近兩三年來,APT攻擊透過供應鏈入侵頻繁,不只是資安圈重視,全球政府與企業都關注,無庸置疑,現今供應鏈安全的重要性已眾所皆知。早在2015年,美國國家標準暨技術研究院(NIST)發布SP 800-161文件,提出網路安全供應鏈風險管理的指南,到了今年5月初,NIST終於釋出新版文件:SP 800-161r1,目的是幫助企業獲取與使用技術產品與服務時,能夠保護自己,而這樣的標準也成為供應鏈安全重要參考。

在這次的更新中,內容從282頁擴增為326頁,納入過去幾年的經驗教訓,因此,企業在管理軟體供應鏈風險時,以及在遭受供應鏈攻擊時,能夠透過這當中的資訊,找到可供依循的最佳實務。

特別的是,這一版SP 800-161可幫企業瞭解風險類型,以及考慮採取哪些行動來應對,並建議企業組織不只是注意產品本身的弱點,同時,也要考慮使用產品當中元件的弱點,這些元件可能是在其他地方進行開發,而因為種種狀況而存在著可乘之機。

幫助各界理解供應鏈風險,並指導企業有效管理風險

NIST在此也詳細敘述供應鏈可能產生的風險,呈現企業與供應鏈之間的關係,以及在採購或操作第三方技術時,應如何確保安全。

同時,他們也在這份指南當中介紹多種可行的因應方法,讓企業獲得更多了解,使其將網路安全供應鏈風險管理(C-SCRM),整合於組織的風險管理,還能協助辨識、評估,應對各級供應鏈的網路安全風險。(C-SCRM的全名是Cybersecurity Supply Chain Risk Management。)

NIST概述了18個控制系列中的C-SCRM相關內容,包括:存取控制、意識與培訓、稽核與問責、安全評估與授權、配置管理、應急計畫、識別與認證、事件回應、維護、媒體保護、實體與環境保護、規畫、計畫管理、人員安全、風險評估、系統與服務採購、系統與通訊保護、系統與資訊完整性。

這份指南適用哪些對象?NIST表示,產品、軟體和服務的採購者,以及終端使用者都適用。關於企業需將網路安全供應鏈風險列入採購流程,SP 800-161r1解釋了評估因素,同時強調監控風險的重要性。

特別的是,該文件也考量了不同角色的需求,針對網路安全專家、風險管理者、系統工程師與採購人員提供索引,讓不同角色可以快速了解自己所需關注的環節。

對於管理供應鏈網路安全風險的重要性,NIST指出,現代化的產品與服務多半必須仰賴連結了全球製造商、軟體與服務供應商的供應鏈,儘管這促進了全球經濟,但供應鏈也使公司和消費者處於風險之中,因為一個成品的元件與軟體的來源很多。

舉例來說,一個設備可能在一個國家設計,在另一個國家製造,使用來自世界各地的多個元件,而這些元件本身又是由不同的製造商組裝而成。這不僅讓所生產的產品可能含有惡意軟體,或容易因為因安全漏洞而受網路攻擊,而且供應鏈本身的脆弱性,也可能危及企業的底線。

更具體一點來說,一個製造商可能會因為其供應商的勒索軟體攻擊,而導致關鍵製造元件的供應中斷,或者一個零售連鎖店可能會因為服務供應商被入侵而受害,像是維護其空調系統的公司,因為被允許存取該店的資料分享入口網站,而這樣的合作廠商遭到駭客或惡意軟體入侵之後,有可能將其作為跳板、攻入其用戶,而導致資料外洩。

換言之,這些發生在軟體供應鏈、委外供應鏈的情況,突顯了不同層面的網路安全風險。

身為NIST電腦安全處副處長、也是該指南作者之一的Jon Boyens強調,管理供應鏈的網路安全,其實是一種需求,它將持續存在,若所屬機構或組織未開始做,SP 800-161r1指南可提供全方位的工具,讓你從會「爬」、到能「走」,甚至可以「跑」,幫助你立即達到這些要求。

此外,未來NIST還將製作快速入門指南,以及建立專屬容易入門的網站,讓各界對於供應鏈風險的管理,能夠更容易上手。

另一方面,這次更新也是NIST對於2021年美國EO 14028行政命令回應的一部分。

關於各級供應鏈的網路風險,以及企業與供應鏈之間的關係,在NIST網路安全供應鏈風險管理指南有具體的說明。(圖片來源/NIST)

 

基本上,NIST SP 800-161r1中概述了C-SCRM相關的18個控制系列中,包括:存取控制、意識與培訓、稽核與問責、安全評估與授權、配置管理、應急計畫、識別與認證、事件回應、維護、媒體保護、實體與環境保護、規畫、計畫管理、人員安全、風險評估、系統與服務採購、系統與通訊保護、系統與資訊完整性。(圖片來源/擷取自NIST  SP 800-161r1)

在這次更新中,為幫助各界注意網路安全供應鏈風險管理(C-SCRM),在第1.4章節中,為每個群體角色別提供使用者檔案清單,列出與該群體最相關的部分,包括網路安全專家、風險管理者、系統工程師與採購人員等,可以快速了解自己所需關注。(圖片來源/擷取自NIST  SP 800-161r1)


(圖片來源/NIST)


(圖片來源/NIST)

熱門新聞

Advertisement