组件的供应链风险将继续演变并可能增加。
国家安全风险
国家安全威胁对能源部门系统造成损害的风险正在增加。敌对国家越来越愿意利用网络安全攻击包括能源系统在内的关键基础设施,作为加剧国家间紧张局势的准备步骤。可以说,网络攻击被用作对手干扰美国关键基础设施的手段,同时具有限制动态攻击升级或报复的可能性。一些敌对国家将此类准备工作作为其公开的战争理论的一部分,至少有一个国家(俄罗斯)已证明对电网进行网络攻击是发动动能攻击的前兆(在格鲁吉亚和乌克兰)。在2021年度威胁评估中,美国情报机构指出: “自2006年以来,俄罗斯一直将能源作为外交政策工具来胁迫合作,迫使各国坐到谈判桌上。例如,在莫斯科和基辅发生价格争端后,俄罗斯于2009年切断了向乌克兰的天然气供应,包括过境天然气,影响了欧洲部分地区13天。俄罗斯还利用其在民用核反应堆建设方面的能力作为其外交政策的软实力工具。[4]”
对手经常利用网络供应链漏洞实现一系列潜在影响,包括网络间谍、组织破坏或其他影响[5]。网络供应链漏洞可以在IT或OT软件开发时引入(通过损害制造商的网络),也可以通过安装后的系统更新引入,例如软件补丁(通过损害资产所有者的系统),以获得并保持对关键基础设施系统的持久访问。在能源部门系统中,创造对系统产生网络影响的能力(例如,使系统离线)通常涉及成功利用商业IT网络中的网络供应链漏洞获得进入,随后,如果IT和OT网络没有正确地相互分割,则系统内部的横向移动到操作技术网络中,在该网络中存在干扰工业控制系统的能力。
犯罪活动风险
网络犯罪者损坏或破坏能源系统设备的风险正在增加。从历史上看,能源部门系统并没有成为网络犯罪行为体的一个有吸引力的目标,因为相对于其他目标,资产所有者通常不拥有大量可供窃取的货币化信息。然而,勒索软件对能源部门系统来说是一种更为有害的威胁,因为它可以拒绝或降低系统可用性,而能源部门系统的最高要求是持续可用性。网络犯罪者明白,能源系统可用性的优先级之高将使系统所有者更有可能快速支付费用以恢复服务,而不是等待数天、数周或数月的停机时间来从备份中恢复。一家商业网络威胁分析公司2022年1月的一份报告发现,2021年针对目标系统工具软件的网络攻击的第三季度中20%为勒索软件攻击,而系统工具软件已经是除供应链漏洞之外第二个最易受攻击的关键基础部门[6]。
勒索软件通常作为初始感染媒介,通过网络钓鱼活动通过电子邮件引入受害者网络。然而,“太阳风猎户座”平台在2020年12月公开宣布的止损方案中表明,可以通过在常规软件修补周期中插入恶意代码来破坏软件供应链,从而引入勒索软件。勒索软件攻击的易实施性和快速获得回报的能力意味着这些类型的攻击将继续成为能源部门的一个问题。
对外国供应商的依赖
能源部门系统中的网络组件在日益分散和动态的数字供应链中全球采购。IT和OT系统的软件在国外越来越发达,在这些国家,有熟练劳动力库,互联网连接可用,工资较低很常见。网络供应风险源于与这种依赖低成本外国软件供应商相关的情况,这些软件可能由外国对手拥有或控制的人员设计、开发、制造、维护或供应,或受外国对手的管辖或指示。
在这些情况下,软件和固件可以由不受信任的个人开发,他们可能插入恶意代码,由于这些系统的大小和复杂性,很难检测到恶意代码。此外,软件、固件和数据集可以在敌对国家开发,这些国家在穿越其领土的网络上无处不在地收集所有数字信息,这为插入合法代码或以其他方式干扰在其境内开发的软件或损害数据集的完整性创造了机会
同样,托管在某些敌对国家的数据中心中的虚拟平台和服务也会受到相同类型的收集和干扰。太阳风猎户座平台的妥协是最近最严重的一个例子,它表明任何软件维护供应链都容易受到战略性、资源充足的民族国家的运营操纵。
网络组件的不透明供应链
在能源部门系统中操作数字和非数字组件的软件和固件代码庞大且高度复杂,由数十万行代码和数千个子例程组成。
在现代系统开发中,软件代码是由来自各种原始和间接源的旧代码的一部分组装而成的,这些原始和间接源具有不同的质量和完整性保证水平。因此,很难跟踪软件和数字组件中所有代码的出处和来源,以通过确保代码来源可靠来说明和管理供应链泄露的风险
为了节省时间,几乎所有开发人员都会定期共享和重用代码库和通用子例程(统称为开源软件)。开源软件是与源代码一起公开发布的软件,可供重用和修改。开源软件的使用正在快速增长。最近的一项研究发现,截至2020年,商业应用程序平均包含528个开源组件,比过去5年增加了259%[7]。
虽然开源软件由于其方便性和效率而越来越普遍,但从网络安全的角度来看,它越来越受到关注。开源软件经常没有明确的出处,并且经常没有得到一致的维护(例如,有安全更新),从而产生网络供应链风险。正如2022年白宫软件安全会议所指出的那样[8],开源软件由于其使用的广泛性以及安全更新和维护的自愿性质,具有独特的安全挑战。此外,网络对手积极使用开源代码库将合法代码分发给毫无戒心的软件开发人员;最近大量的例子表明对手利用了这种漏洞[9]。
高速变化的技术市场
技术公司,包括为能源部门系统开发数字组件的公司,存在于一个高度动态的全球市场中,其特点是高度的并购活动。随着新技术创新者的出现,他们往往被大公司收购。更成熟的技术业务部门买卖频繁。
收购技术公司通常会导致数字组件重新品牌化和集成到更大的产品套件中,从而模糊了这些子组件的来源。并购活动可能会导致外国所有权和控制权的快速变化,这些变化很难确定,更不用说跟踪,而敌对国家往往积极寻求混淆外国所有权和控制权。控制一家技术公司通常意味着访问所有源代码、敏感的当前和历史客户数据,并继续访问客户系统进行维护。
对手公司积极增加了对具有战略重要性的技术公司的采购和投资[10]。除其他外,《2018年外国投资风险审查现代化法案》(FIRRMA)[11](公法115-232)扩大了美国外国投资委员会(CFIUS)的权限,以审查涉及外国投资到具有关键技术的美国企业的交易。在FIRRMA的同时,国会通过了《出口管制改革法案》,该法案除其他外,创建了一个识别新兴和基础技术的过程,这些技术应添加到现有的美国出口管制中。
集中式网络的风险
关键基础设施系统,包括能源部门系统,经常依赖于数量有限的具有战略重要性的软件组件。虽然在支持能源部门系统的软件、固件和虚拟平台中没有一个故障点,但有许多无处不在的网络组件的例子,如果这些组件共同受损,可能会对能源部门系统产生巨大影响。
这种依赖性一直是软件供应链攻击的战略目标,最著名的是“太阳风猎户座”平台的止损案(2020年12月)[12],俄罗斯对外情报局(SVR)[13]就针对了其中一个用途极其广泛的模糊管理软件组件。最近许多的软件供应链攻击[14],包括对Codecov的Bash上传程序的高调公开的网络攻击(2021年1月)[15],Kaseya Limited的VSA软件(2021年7月)[16],和Apache的Log4j软件库(2021年12月)[17],都采取了类似的方法。换言之,最近的软件供应链攻击试图识别具有高战略价值的软件和虚拟平台,以作为妥协的目标。软件的一些属性和高战略价值包括:广泛使用或在高比例的系统中存在;作为其正常操作的一部分,访问网络凭据;运行在应用层之下,对网络管理员不太可见;而且经常性地长时间不打补丁。
许多内部关键基础设施系统和组件依赖于某种形式的服务(即远程或直接升级、补丁等),这一事实增加了这些组件的攻击面。
分散和分歧的监督
能源部门系统的数字供应链没有整体定义或框架。这些数字供应链的分散性和复杂性导致了对相互依存的网络安全风险进行优先排序和管理的零散方法。
第14017号行政命令“美国供应链”指示能源部长提交一份关于能源部门工业基地供应链的报告(由能源部长决定)。虽然国土安全部的网络安全和基础设施安全局(CISA)在其关键基础设施部门分类中发布了“能源部门”的描述[18],但“能源部门工业基地”尚未正式定义。
在操作层面上,ESIB既广泛又多样。ESIB供应链的数字部分来自几个关键的基础设施部门(定义见总统政策指令-21)[19]。这些相互依存的部门包括信息技术、通信、运输系统和关键制造业。每个部门都有不同的联邦部门风险管理机构[20]和围绕网络安全和物理风险的衍生组织结构。
支持ESIB的数字供应链的某些部分,如散装电力系统和管道的某些方面,受到监管;许多人并非如此。如果存在监管和监督,则由多个联邦部门和机构以及州、地方、部落和地区各级政府以不同的方式提供。ESIB数字供应链适用多种安全标准制度和准则,存在差距和重叠。没有全面的方法来确定风险、投资或权衡的优先级。
与此同时,能源部门系统中的数字组件正日益相互关联成为复杂和相互依存的系统。ESIB组成部分之间的互连通常基于有意识或无意识地假设的、未经验证的信任。因此,来自未缓解、零碎监督的剩余供应链风险会在站点、系统(例如,IT和OT)和资产所有者之间转移。
参考文献
[1] https://csrc.nist .gov/glossary/term/cyber_risk
[2] https://csrc.nist .gov/glossary/term/industrial _control_ system
[3] https://www.dni.gov/files/NCSC/documents /news /20180724-economic-espionage-pub.pdf
[4] https://www.dni.gov/files/ODNI/documents/assessments/ATA-2021-Unclassified-Report.pdf
[5] https://www.dni.gov/files/NCSC/documents/news/20180724-economic-espionage-pub.pdf
[6] https://www.trellix .com/en-us/threat-center/threat-reports/jan-2022.html
[7] https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html?cmp=pr-sig
[8] https://www.whitehouse.gov/briefing-room/statements-releases /2022/01/13/readout-of-white-house-meeting-on-software-security/
[9] https://arstechnica.com/information-technology/2021/12/malicious-packages-sneaked-into-npm-repository-stole-discord-tokens/
[10] 有关2020年美国外国投资委员会年度报告的统计数据,请参见:https: //home.treasury.gov/system/files/206/CFIUS-Summary-Data-2008-2020.pdf
[11] https://home.treasury.gov/sites/default/files/2018-08/The-Foreign-Investment-Risk-Review-Modernization-Act-of-2018-FIRRMA_0.pdf
[12] https://www.cisa.gov/uscert/ncas/alerts/aa20-352a
[13] https://www.whitehouse.gov/briefing-room/statements-releases/2021/04/15/fact-sheet-imposing-costs-for-harmful-foreign-activities-by-the-russian-government/
[14] 有关2006年发生的重大网络事件列表,参见:https://csis-website-prod.s3.amazonaws.com/s3fspublic/220203_Significant_Cyber_Incidents.pdf?6nUHMBGT7zrGtFIeHU4gGdjD7dXFObfO
[15] https://www.cisa.gov/uscert/ncas/current-activity/2021/04/30/codecov-releases-new-detections-supply-chain-compromise
[16] https://www.cisa.gov/uscert/kaseya-ransomware-attack
[17] https://www.cisa.gov/uscert/ncas/alerts/aa21-356a
[18] https://www.cisa.gov/energy-sector
[19] https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/presidential-policy-directive-critical-infrastructure-security-and-resil
[20] 根据PPD-21和2021财年《国防授权法案》第9002节
作者:中国科学院信息工程研究所 潘泊凡
责编:高琪
声明:本文来自中国保密协会科学技术分会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。