IT供應(yīng)鏈完整性對信息安全產(chǎn)業(yè)的影響
據(jù)Gartner最新報告顯示,企業(yè)IT供應(yīng)鏈將會成為被破壞的目標(biāo),因此企業(yè)都在被迫思考如何對供應(yīng)鏈的完整性進(jìn)行管理。IT供應(yīng)鏈的完整性是全球2000名IT領(lǐng)導(dǎo)者最關(guān)心的三大安全問題之一,Gartner分析師Neil MacDonal
據(jù)Gartner最新報告顯示,企業(yè)IT供應(yīng)鏈將會成為被破壞的目標(biāo),因此企業(yè)都在被迫思考如何對供應(yīng)鏈的完整性進(jìn)行管理。IT供應(yīng)鏈的完整性是全球2000名IT領(lǐng)導(dǎo)者最關(guān)心的三大安全問題之一,Gartner分析師Neil MacDonald和Ray Valdes在報告中指出。
IT供應(yīng)鏈越來越復(fù)雜
據(jù)Gartner調(diào)查顯示,IT供應(yīng)鏈最近幾年變得越來越復(fù)雜,而且廣泛分布于全球各地。硬件供應(yīng)商外包的不僅是生產(chǎn),還把設(shè)計的任務(wù)也外包給OEM供應(yīng)商和國外承包商。既有的亞洲供應(yīng)商還會把任務(wù)外包給其他國家的公司,所以增加了供應(yīng)鏈被破壞的幾率。Gartner研究員MacDonald表示,“IT供應(yīng)鏈的完整性問題確實存在,而且會在未來五年對主流IT企業(yè)產(chǎn)生影響。”
Gartner對IT供應(yīng)鏈威脅的擔(dān)心并非孤立的。Northrop Gruman今年早些時候為美-中經(jīng)濟(jì)和安全評估會議準(zhǔn)備了一份報告,里面就警告稱“對供應(yīng)鏈的成功滲透,如電信行業(yè)可能導(dǎo)致系統(tǒng),為國家安全或公共安全提供架構(gòu)支持的網(wǎng)絡(luò)等出現(xiàn)癱瘓。”
GAO也表示出了同樣的擔(dān)憂,承認(rèn)政府的IT供應(yīng)鏈威脅包括軟硬件上的惡意邏輯;假冒軟硬件的安裝;生產(chǎn)過程或是重要產(chǎn)品或服務(wù)的分銷過程中出現(xiàn)問題;因技術(shù)性能問題而依賴于不合格的服務(wù)供應(yīng)商;軟硬件上無意中安裝的漏洞。
Gartner研究副主席Valdes說,IT系統(tǒng)是由來自世界各地的產(chǎn)品組裝而成,因此IT供應(yīng)鏈的完整性非常重要。企業(yè),政府和個人都不能對IT供應(yīng)鏈表示完全信任,IT堆棧很容易被破壞。MacDonald和Valdes在報告中強(qiáng)調(diào)稱,“自從大多數(shù)硬件系統(tǒng)成為各個廠商所生產(chǎn)組件與子系統(tǒng)的組裝物候,就出現(xiàn)了一個復(fù)雜的問題。”
GAO信息安全主管Gregory Wilshusen在2012年3月告訴立法者,稱隨著采購的范圍遍及全球各地,政府機(jī)構(gòu)也需要對生產(chǎn)制造和運輸過程中間可能出現(xiàn)的漏洞進(jìn)行排查。Wilshusen談到,“全球的IT供應(yīng)鏈會帶來風(fēng)險,如果這些風(fēng)險成為現(xiàn)實,就會損害聯(lián)邦信息系統(tǒng)的私密性,完整性和可用性。”
Gartner分析師在報告的推測部分提到,2018年的時候,至少會有一家資金過億,與西方標(biāo)準(zhǔn)看齊的IT供應(yīng)商與中國的子公司一起作為一個完全獨資的實體,使用獨立的工程和生產(chǎn)技術(shù)緩解人們對供應(yīng)鏈完整性的顧慮。
IT供應(yīng)鏈完整性對信息安全產(chǎn)業(yè)的影響
Gartner稱,對信息安全產(chǎn)品信任度的缺乏將導(dǎo)致新型信息安全市場的50%被分割。操作系統(tǒng)和其他IT系統(tǒng)架構(gòu)軟件的分離還需要一些時間。MacDonald和Valdes稱,到2018年,G20國家中一半的國家需要采購重要的非軍事用途的架構(gòu),而且他們會明確禁止某些敵對國家,地理政治性團(tuán)體的供應(yīng)商生產(chǎn)的IT系統(tǒng)。以最近美國國會報告中對中國華為和中興的排斥為例,國會報告認(rèn)為這兩家公司不被信任,不能采購他們的網(wǎng)絡(luò)設(shè)備,而且還暗指兩家公司于中國軍方有聯(lián)系。但是華為和中興都否定了自己與中國政府有關(guān)聯(lián)。
Gartner分析師稱,供應(yīng)鏈的問題不會僅僅因為系統(tǒng)已經(jīng)交給終端用戶就終結(jié)。用戶仍然要依賴其他國家進(jìn)行維護(hù)和更新。供應(yīng)鏈的完整性必須擴(kuò)展到“操作性供應(yīng)鏈”問題,如更新。
以政治為目的的攻擊逐漸增多
IT供應(yīng)鏈的完整性問題日益突出是因為攻擊者的動機(jī)在不斷改變。攻擊者現(xiàn)在更喜歡為政治,軍事或是金融目的進(jìn)行有針對性的攻擊。IT供應(yīng)鏈的攻擊者的攻擊方向并不受限于智力和防御目標(biāo),他們可能攻擊生產(chǎn)制造,金融服務(wù)和制藥等。
IT企業(yè)可以采取一些步驟保護(hù)自己的供應(yīng)鏈。企業(yè)應(yīng)該從IT供應(yīng)商處尋求供應(yīng)鏈的證物,要周期性的采樣和產(chǎn)品測試,以確保供應(yīng)鏈不會被損壞。企業(yè)應(yīng)該加強(qiáng)采購環(huán)節(jié),并直接與IT供應(yīng)商交易,可能的話,也可以通過受信任的有資質(zhì)的銷售商交易。Gartner還建議要“明確禁止從eBay等公共拍賣網(wǎng)站購買新舊IT軟硬件。”
企業(yè)傾向于軟件定義型IT架構(gòu)
據(jù)Valdes透露,大多數(shù)硬件系統(tǒng)包括基于軟件的要素,如固件和設(shè)備。更多的程序邏輯都轉(zhuǎn)換到了軟件堆棧。運行于標(biāo)準(zhǔn)硬件的軟件定義型IT架構(gòu)會帶來更多透明度,使得人們更容易信任供應(yīng)鏈,因為軟件層級會更容易測試。
即便有了軟件,企業(yè)也需要確保自己使用的是正版軟件,且應(yīng)用都具備可靠的數(shù)字證書。“數(shù)字認(rèn)證的東西不一定可信。如果盲目相信證書,那么偷竊的或損壞的代碼簽署證書將是主要的威脅。”分析師警告稱。企業(yè)應(yīng)該多使用基于社區(qū)的證書和文件聲譽(yù)服務(wù)的認(rèn)證代碼。
還要注意,開源組件不會緩解供應(yīng)鏈完整性的問題,因為未知的和過時的庫和架構(gòu)可能帶來企業(yè)巨大威脅。企業(yè)應(yīng)該確認(rèn)開源產(chǎn)品中使用的所有架構(gòu)和庫都合法且得到及時更新,而且所用的編譯器未被損壞。MacDonald總結(jié)稱,企業(yè)的IT部門必須保護(hù)自己的系統(tǒng)和信息,因為所有的IT系統(tǒng)都可疑。
IT供應(yīng)鏈越來越復(fù)雜
據(jù)Gartner調(diào)查顯示,IT供應(yīng)鏈最近幾年變得越來越復(fù)雜,而且廣泛分布于全球各地。硬件供應(yīng)商外包的不僅是生產(chǎn),還把設(shè)計的任務(wù)也外包給OEM供應(yīng)商和國外承包商。既有的亞洲供應(yīng)商還會把任務(wù)外包給其他國家的公司,所以增加了供應(yīng)鏈被破壞的幾率。Gartner研究員MacDonald表示,“IT供應(yīng)鏈的完整性問題確實存在,而且會在未來五年對主流IT企業(yè)產(chǎn)生影響。”
Gartner對IT供應(yīng)鏈威脅的擔(dān)心并非孤立的。Northrop Gruman今年早些時候為美-中經(jīng)濟(jì)和安全評估會議準(zhǔn)備了一份報告,里面就警告稱“對供應(yīng)鏈的成功滲透,如電信行業(yè)可能導(dǎo)致系統(tǒng),為國家安全或公共安全提供架構(gòu)支持的網(wǎng)絡(luò)等出現(xiàn)癱瘓。”
GAO也表示出了同樣的擔(dān)憂,承認(rèn)政府的IT供應(yīng)鏈威脅包括軟硬件上的惡意邏輯;假冒軟硬件的安裝;生產(chǎn)過程或是重要產(chǎn)品或服務(wù)的分銷過程中出現(xiàn)問題;因技術(shù)性能問題而依賴于不合格的服務(wù)供應(yīng)商;軟硬件上無意中安裝的漏洞。
Gartner研究副主席Valdes說,IT系統(tǒng)是由來自世界各地的產(chǎn)品組裝而成,因此IT供應(yīng)鏈的完整性非常重要。企業(yè),政府和個人都不能對IT供應(yīng)鏈表示完全信任,IT堆棧很容易被破壞。MacDonald和Valdes在報告中強(qiáng)調(diào)稱,“自從大多數(shù)硬件系統(tǒng)成為各個廠商所生產(chǎn)組件與子系統(tǒng)的組裝物候,就出現(xiàn)了一個復(fù)雜的問題。”
GAO信息安全主管Gregory Wilshusen在2012年3月告訴立法者,稱隨著采購的范圍遍及全球各地,政府機(jī)構(gòu)也需要對生產(chǎn)制造和運輸過程中間可能出現(xiàn)的漏洞進(jìn)行排查。Wilshusen談到,“全球的IT供應(yīng)鏈會帶來風(fēng)險,如果這些風(fēng)險成為現(xiàn)實,就會損害聯(lián)邦信息系統(tǒng)的私密性,完整性和可用性。”
Gartner分析師在報告的推測部分提到,2018年的時候,至少會有一家資金過億,與西方標(biāo)準(zhǔn)看齊的IT供應(yīng)商與中國的子公司一起作為一個完全獨資的實體,使用獨立的工程和生產(chǎn)技術(shù)緩解人們對供應(yīng)鏈完整性的顧慮。
IT供應(yīng)鏈完整性對信息安全產(chǎn)業(yè)的影響
Gartner稱,對信息安全產(chǎn)品信任度的缺乏將導(dǎo)致新型信息安全市場的50%被分割。操作系統(tǒng)和其他IT系統(tǒng)架構(gòu)軟件的分離還需要一些時間。MacDonald和Valdes稱,到2018年,G20國家中一半的國家需要采購重要的非軍事用途的架構(gòu),而且他們會明確禁止某些敵對國家,地理政治性團(tuán)體的供應(yīng)商生產(chǎn)的IT系統(tǒng)。以最近美國國會報告中對中國華為和中興的排斥為例,國會報告認(rèn)為這兩家公司不被信任,不能采購他們的網(wǎng)絡(luò)設(shè)備,而且還暗指兩家公司于中國軍方有聯(lián)系。但是華為和中興都否定了自己與中國政府有關(guān)聯(lián)。
Gartner分析師稱,供應(yīng)鏈的問題不會僅僅因為系統(tǒng)已經(jīng)交給終端用戶就終結(jié)。用戶仍然要依賴其他國家進(jìn)行維護(hù)和更新。供應(yīng)鏈的完整性必須擴(kuò)展到“操作性供應(yīng)鏈”問題,如更新。
以政治為目的的攻擊逐漸增多
IT供應(yīng)鏈的完整性問題日益突出是因為攻擊者的動機(jī)在不斷改變。攻擊者現(xiàn)在更喜歡為政治,軍事或是金融目的進(jìn)行有針對性的攻擊。IT供應(yīng)鏈的攻擊者的攻擊方向并不受限于智力和防御目標(biāo),他們可能攻擊生產(chǎn)制造,金融服務(wù)和制藥等。
IT企業(yè)可以采取一些步驟保護(hù)自己的供應(yīng)鏈。企業(yè)應(yīng)該從IT供應(yīng)商處尋求供應(yīng)鏈的證物,要周期性的采樣和產(chǎn)品測試,以確保供應(yīng)鏈不會被損壞。企業(yè)應(yīng)該加強(qiáng)采購環(huán)節(jié),并直接與IT供應(yīng)商交易,可能的話,也可以通過受信任的有資質(zhì)的銷售商交易。Gartner還建議要“明確禁止從eBay等公共拍賣網(wǎng)站購買新舊IT軟硬件。”
企業(yè)傾向于軟件定義型IT架構(gòu)
據(jù)Valdes透露,大多數(shù)硬件系統(tǒng)包括基于軟件的要素,如固件和設(shè)備。更多的程序邏輯都轉(zhuǎn)換到了軟件堆棧。運行于標(biāo)準(zhǔn)硬件的軟件定義型IT架構(gòu)會帶來更多透明度,使得人們更容易信任供應(yīng)鏈,因為軟件層級會更容易測試。
即便有了軟件,企業(yè)也需要確保自己使用的是正版軟件,且應(yīng)用都具備可靠的數(shù)字證書。“數(shù)字認(rèn)證的東西不一定可信。如果盲目相信證書,那么偷竊的或損壞的代碼簽署證書將是主要的威脅。”分析師警告稱。企業(yè)應(yīng)該多使用基于社區(qū)的證書和文件聲譽(yù)服務(wù)的認(rèn)證代碼。
還要注意,開源組件不會緩解供應(yīng)鏈完整性的問題,因為未知的和過時的庫和架構(gòu)可能帶來企業(yè)巨大威脅。企業(yè)應(yīng)該確認(rèn)開源產(chǎn)品中使用的所有架構(gòu)和庫都合法且得到及時更新,而且所用的編譯器未被損壞。MacDonald總結(jié)稱,企業(yè)的IT部門必須保護(hù)自己的系統(tǒng)和信息,因為所有的IT系統(tǒng)都可疑。
責(zé)任編輯:和碩涵
免責(zé)聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會保電進(jìn)行時丨陜西電力部署6項重點任務(wù)
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級安卓漏洞 “寄生獸”影響數(shù)千萬手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
