NIST(美國國家標準與技術研究院)是隸屬於美國商務部 (U.S. Department of Commerce) 的聯邦機構,其成立於 1901 年,旨在促進美國的創新及提升工業競爭力,幫助組織推廣測量科學、技術與標準,以提高民眾的生活品質並強化經濟安全。
NIST 網路安全供應鏈風險管理 (C-SCRM) 計畫透過判別、評估與降低數位供應鏈既有的風險,以協助組織更有效的管理網路安全供應鏈風險,而數位供應鏈通常在複雜且相互關聯的分散式系統中運行。
網路安全供應鏈風險管理 (C-SCRM) 計畫涵蓋整個生命週期,包括開發、設計、部署、發佈、取得、銷毀以及維運階段,藉由研究、提供資源與協作廠商來幫助組織管理其網路安全供應鏈的風險。
供應鏈中的網路安全風險
對於數位供應鏈而言,網路安全風險可能來自攻擊者滲透供應商、供應鏈、產品與服務所造成的潛在損害或破壞。
供應鏈的網路安全風險一直存在,但威脅行為卻在過去幾年內大幅增加,促使NIST、網路安全與基礎設施單位,以及歐盟網路安全局等政府機構警告風險增加,駭客有無數的攻擊途徑,包括對濫用權限竊取數據的威脅,以及破壞知名軟體公司的開發流程,藉此將惡意軟體插入新產品的攻擊行為。
供應鏈的網路安全漏洞對公司產生許多不同形式的負面影響:
供應鏈漏洞有時候不僅難以發掘,而且現代數位供應鏈的相依性也可能使企業面臨尤如洪水般大規模範圍的風險(cascading risks),例如最近的 Log4j 事件涉及一個非常流行的開源日誌記錄元件的嚴重漏洞,全球可能有數百萬個組織受到影響,因為 Log4j 直接包含在他們的軟體中,或者間接包含在他們正在使用的元件或設備中。
NIST 供應鏈風險管理方法
NIST 將供應鏈風險管理定義為維護整個供應鏈(包括所有相關服務與產品)的安全性、品質、彈性以及完整性的實務。管理供應鏈中的網路安全風險是一項複雜的工作,其涉及廣泛的組織職能與流程。NIST 特別關注於:
基礎實務
NIST 將 C-SCRM 置於供應鏈管理與資訊安全的交會點,也為現今的網路安全與供應鏈實務建立有效的風險管理計畫奠定了基礎。
企業範圍的實務
C-SCRM 只有在作為企業活動範圍內實施時才有效,換言之,該計畫必須涉及所有企業內相關的事務,包括企業內的任務、業務流程與資訊系統,而風險管理也必須在整個系統開發生命週期中執行。
風險管理流程
將 C-SCRM 整合到風險管理戰略中,首先要評估與識別適用的風險,以確定適當的應對措施,接著組織使用該評估來制定 C-SCRM 戰略以及實施計畫,並記錄具體的行動且監控計畫。這項行動有兩個關鍵部份:
關鍵系統
組織可以透過識別最容易受到攻擊且可能造成嚴重影響的元件或系統,來制定具有成本效益的供應鏈風險緩解策略,如果當其受到損害,便可能於情況漏洞發生當下就自動修復它們,這將需要導入並使用先進的安全工具。此外,任何供應鏈風險管理解決方案都具備下列七個必要條件:
一、準確性:使用者需要確認他們的解決方案能夠準確的檢測並提醒他們注意漏洞,而不會產生誤報。
二、零信任:解決方案應採用零信任檢核,對於每位使用者欲存取公司資源者,都需進行身份驗證、授權與持續驗證,以確保安全合規。在零信任環境中,因以不信任為基礎,直到完成驗證與確認,再提權供佈署流程執行。
三、全面覆蓋:有效的安全解決方案必須與多元平台及程式語言整合,以最大限度去擴大其能夠檢查的程式碼範圍,同時達到減少漏判缺陷與漏洞的可能性。
四、速度:隨著軟體開發生命週期 (SDLC) 的速度加快與開發量的急遽增長,能夠迅速發現並修復漏洞以避免開發延遲所導致的高昂代價變得更加重要。
五、優先順序:應用程式與開發過程所遭受的攻擊量不斷增加,對安全工具產生了挑戰。並非所有漏洞都構成嚴重威脅,然而修復它們依舊須花費寶貴的時間及資源,這些時間與資源應該專注於解決更嚴重的威脅。因此尋找可以優先解決那些嚴重漏洞的方案,以優化您程式碼的安全性及保護措失。
六、補救措施:理想情況下,一般的安全解決方案會比僅提供簡單漏洞檢測工具更多的功能,而進階的解決方案將提供修復建議,或提供自動修復功能以利從源頭修復程式碼。
七、Shift left(左移)/ 易用性:在軟體開發生命週期 (SDLC) 早期解決漏洞更容易且更快捷,也可以提高安全流程的有效性。當提早進行安全作業時,開發人員就會有責任要執行安全檢測,卻有許多人不願使用可減輕開發流程的檢測工具。要達到shift left及易用性的關鍵,是找到既準確又易於使用,同時又能無縫融入常規開發流程的新穎工具。
軟體供應鏈風險管理的 4 大 NIST 最佳實務
NIST 發佈供應鏈安全的最佳實務彙編。以下是一些關鍵的最佳實務:
1. 在整個組織中整合 C-SCRM:
與供應商採購、IT、網路安全、營運及企業風險管理相關的利益關係者建立供應鏈風險委員會,委員會應主動審查供應鏈之風險,制定風險緩解計畫,並確保整個決策是公開透明,共同承擔可能的風險。
2. 管理關鍵元件及供應商:
找出當受到損害時,可能會對貴公司的業務產生負面影響的關鍵供應商,對此,首要行動為須識別組織中的關鍵資產與流程,以及每個人所委託的外部供應商。接著組織可以透過訂定安全性需求並將其添加到與供應商合約中,以及評估與管理供應商對這些安全需求合規的情況。
3. 瞭解完整的供應鏈:
現代供應鏈非常複雜,組織需要付出極大的努力來瞭解他們的整個供應鏈,包括所有的間接供應商。與供應商的合作可能會產生風險,可能是供應商交付的硬體或軟體,抑或供應鏈中的人員及流程,因此組織應該瞭解供應商的內部流程,以驗證他們生產的設備與軟體是真實的,並經過良好測試且安全的。
4. 處理整個供應鏈的生命週期:
不要假設元件將永遠留在供應鏈中。預劃供應中斷可能是由於供應商的營運問題、安全問題或供應商停止支援舊產品所導致。為了降低這些風險,組織可以採用撤銷訂單,或是與經過批准的經銷商建立關係,甚至在內部重構 (refactoring) 以確保供應不間斷等方法。
使用 Mend 進行供應鏈風險管理
使用 Mend Diffend 保護您免受軟體供應鏈攻擊,這是一種專用的供應鏈安全解決方案,與管理器(當前為 JavaScript 及 Ruby)整合,可在惡意包攻擊您的程式碼之前便阻止它們的安裝。
Diffend 保護您免受仿冒攻擊 (typosquatting attacks)、惡意接管 (malicious takeovers)、ATO 攻擊、腳本指令 (makefile pollution)、比特幣挖掘 (bitcoin mining)、額外注入 (accidental injections)、殭屍網路程式碼注入 (botnet code injections)、環境與憑證竊取 (environment and credential stealing)、病毒 (viruses)、篡改包 (package tampering)、package CVEs、JavaScript CVE、Ruby CVE、品牌劫持 (brandjacking) 以及依賴混淆 (dependency confusion)。
自 2020 年初公開發佈以來,Mend Diffend 已在 Rubygems 註冊表中檢測到 350 多個已知惡意包,而自 2021 年底以來在 NPM 上檢測到 1,400 多個惡意包。
點擊這裡申請免費試用 Mend Diffend 加強您的軟體供應鏈。