美國國家安全域性(NSA)開發出協助保護供應鏈的軟體
[據安全大道網站2019年3月21日報道]
美國國家安全域性(NSA)和可信計算組織(TCG)行業聯盟已經開發出一種驗證軟體,可以用於任何裝置,並且可以很大程度上保護計算裝置供應鏈的安全。
NSA表示,NSA研究部門與TCG及英特爾合作了兩年,來為供應鏈驗證過程開發軟體和標準。實質上,由TCG定義且包含裝置屬性的證書是在裝置製造期間建立的,並與可信平臺模組(TPM)中的該裝置一起交付,這一模組保證了在製造過程中的資訊保安。NSA的執行時和啟動時主機完整性(HIRS)軟體會利用這些資訊來驗證元件的來源,並將其連結到製造商。
NSA表示,驗證過程可以通過涉及多個供應商的多階段產品應用於任何裝置,並且能夠識別各種可能的風險,包括將惡意元件替換為合法元件。
NSA首席資訊保安官(CISO)Peg
Mitchell稱:“為基於可信計算的供應鏈驗證開發開源工具,增加了美國政府對於我們關鍵任務系統安全性的信心。將加密裝置和外圍裝置繫結到可信平臺製造商的可加密驗證證書這一舉措,將有助於減少供應鏈威脅。這項技術將加強NSA、美國國防部以及對其系統完整性要求高度信任的商業實體的安全態勢。”
供應鏈是政府系統面臨的最大網路風險之一,一旦裝置在其製造商到進入政府系統的整個過程中稍有疏漏,後門和其他休眠的惡意軟體就可能被插入到裝置的硬體或軟體中。
例如,2018年10月,彭博社報道了中國涉嫌利用伺服器製造商Super
Micro的主機板硬體進行黑客攻擊的事件。Super Micro向蘋果、亞馬遜等20多家公司出售主機板。Super
Micro、蘋果、亞馬遜和其他一些公司對於他們遭到黑客攻擊這一說法進行了激烈的爭辯,但是不管這次攻擊是否成功,這份報告確實說明了這樣的事情肯定會發生。正如美國政府問責辦公室和美國國家情報總監辦公室等機構所指出的那樣,供應鏈安全是偶然的,對它的威脅是真實的,入侵攻擊經常在發生。
MITRE的一份報告指出,供應鏈攻擊“對我們的國家帶來了挑戰,無論是在硬實力還是軟實力方面……它可能會導致崩潰,甚至逆轉決策週期。”
埃森哲最新的網路威脅報告詳細介紹了供應鏈攻擊成為滲透受害組織有效手段的方式,並列舉了俄羅斯和中國發起的攻擊的例子。考慮到各國對供應鏈中硬體、軟體和韌體的弱化或給予武器化的“最高關注”,這些攻擊很可能會繼續下去。報告稱:“被實力雄厚的國家或犯罪集團篡改的軟體供應鏈,將繼續被用作日益複雜的惡意軟體的傳遞手段。”
美國國土安全部表示,供應鏈風險是複雜的,因為它們包括產品的整個生命週期、生產和使用的多個階段,而且往往涉及硬體。美國國土安全部於2018年10月成立了資訊和通訊技術(ICT)供應鏈風險管理工作組,來協調政府與業界的工作,以制定整體的解決方案。