專家視角:關於供應鏈安全的一切
本月早些時候,我在紐約州奧爾巴尼召開的網路安全會議上,與網際網路安全中心高階副總裁兼首席佈道者、美國國家安全域性前“漏洞獵人”Tonhy Sager進行了面對面交流。我們具體討論了諸多問題,特別是供應鏈安全方面的議題。我問Sager是否聽說過關於 Supermicro (一家位於加利福尼亞州聖何塞的高科技企業)據稱曾在出售給多家美國公司的技術方案中插入硬體後門的傳聞。
網際網路安全中心高階副總裁兼首席佈道師Tony Sager
Sager與我的討論內容,主要集中在《彭博商業週刊》此前釋出的、引發巨大爭議的新聞,該報道稱Supermicro公司欺騙近30家企業購買其嵌有後門的硬體。Sager指出,他並沒有聽說與Supermicro相關的具體訊息,但我們在交流中詳盡討論了對技術供應鏈進行監管時所面臨的各類挑戰。
以下是我們對話內容的要點摘錄。我個人感到受益匪淺,希望大家也能有相同的體會。
Brian Krebs(以下簡稱BK): 您認為美國政府是否在供應鏈安全問題上投入了充足的時間與精力?這似乎是一類相當重大的威脅,同時也是一類難以解決的威脅。
Tony Sager(以下簡稱TS): 聯邦政府一直在擔心這類問題。上世紀七、八十年代,政府在技術領域中仍然佔據主導地位,而且技術供應鏈本身還沒有實現大規模國際化。
但即使是在那個時候,也已經有人意識到其中存在著問題,而且出現了一系列非常重要的政府相關調查計劃。
BK:沒錯,我覺得Trusted Foundry計劃就是個很好的例子。
TS:是的,該計劃的出臺是為了支援美國的技術產業,建立起本土合作平臺,幫助各企業肅清人員組成並對相關流程及元件進行全面控制。
BK:您認為為什麼會有那麼多企業未能堅持通過美國本土的程式碼與硬體體系生產產品?
TS:與安全領域的很多其它問題一樣,其歸根結底源自經濟因素。最終,離岸外包元件與勞動力成本所體現出的差異,壓倒了一切相關管控制度。
BK:不過在計算機硬體與網路設計領域中的某些層面,不是必須要實現更高的完整性保障能力嗎?
TS:沒錯,正因為如此,他們才建立起桑迪亞國家實驗室(美國三座國家級核安全研究與開發實驗室之一)。他們希望藉此瞭解是否有人可能偷偷將某些部件塞進核武器設計方案當中。
其基本設計原則是假設流程中某人可能會以某種方式施加破壞,因此相關設計理念在於確保無人能夠在特定流程內嵌入任何計劃外元件,且系統中每個方面的控制機制都能夠得到明確觀察。為了實現這些,必然需要建立大量技術與程式控制方案。
不過最重要的是,對於一切非核電子元件來講,這專案標的實現往往極為困難。因為現有的電子零件全部以離岸外包的形式生產,執行在該硬體之上的各種軟體也同樣如此。
BK:也就是說,政府實際上只對那些可能會影響到其需要採購及使用的產品的對應供應鏈安全感興趣?
TS:政府仍然會定期召開供應鏈風險管理會議,但這個問題並沒有簡單可行的答案。檢測錯誤所要求的技術能力甚至比製造產品的技術能力更高。
BK:等等……您說什麼?
TS:假設某個民族國家主導一項技術,其在理論上能夠植入某些東西。在這種情況下,攻擊者也同樣面臨著自己的風險模型。沒錯,他們當然能夠向電路或者設計方案中新增額外的東西,但其曝光風險也將隨之上升。
那麼,攻擊者能否控制這些被引入特定設計或產品的元件?當然可以,但一般來說攻擊者並不太清楚該產品的實際用途是什麼,或者說無法確保目標如何使用這款產品。實際上,也有少部分攻擊者能夠解決這個問題。以往,我們發現有些攻擊者會針對分銷體系中的供應鏈,追蹤目標市場中的特定裝置以減少惡意活動被發現的機率,這種作法的危害顯然更大。
BK:那麼,如果無法真正限制受入侵硬體攻擊的目標範圍,那麼此類針對性攻擊活動就會引發不良後果。
TS:是的,我們當然可以在一切產品當中新增後門之類的東西,但這時我們就會與攻擊者一樣面對新的分析難題——即如何立足後端處理這套龐大的資料採集集合。當然,一部分國家擁有著遠高於其它國家的大量資料採集篩選能力。
BK:您能談談政府在這方面的做法嗎?例如如何確定某一特定技術供應商是否有可能嘗試在相關訂單當中加入某些遭到入侵的裝置?
TS:這裡有一個所謂“盲購”概念,即如果大家認為威脅載體源自某人侵入了我們的供應鏈並破壞了單一裝置或裝置群組的安全性,那麼政府就會想出一種對特定系統的採購方法,確保沒人能夠將其作為攻擊目標。換句話說,賣方並不清楚買方實際上是政府部門。這是一種已經高度標準化的技術手段,當然,攻擊方也已經意識到這一點,因此雙方就此開展了新一輪貓鼠遊戲。
BK:我知道您曾在之前提到過,您不打算對最近彭博文章中的具體報道做出評論。但看起來,針對雲服務供應商的供應鏈攻擊似乎擁有很大的吸引力。您能否談談大型雲服務供應商該如何解決將受入侵硬體納入運營體系這一嚴重威脅?
TS:這當然是一類重要的潛在攻擊方式,但同時也是一種複雜的攻擊方式——特別是考慮到雲端計算的本質,即在同一裝置上承載大量租戶。如果使用內部部署技術對目標實施攻擊,那麼方法將非常簡單。不過需要強調的是,雲端計算的目的是對機器本身進行抽象化處理,從而更高效地利用同一批資源,以便在特定裝置上承載大量使用者。考慮到這一點,攻擊者要如何立足供應鏈瞄準其入侵目標?
BK:這些以大規模雲環境為基礎的企業在運營當中……是否存在著某些獨特的運作方式,從而確保其擁有遠高於其它行業企業的供應鏈攻擊彈性?
TS:這是個很好的問題。目前的積極趨勢在於,為了提供與谷歌、亞馬遜以及微軟自有業務體系相同的速度與規模表現,這些企業已經不太傾向於直接採用現成硬體,而更多主張自行構建定製化硬體。
BK:您能舉幾個相關例子嗎?
TS:這些雲服務供應商之間存在著很多共識性的討論——包括他們可以合作設計其中哪些部分,從而幫助一切客戶共同利用這部分市場。因此,我們開始觀察到服務供應商已經開始由現成元件轉向自主設計或深度參與元件設計的處理方式,從而真正為相關硬體建立安全控制方案。當然,設計的準確實現又是另一個問題,但必須承認的是目前的技術方案已經非常複雜,因此後門的插入難度也在不斷提升。可以肯定的是,隱藏後門這類計劃外事物已經變得愈發困難。
BK:這一點非常有趣,特別是考慮到我們都在同時使用多種不同雲平臺。是否還有其它例子能夠說明雲服務供應商的現有運作思路,能夠進一步提升攻擊者通過供應鏈入侵實現服務破壞目標的難度?
TS:其中一項因素在於雲服務供應商會定期推出新的技術方案,並以此為基礎不斷壓縮技術成果的保質期。他們都希望獲得更快、更高效且更強大的硬體,而這種動態環境本身的攻擊難度將隨之提高。這實際上會給攻擊者帶來極高的攻擊實施成本,因為其可能需要一年時間才能在目標環境中獲得立足點; 所以在大多數情況下,技術保質期的縮短實際上提高了攻擊活動的實施成本。
著眼於亞馬遜、谷歌以及微軟,他們都在積極提升架構與設計層面的功能水平,從而真正支撐起自身服務模式——包括預先引入越來越多的安全性因素。沒錯,他們仍在使用大量非美國出產的元件,但他們已經明確意識到這個問題。雖然這並不意味著供應鏈攻擊將徹底無法實現,但可以肯定的是,隨著時間的推移這類攻擊活動的實施難度將快速增長。
BK:在我看來,政府為了幫助保護技術供應鏈所做出的大部分努力,都是在尋求以某種可能的方式避免問題元件——這種思路更像是對坦克、船隻以及飛機進行質量保證,而非更具體地審視商業性技術方案。您認為這樣的結論是否準確?
TS:我認為這種表述還是比較客觀的。這是一個後勤保障性質的問題。在這方面,我們往往會將透明度作為一項通用的設計理念。此外,我們還需要重視問責制與可追溯性。目前業界有句名言,如果無法建立安全性,那麼至少需要建立問責制。道理很簡單,大家往往無法建立最好或者最完美的安全性保障,但只要能夠實現問責制與可追溯性,那麼其足以帶來強大的威懾力與必要的支援性。
BK:您能舉幾個例子嗎?
TS:這方面,主要是強調高質量與記錄內容的不可變性。如果大家建立起強有力的問責制度,那麼一旦出現問題,我們就能夠追溯到問題由誰造成以及真正源頭,以確保攻擊者在技術上更難以隱藏自身。一旦我們擁有這種追溯至計算機主機板製造方的能力,也就意味著極大提升了攻擊者的活動難度。因此,如果大家無法阻止每一場攻擊,那麼建立問責制與可追溯性同樣能夠讓攻擊者難以得逞,這對防禦工作無疑是個好訊息。
BK:那麼,供應鏈安全更多屬於物理安全問題,還是網路安全問題?
TS:人們一般會將供應鏈安全理解為一種網路安全問題,但實際情況並非如此。要真正阻止攻擊者對我們供應鏈的破壞,那麼大家首先應當阻斷那些可能並非發生在網路領域中的行為,例如設立掛名公司或者賄賂相關人員等。在這些領域——特別是與人相關的層面,我們已經擁有現成的管理機制,而這些將成為惡意活動的前沿探測工具。
BK:網路監控在這一流程當中扮演著怎樣的角色?我現在從不少技術專家那裡聽到一種說法,他們認為組織應該有能力檢測到供應鏈入侵問題,因為他們具備現有網路監控體系,因此可以看到有大量資料傳出其網路。您認為網路監控在應對潛在供應鏈攻擊活動中到底發揮著怎樣的作用?
TS:我對此並沒有那麼樂觀。實際上,出站流量可以輕鬆加以隱藏。監控的核心在於從符合預期的正常流量或流量型別中發現異常,而這一直都是個難以解決的問題。對於美國政府而言,邊界監控、流量自然傳輸以及預設對網際網路整體流量進行加密等因素的存在必然彼此制約並影響監控效果。事實上,由於隧道及加密機制的存在,很多流量的內容都無法進行解析——國防部也一直在努力解決這一挑戰。
現在我們可以採用經由代理實現的中間人流量機制並對其內容進行全面檢查,這也是比較理想的網路邊界管制方法——但必須承認,如今的網路流量在速度與數量方面都非常誇張,監控起來並不容易。
BK:政府是不是已經通過“可依賴網際網路連線”或者愛因斯坦計劃著手進行流量監控?即在閘道器之上整合全部流量,並嘗試檢查傳入與發出的內容?
TS:是的,所以政府目前也面臨著這樣一個規模無比龐大且速度極快的流量檢查難題。要監控內容且不中斷流量,政府必須運用最前沿的技術手段,同時想辦法解決各類加密技術引入的複雜性。如果單純只是利用代理機制對流量進行拆分以及檢查,而後重新加密資料,那麼網路流量的速度表現將令人無法忍受。
BK:這是否意味著立足邊界進行此類監控完全是在浪費時間?
TS:當然不是。攻擊者最初的立足點能夠輕鬆通過合法隧道建立起來——例如竊取企業內部的某些帳戶。經由邊界的特定資料包流的真正意義,我們只有在其通過並得到執行後才能瞭解。因此,我們無法解決網路邊界處的每一個問題。有些內容,只有在其傳輸至目標裝置後才會大白於天下。
BK:您認為供應鏈保障挑戰與企業對物聯網裝置的保護挑戰之間是否存在相似之處?畢竟我們在過去幾年當中已經經歷過多輪由物聯網裝置引發的DDoS攻擊,對其加以認真對待是否能夠解決這類針對關鍵基礎設施的國家層面安全威脅?
TS:當然,安全保障擁有顯著的經濟學意義。在物聯網世界中,我們將擁有大量低成本且壽命相對較短的元件,因此對物聯網的監管也應考慮到其它特殊要求。不過我最近聽到了很多討論,其中不再強調自上而下的解決方案,而更像是目前美國食品與藥物管理局這類機構頒發的醫療器械認證。換句話說,我們可能更希望在這些裝置實際面世之前,就對其安全性擁有全面而準確的瞭解。
BK:對物聯網及供應鏈問題的解決水平,是否在很大程度上取決於我們對硬體相關程式碼的審查能力以及對安全漏洞的發現能力?您認為這方面責任應該由誰來承擔?
TS:我曾經擔任過Bug“獵人”職務,也就是以從他人編寫的軟體中找尋零日漏洞為生。我意識到,技術水平的侷限會帶來人類能力永遠無法解決的問題。事實上,對軟體進行檢查本身所帶來的威懾能力,實際上要遠高於檢查工作的真實效果。無論出於故意還是無意為之,人們總會犯錯。因此只要有一種透明的方法能夠讓我們找到並公開一兩項漏洞,那麼整體開發工作都將得到顯著的效能提升。
BK:聽起來,我們也可以利用同樣的方法提升選舉裝置與相關程式碼的安全性水平。這也是最近熱度很高的議題之一。
TS:我們現在肯定會把選舉裝置納入安全考量。我們面對的實際是個經典的議題,即黑客開始高舉真理的旗幟,而供應商卻在拼命推卸責任。雖然也有些供應商願意正視此類問題,但開放漏洞社群的積極活動也給其帶來了不小的麻煩。
問題在於,我們該如何為流程帶來一定程度的透明性,但同時又儘可能避免把供應商的商業機密與程式碼曝光在整個世介面前?他們又應該在開發實踐的成本效益層面做些什麼,從而確保自身能夠在結果釋出之前解決安全問題。這一點非常重要,因為選舉必須給出結果,而這一結果關乎公眾對政府的信心。當然,提高透明度是一種很好的解決辦法。
BK:那麼這一切對於普通使用者而言意味著什麼?隨著物聯網裝置在消費者家庭中的激增,我們是否有望看到更多工具幫助人們更好地控制這些系統在本地網路上的表現?
TS:大多數供應鏈問題都不是個人能夠處理的,甚至超出了小型企業的解決範疇。事實上,除了企業在這方面的作用之外,我們確實也需要呼籲整個國家更多關注這類問題。
現在,我們幾乎不可能阻止消費者購買那些與網際網路對接的電子產品。如今的晶片組成本很低,而且每款裝置都內建有自己的Wi-Fi晶片——意味著無論是否真有意義,供應商都樂於將聯網功能引入產品當中。我想我們會看到市場上出現更多安全保障方案,用以管理各類裝置。因此,我們可以制定約束性規則,例如裝置只能與製造商指定的後端通訊。
我們將看到越來越多的消費者利用這些更易於使用的工具協助管理自己的所有裝置。我們已經在家庭閘道器與網路管理層中看到許多廠商對該領域主導地位的爭奪。隨著此類聯網裝置的複雜性不斷提升,相信未來將有更多以消費者為導向的工具出現並實現管理功能。一部分寬頻供應商已經開始提供相關服務,用於檢測家中正在執行的裝置並幫助使用者控制何時允許這些裝置與網際網路進行通訊。
自彭博社釋出相關報道以來,美國國土安全部與英國國家網路安全中心(隸屬於英國情報機構GCHQ)均發表宣告,表示並無理由懷疑亞馬遜及蘋果受到此次Supermicro供應鏈安全事件的影響。此外,蘋果公司還向美國國會遞交了一份措辭強硬的信件,其中對此次事件予以堅決否認。
與此同時,彭博社的記者亦發表了一篇後續報道,其中引用新的、記錄翔實的證據以支援他們在此前報道中提出的觀點。
本文由安全內參翻譯自 ofollow,noindex">KrebsOnSecurity
宣告:本文來自安全內參,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。