?美國網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險

在網(wǎng)絡(luò)安全風(fēng)險管理領(lǐng)域，風(fēng)險通常被定義為風(fēng)險=威脅×脆弱性×后果。網(wǎng)絡(luò)風(fēng)險管理的目標(biāo)是增強(qiáng)應(yīng)對威脅的抵抗能力，以及解決當(dāng)漏洞被利用時可能產(chǎn)生的潛在后果，從而將風(fēng)險降低到可接受的水平。當(dāng)風(fēng)險定義等式應(yīng)用于網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險管理時，該等式提供了有關(guān)組織可以采取哪些步驟來緩解此類風(fēng)險的見解。

NIST將網(wǎng)絡(luò)風(fēng)險定義為：“由于用于通過電子手段引入制造系統(tǒng)的信息和/或操作功能的數(shù)字技術(shù)的故障，以及制造系統(tǒng)的未經(jīng)授權(quán)訪問、使用、披露、中斷、修改或破壞，導(dǎo)致財務(wù)損失、運(yùn)營中斷或損壞的風(fēng)險。[1]”

我們重點介紹與能源部門系統(tǒng)中數(shù)字組件相關(guān)的網(wǎng)絡(luò)供應(yīng)鏈威脅和漏洞的主要類型。此處描述的威脅和漏洞通常是一些長期、復(fù)雜且往往難以解決的問題。雖然主要側(cè)重于能源部門，并在適當(dāng)情況下強(qiáng)調(diào)與OT（操作技術(shù)）和工業(yè)控制系統(tǒng)（ICS）相關(guān)的問題，[2]這些網(wǎng)絡(luò)供應(yīng)鏈問題也是信息和通信技術(shù)（ICT）系統(tǒng)和所有數(shù)字化關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)中高度關(guān)注的問題。一般來說，能源部門系統(tǒng)中數(shù)字組件的供應(yīng)鏈風(fēng)險與ICT的風(fēng)險一致，ESIB（能源部門和工業(yè)基礎(chǔ)）中的所有利益相關(guān)者都使用著某種形式的ICT。其次，能源部門系統(tǒng)面臨著一些特殊的網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險，這些風(fēng)險與OT和ICS中的數(shù)字組件相關(guān)。最后，能源部門系統(tǒng)面臨的網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險還包括一些軟件相關(guān)，這些軟件連接在ICT和OT系統(tǒng)中以提高效率。IT和OT系統(tǒng)的這種融合正在不算增加。[3]總的來說，隨著這些系統(tǒng)日益互聯(lián)、數(shù)字化和遠(yuǎn)程操作，能源部門系統(tǒng)中數(shù)字組件的供應(yīng)鏈風(fēng)險將繼續(xù)演變并可能增加。 

國家安全風(fēng)險

國家安全威脅對能源部門系統(tǒng)造成損害的風(fēng)險正在增加。敵對國家越來越愿意利用網(wǎng)絡(luò)安全攻擊包括能源系統(tǒng)在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施，作為加劇國家間緊張局勢的準(zhǔn)備步驟?？梢哉f，網(wǎng)絡(luò)攻擊被用作對手干擾美國關(guān)鍵基礎(chǔ)設(shè)施的手段，同時具有限制動態(tài)攻擊升級或報復(fù)的可能性。一些敵對國家將此類準(zhǔn)備工作作為其公開的戰(zhàn)爭理論的一部分，至少有一個國家（俄羅斯）已證明對電網(wǎng)進(jìn)行網(wǎng)絡(luò)攻擊是發(fā)動動能攻擊的前兆（在格魯吉亞和烏克蘭）。在2021年度威脅評估中，美國情報機(jī)構(gòu)指出: “自2006年以來，俄羅斯一直將能源作為外交政策工具來脅迫合作，迫使各國坐到談判桌上。例如，在莫斯科和基輔發(fā)生價格爭端后，俄羅斯于2009年切斷了向烏克蘭的天然氣供應(yīng)，包括過境天然氣，影響了歐洲部分地區(qū)13天。俄羅斯還利用其在民用核反應(yīng)堆建設(shè)方面的能力作為其外交政策的軟實力工具。[4]”

對手經(jīng)常利用網(wǎng)絡(luò)供應(yīng)鏈漏洞實現(xiàn)一系列潛在影響，包括網(wǎng)絡(luò)間諜、組織破壞或其他影響[5]。網(wǎng)絡(luò)供應(yīng)鏈漏洞可以在IT或OT軟件開發(fā)時引入（通過損害制造商的網(wǎng)絡(luò)），也可以通過安裝后的系統(tǒng)更新引入，例如軟件補(bǔ)?。ㄍㄟ^損害資產(chǎn)所有者的系統(tǒng)），以獲得并保持對關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)的持久訪問。在能源部門系統(tǒng)中，創(chuàng)造對系統(tǒng)產(chǎn)生網(wǎng)絡(luò)影響的能力（例如，使系統(tǒng)離線）通常涉及成功利用商業(yè)IT網(wǎng)絡(luò)中的網(wǎng)絡(luò)供應(yīng)鏈漏洞獲得進(jìn)入，隨后，如果IT和OT網(wǎng)絡(luò)沒有正確地相互分割，則系統(tǒng)內(nèi)部的橫向移動到操作技術(shù)網(wǎng)絡(luò)中，在該網(wǎng)絡(luò)中存在干擾工業(yè)控制系統(tǒng)的能力。 

犯罪活動風(fēng)險

網(wǎng)絡(luò)犯罪者損壞或破壞能源系統(tǒng)設(shè)備的風(fēng)險正在增加。從歷史上看，能源部門系統(tǒng)并沒有成為網(wǎng)絡(luò)犯罪行為體的一個有吸引力的目標(biāo)，因為相對于其他目標(biāo)，資產(chǎn)所有者通常不擁有大量可供竊取的貨幣化信息。然而，勒索軟件對能源部門系統(tǒng)來說是一種更為有害的威脅，因為它可以拒絕或降低系統(tǒng)可用性，而能源部門系統(tǒng)的最高要求是持續(xù)可用性。網(wǎng)絡(luò)犯罪者明白，能源系統(tǒng)可用性的優(yōu)先級之高將使系統(tǒng)所有者更有可能快速支付費(fèi)用以恢復(fù)服務(wù)，而不是等待數(shù)天、數(shù)周或數(shù)月的停機(jī)時間來從備份中恢復(fù)。一家商業(yè)網(wǎng)絡(luò)威脅分析公司2022年1月的一份報告發(fā)現(xiàn)，2021年針對目標(biāo)系統(tǒng)工具軟件的網(wǎng)絡(luò)攻擊的第三季度中20%為勒索軟件攻擊，而系統(tǒng)工具軟件已經(jīng)是除供應(yīng)鏈漏洞之外第二個最易受攻擊的關(guān)鍵基礎(chǔ)部門[6]。

勒索軟件通常作為初始感染媒介，通過網(wǎng)絡(luò)釣魚活動通過電子郵件引入受害者網(wǎng)絡(luò)。然而，“太陽風(fēng)獵戶座”平臺在2020年12月公開宣布的止損方案中表明，可以通過在常規(guī)軟件修補(bǔ)周期中插入惡意代碼來破壞軟件供應(yīng)鏈，從而引入勒索軟件。勒索軟件攻擊的易實施性和快速獲得回報的能力意味著這些類型的攻擊將繼續(xù)成為能源部門的一個問題。 

對外國供應(yīng)商的依賴

能源部門系統(tǒng)中的網(wǎng)絡(luò)組件在日益分散和動態(tài)的數(shù)字供應(yīng)鏈中全球采購。IT和OT系統(tǒng)的軟件在國外越來越發(fā)達(dá)，在這些國家，有熟練勞動力庫，互聯(lián)網(wǎng)連接可用，工資較低很常見。網(wǎng)絡(luò)供應(yīng)風(fēng)險源于與這種依賴低成本外國軟件供應(yīng)商相關(guān)的情況，這些軟件可能由外國對手擁有或控制的人員設(shè)計、開發(fā)、制造、維護(hù)或供應(yīng)，或受外國對手的管轄或指示。

在這些情況下，軟件和固件可以由不受信任的個人開發(fā)，他們可能插入惡意代碼，由于這些系統(tǒng)的大小和復(fù)雜性，很難檢測到惡意代碼。此外，軟件、固件和數(shù)據(jù)集可以在敵對國家開發(fā)，這些國家在穿越其領(lǐng)土的網(wǎng)絡(luò)上無處不在地收集所有數(shù)字信息，這為插入合法代碼或以其他方式干擾在其境內(nèi)開發(fā)的軟件或損害數(shù)據(jù)集的完整性創(chuàng)造了機(jī)會

同樣，托管在某些敵對國家的數(shù)據(jù)中心中的虛擬平臺和服務(wù)也會受到相同類型的收集和干擾。太陽風(fēng)獵戶座平臺的妥協(xié)是最近最嚴(yán)重的一個例子，它表明任何軟件維護(hù)供應(yīng)鏈都容易受到戰(zhàn)略性、資源充足的民族國家的運(yùn)營操縱。

網(wǎng)絡(luò)組件的不透明供應(yīng)鏈

在能源部門系統(tǒng)中操作數(shù)字和非數(shù)字組件的軟件和固件代碼龐大且高度復(fù)雜，由數(shù)十萬行代碼和數(shù)千個子例程組成。

在現(xiàn)代系統(tǒng)開發(fā)中，軟件代碼是由來自各種原始和間接源的舊代碼的一部分組裝而成的，這些原始和間接源具有不同的質(zhì)量和完整性保證水平。因此，很難跟蹤軟件和數(shù)字組件中所有代碼的出處和來源，以通過確保代碼來源可靠來說明和管理供應(yīng)鏈泄露的風(fēng)險

為了節(jié)省時間，幾乎所有開發(fā)人員都會定期共享和重用代碼庫和通用子例程（統(tǒng)稱為開源軟件）。開源軟件是與源代碼一起公開發(fā)布的軟件，可供重用和修改。開源軟件的使用正在快速增長。最近的一項研究發(fā)現(xiàn)，截至2020年，商業(yè)應(yīng)用程序平均包含528個開源組件，比過去5年增加了259%[7]。

雖然開源軟件由于其方便性和效率而越來越普遍，但從網(wǎng)絡(luò)安全的角度來看，它越來越受到關(guān)注。開源軟件經(jīng)常沒有明確的出處，并且經(jīng)常沒有得到一致的維護(hù)（例如，有安全更新），從而產(chǎn)生網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險。正如2022年白宮軟件安全會議所指出的那樣[8]，開源軟件由于其使用的廣泛性以及安全更新和維護(hù)的自愿性質(zhì)，具有獨(dú)特的安全挑戰(zhàn)。此外，網(wǎng)絡(luò)對手積極使用開源代碼庫將合法代碼分發(fā)給毫無戒心的軟件開發(fā)人員；最近大量的例子表明對手利用了這種漏洞[9]。 

高速變化的技術(shù)市場

技術(shù)公司，包括為能源部門系統(tǒng)開發(fā)數(shù)字組件的公司，存在于一個高度動態(tài)的全球市場中，其特點是高度的并購活動。隨著新技術(shù)創(chuàng)新者的出現(xiàn)，他們往往被大公司收購。更成熟的技術(shù)業(yè)務(wù)部門買賣頻繁。

收購技術(shù)公司通常會導(dǎo)致數(shù)字組件重新品牌化和集成到更大的產(chǎn)品套件中，從而模糊了這些子組件的來源。并購活動可能會導(dǎo)致外國所有權(quán)和控制權(quán)的快速變化，這些變化很難確定，更不用說跟蹤，而敵對國家往往積極尋求混淆外國所有權(quán)和控制權(quán)。控制一家技術(shù)公司通常意味著訪問所有源代碼、敏感的當(dāng)前和歷史客戶數(shù)據(jù)，并繼續(xù)訪問客戶系統(tǒng)進(jìn)行維護(hù)。

對手公司積極增加了對具有戰(zhàn)略重要性的技術(shù)公司的采購和投資[10]。除其他外，《2018年外國投資風(fēng)險審查現(xiàn)代化法案》（FIRRMA）[11]（公法115-232）擴(kuò)大了美國外國投資委員會（CFIUS）的權(quán)限，以審查涉及外國投資到具有關(guān)鍵技術(shù)的美國企業(yè)的交易。在FIRRMA的同時，國會通過了《出口管制改革法案》，該法案除其他外，創(chuàng)建了一個識別新興和基礎(chǔ)技術(shù)的過程，這些技術(shù)應(yīng)添加到現(xiàn)有的美國出口管制中。 

集中式網(wǎng)絡(luò)的風(fēng)險

關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)，包括能源部門系統(tǒng)，經(jīng)常依賴于數(shù)量有限的具有戰(zhàn)略重要性的軟件組件。雖然在支持能源部門系統(tǒng)的軟件、固件和虛擬平臺中沒有一個故障點，但有許多無處不在的網(wǎng)絡(luò)組件的例子，如果這些組件共同受損，可能會對能源部門系統(tǒng)產(chǎn)生巨大影響。

這種依賴性一直是軟件供應(yīng)鏈攻擊的戰(zhàn)略目標(biāo)，最著名的是“太陽風(fēng)獵戶座”平臺的止損案（2020年12月）[12]，俄羅斯對外情報局（SVR）[13]就針對了其中一個用途極其廣泛的模糊管理軟件組件。最近許多的軟件供應(yīng)鏈攻擊[14]，包括對Codecov的Bash上傳程序的高調(diào)公開的網(wǎng)絡(luò)攻擊（2021年1月）[15]，Kaseya Limited的VSA軟件（2021年7月）[16]，和Apache的Log4j軟件庫（2021年12月）[17]，都采取了類似的方法。換言之，最近的軟件供應(yīng)鏈攻擊試圖識別具有高戰(zhàn)略價值的軟件和虛擬平臺，以作為妥協(xié)的目標(biāo)。軟件的一些屬性和高戰(zhàn)略價值包括：廣泛使用或在高比例的系統(tǒng)中存在；作為其正常操作的一部分，訪問網(wǎng)絡(luò)憑據(jù)；運(yùn)行在應(yīng)用層之下，對網(wǎng)絡(luò)管理員不太可見；而且經(jīng)常性地長時間不打補(bǔ)丁。

許多內(nèi)部關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)和組件依賴于某種形式的服務(wù)（即遠(yuǎn)程或直接升級、補(bǔ)丁等），這一事實增加了這些組件的攻擊面。 

分散和分歧的監(jiān)督

能源部門系統(tǒng)的數(shù)字供應(yīng)鏈沒有整體定義或框架。這些數(shù)字供應(yīng)鏈的分散性和復(fù)雜性導(dǎo)致了對相互依存的網(wǎng)絡(luò)安全風(fēng)險進(jìn)行優(yōu)先排序和管理的零散方法。

第14017號行政命令“美國供應(yīng)鏈”指示能源部長提交一份關(guān)于能源部門工業(yè)基地供應(yīng)鏈的報告（由能源部長決定）。雖然國土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）在其關(guān)鍵基礎(chǔ)設(shè)施部門分類中發(fā)布了“能源部門”的描述[18]，但“能源部門工業(yè)基地”尚未正式定義。

在操作層面上，ESIB既廣泛又多樣。ESIB供應(yīng)鏈的數(shù)字部分來自幾個關(guān)鍵的基礎(chǔ)設(shè)施部門（定義見總統(tǒng)政策指令-21）[19]。這些相互依存的部門包括信息技術(shù)、通信、運(yùn)輸系統(tǒng)和關(guān)鍵制造業(yè)。每個部門都有不同的聯(lián)邦部門風(fēng)險管理機(jī)構(gòu)[20]和圍繞網(wǎng)絡(luò)安全和物理風(fēng)險的衍生組織結(jié)構(gòu)。

支持ESIB的數(shù)字供應(yīng)鏈的某些部分，如散裝電力系統(tǒng)和管道的某些方面，受到監(jiān)管；許多人并非如此。如果存在監(jiān)管和監(jiān)督，則由多個聯(lián)邦部門和機(jī)構(gòu)以及州、地方、部落和地區(qū)各級政府以不同的方式提供。ESIB數(shù)字供應(yīng)鏈適用多種安全標(biāo)準(zhǔn)制度和準(zhǔn)則，存在差距和重疊。沒有全面的方法來確定風(fēng)險、投資或權(quán)衡的優(yōu)先級。

 與此同時，能源部門系統(tǒng)中的數(shù)字組件正日益相互關(guān)聯(lián)成為復(fù)雜和相互依存的系統(tǒng)。ESIB組成部分之間的互連通?；谟幸庾R或無意識地假設(shè)的、未經(jīng)驗證的信任。因此，來自未緩解、零碎監(jiān)督的剩余供應(yīng)鏈風(fēng)險會在站點、系統(tǒng)（例如，IT和OT）和資產(chǎn)所有者之間轉(zhuǎn)移。 

參考文獻(xiàn)

[1] https://csrc.nist .gov/glossary/term/cyber_risk 

[2] https://csrc.nist .gov/glossary/term/industrial _control_ system 

[3] https://www.dni.gov/files/NCSC/documents /news /20180724-economic-espionage-pub.pdf

[4] https://www.dni.gov/files/ODNI/documents/assessments/ATA-2021-Unclassified-Report.pdf

[5] https://www.dni.gov/files/NCSC/documents/news/20180724-economic-espionage-pub.pdf

[6] https://www.trellix .com/en-us/threat-center/threat-reports/jan-2022.html

[7] https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html?cmp=pr-sig

[8] https://www.whitehouse.gov/briefing-room/statements-releases /2022/01/13/readout-of-white-house-meeting-on-software-security/

[9] https://arstechnica.com/information-technology/2021/12/malicious-packages-sneaked-into-npm-repository-stole-discord-tokens/

[10] 有關(guān)2020年美國外國投資委員會年度報告的統(tǒng)計數(shù)據(jù)，請參見：https: //home.treasury.gov/system/files/206/CFIUS-Summary-Data-2008-2020.pdf

[11] https://home.treasury.gov/sites/default/files/2018-08/The-Foreign-Investment-Risk-Review-Modernization-Act-of-2018-FIRRMA_0.pdf

[12] https://www.cisa.gov/uscert/ncas/alerts/aa20-352a

[13] https://www.whitehouse.gov/briefing-room/statements-releases/2021/04/15/fact-sheet-imposing-costs-for-harmful-foreign-activities-by-the-russian-government/

[14] 有關(guān)2006年發(fā)生的重大網(wǎng)絡(luò)事件列表,參見：https://csis-website-prod.s3.amazonaws.com/s3fspublic/220203_Significant_Cyber_Incidents.pdf?6nUHMBGT7zrGtFIeHU4gGdjD7dXFObfO

[15] https://www.cisa.gov/uscert/ncas/current-activity/2021/04/30/codecov-releases-new-detections-supply-chain-compromise

[16] https://www.cisa.gov/uscert/kaseya-ransomware-attack

[17] https://www.cisa.gov/uscert/ncas/alerts/aa21-356a

[18] https://www.cisa.gov/energy-sector

[19] https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/presidential-policy-directive-critical-infrastructure-security-and-resil 

[20] 根據(jù)PPD-21和2021財年《國防授權(quán)法案》第9002節(jié)