信息來源：安全內(nèi)參

近日，美國網(wǎng)絡安全和基礎設施安全局(CISA)和美國國家標準技術研究院(NIST)聯(lián)合發(fā)布了網(wǎng)絡供應鏈風險管理(C-SCRM)框架和安全軟件開發(fā)框架(SSDF)指南項目，這一指南遵循拜登于去年 5 月發(fā)布的“改善國家網(wǎng)絡安全 (14028) ”行政命令，要求政府機構(gòu)采取措施“提高軟件供應鏈的安全性和完整性，優(yōu)先解決關鍵軟件問題?！?

這份指南概述了企業(yè)在識別、評估和應對供應鏈不同階段的風險時應采用的主要安全控制措施和做法，以幫助組織識別、評估和應對整個供應鏈中的網(wǎng)絡安全風險，同時還分享了與供應鏈攻擊相關的趨勢和最佳實踐。

近年來，供應鏈中的網(wǎng)絡安全風險已經(jīng)成為首要問題，在包括Solar Winds等幾起大規(guī)模的供應鏈攻擊事件中，針對廣泛使用的軟件的攻擊浪潮同時破壞了數(shù)十家下游供應商。

根據(jù)歐盟網(wǎng)絡安全局 (ENISA)的供應鏈攻擊威脅態(tài)勢，在 2020 年 1 月至 2021 年初記錄的 24 次攻擊中，有 62% 是“利用客戶對其供應商的信任”。

該份指南提到，供應鏈攻擊的最常見技術，分別是：

· 劫持更新

· 破壞代碼簽名

· 破壞開源代碼

在某些情況下，攻擊可能會混合使用上述技術來提高其效率。這些攻擊大多數(shù)歸因于資源豐富的攻擊者和APT團體，它們具有很高的技術能力。

報告指出：“軟件供應鏈攻擊通常需要強大的技術才能和長期投入，因此通常很難執(zhí)行?？偟膩碚f，高級持續(xù)威脅(APT)參與者更有可能、同時有意愿和能力來進行可能危害國家安全的高度技術性和長期性的軟件供應鏈攻擊活動?！?

“該指南幫助組織將網(wǎng)絡安全供應鏈風險考慮因素和要求納入其采購流程，并強調(diào)監(jiān)控風險的重要性。由于網(wǎng)絡安全風險可能出現(xiàn)在生命周期中的任何階段或供應鏈中的任何環(huán)節(jié)，因此該指南現(xiàn)在考慮了潛在的漏洞，例如產(chǎn)品中的代碼來源或攜帶該產(chǎn)品的零售商，”NIST 指出。

修訂后的指南主要針對產(chǎn)品、軟件和服務的收購方和最終用戶，并為不同的受眾提供建議，包括負責企業(yè)風險管理、收購和采購、信息安全/網(wǎng)絡安全/隱私、系統(tǒng)開發(fā)/工程/實施的領導和人員等等，內(nèi)容涉及組織如何預防供應鏈攻擊以及在使用此技術交付惡意軟件或易受攻擊的軟件的情況下如何緩解這些攻擊。