Palo Alto Networks供应链风险管理实践

背景介绍

按照我国的国家标准GB/T36637-2018定义，ICT 产品和服务的供应链，是指“为满足供应关系通过资源和过程将需方、供方相互连接的网链结构，可用于将信息通信技术的产品、服务提供给需方。”

供应链结构通常是多级的，一般来说供应链有四大特点：全球分布性、全生命周期、产品服务复杂和供应商多样性。其中全生命周期十分复杂，涵盖了设计与开发阶段、传统供应阶段和服务运维阶段。例如在产品的设计、开发、采购、生产、仓储、物流、销售、维护、召回等，而每个环节都有可能被篡改或控制，因此供应链安全问题是全世界很多国家都非常重视的。恶意篡改带来的危机，是指在ICT供应链的某一环节，对ICT产品或上游组件进行恶意篡改、植入、替换等，以嵌入包含恶意逻辑的软件或硬件。

供应链引起的安全风险很难管理，主要具有以下特点：

◇ 必不可缺：每一个ICT厂商都离不开供应链，都存在安全风险，不能规避。

◇ 容易攻击：供应链厂商一般拥有对产品或组件的部分控制权，可能存在于生产、组装或运输、维护等过程中。

◇ 难以检测：供应链攻击大部分超出厂商的检测控制范围，一个厂商不可能对整个供应链做完整的安全检测。

◇ 影响巨大：供应链攻击可以影响批量产品，可能在产品部署运行之前就已经被入侵篡改，或者导致厂商无法交货，后果非常严重。

鉴于这些特点，目前很多黑客逐渐开始研究供应链，供应链攻击呈现激增趋势。埃森哲的《2019年网络威胁报告》将供应链网络安全视为最大的挑战。

Supply chain and third-party cyberthreats continue to be prominent risks for corporations and individuals globally. The traditional boundaries of attack surfaces are shifting as suppliers, partners and managed service providers integrate with organizations’ business processes and infrastructure.

供应链和第三方网络威胁仍然是全球企业和个人面临的重大风险。随着供应商，合作伙伴和托管服务提供商与组织的业务流程和基础架构集成，攻击面的传统边界正在发生变化。

2020年2月4号，NIST发布了Palo Alto Networks公司的供应链风险管理案例研究，对广大的ICT厂商，尤其是网络安全厂商具有很大的参考价值。所以，本文特将这篇文章翻译如下，供国内网络安全厂商参考。

公司简介

Palo Alto Networks是一家美国网络安全公司，总部位于加利福尼亚州圣克拉拉。Palo Alto Networks是网络安全产品的全球领先生产商之一，这些产品包括下一代防火墙（NGFW），基于云的安全服务、高级终端保护和威胁情报。Palo Alto Networks的网络安全产品已被150个国家的60,000多家政府和企业组织采用，是政府和企业网络的重要组成部分。

风险简介

Palo Alto Networks作为网络安全产品提供商，产品安全和数据保护是密不可分，世界各地成千上万的政府和企业都依靠这些产品来保护高度敏感的信息。对于Palo Alto Networks，网络安全性和产品完整性是企业的隐性要求。

网络供应链管理重点实践

1. 端到端风险管理。所有产品均受Palo Alto Networks的端到端产品安全框架的约束，该框架旨在为产品生命周期的每个阶段提供深度防御。

2. 持续提升。网络供应链风险管理（Cyber Supply Chain Risk Management，简称C-SCRM）流程必须快速适应威胁形势的变化，Palo Alto Networks的跨职能安全委员会每六个月重新评估C-SCRM计划的安全优先级。

3. 公-私合作伙伴关系（Public-private partnerships）。Palo Alto Networks参与了多个自愿的公私合作计划，其中包括国土安全部的信息和通信技术供应链风险管理工作队以及美国海关与边境保护局的反恐计划等合作伙伴关系。这些计划促进Palo Alto Networks的供应商和更广泛的安全社区发展健全的供应链和网络安全实践。

4. 签约供应商简化网络供应链风险管理。对于每个成熟度级别的组织而言，管理数千个供应商关系都是挑战。Palo Alto Networks拥有一批已经证明安全的供应商，并建立了供应商风险管理计划。

供应链风险和网络安全的组织方法

Palo Alto Networks作为网络安全供应商，必然受到潜在客户的严格审查，并且是各种威胁源的攻击目标。Palo Alto Networks意识到产品的安全事件可能对客户产生巨大影响，因此将网络安全和产品完整性视为隐含的公司职责。所有产品均需遵守公司的端到端产品安全框架（E2E Framework），该框架旨在为产品生命周期的每个阶段（设计、采购、制造、交付和服务）提供深度防御。每个阶段都会进行独立评估以确定安全风险，领域专家会针对这些风险选择相关的公共标准和最佳实践来消减风险，选定的标准包括联邦信息处理标准（FIPS）、通用标准（CC）和英国的商业产品保证（CPA）。

E2E框架由安全委员会管理，安全委员会由产品工程、产品线管理、信息安全、产品安全、供应链风险与合规性（SCRC）、设施安全，以及法律法规部门等跨职能高级管理层组成。

安全理事会每季度召开一次会议，制定每个职能部门的个人工作计划表。尽管基于框架的计划是一项跨职能的工作，但最终的控制权还是由每个职能部门去运作。

E2E框架依赖于对生产过程的每个阶段的严格控制。Palo Alto Networks将所有产品的组装、制造和运输整合到位于加利福尼亚的单一签约制造商（CM），以确保可以控制生产过程。SCRC团队集中管理与Palo Alto Networks合作的CM，CM子供应商以及其他直接供应商。

Palo Alto Networks同时也积极参加更广泛的C-SCRM社区，赞助网络安全和SCRM行业会议，并且是信息和通信技术（ICT）供应链风险管理任务组的成员。该工作组是由国土安全部推动的公-私合作伙伴关系，旨在审查全球ICT供应链生态系统并为行业和政府制定建议。

在内部，Palo Alto Networks建立了强大的安全文化，基于角色的物理和逻辑权限控制体系确保只有经过授权的个人才能访问知识资产、组件、成品和客户信息。这套系统覆盖Palo Alto Networks和CM的所有外围和内部的多层物理设施。通过开展全方位的网络安全培训，强化每位员工的安全意识。

供应商管理

管理供应商关系的关键点

供应链风险管理的基础是签约供应商，在签署的合同里明确双方的安全责任和义务。供应商在签约前将进行详细的安全评估，这些评估基于安全委员会的特定考察项、NIST网络安全框架（NIST CSF）、国际标准化组织/国际电工委员会（ISO / IEC）28001，以及其他标准和最佳实践。安全评估可以确保所有供应商的员工都接受了安全培训，并且评估团队将检查供应商的工厂和仓库设施，以确保未经授权的人员无法访问Palo Alto Networks的组件。供应商还必须证明符合其他相关要求，例如FIPS、CPA和美国海关与边境保护局（CBP）的反恐海关贸易伙伴关系（CTPAT）计划。

CTPAT是国土安全部组织的用于供应链风险管理的最大的公-私合作伙伴关系，该计划授予Palo Alto Networks一个低风险的海关认证，以证明其符合较大范围的供应链安全保证，包括安全的运输和存储、人员控制以及IT安全。为了保持该认证，Palo Alto Networks的物流合作伙伴和供应商必须独立向CBP证明他们满足该计划的所有安全要求。

除了供应商签约评估和年度安全评估外，供应商还有义务向Palo Alto Networks披露组件漏洞、数据丢失和安全事件。这个规则使SCRC团队可以更全面地了解供应商的网络安全状况，包括对潜在事件的实时警报。战略供应商必须使用Palo Alto Networks的网络安全产品来确保其网络具有异常事件检测和响应能力。

在内部，Palo Alto Networks与供应商的正式接口受到严格控制。产品发布流程控制所有初始设计和设计变更，最后才能发布给Palo Alto Networks的制造合作伙伴。此过程需要多层级别的跨功能检查，以确保不会对设计文档、原理图和物料清单进行未经授权的更改。所有授权的更改都将被永久记录并可追溯到特定的Palo Alto Networks员工。知识产权和其他敏感信息只能通过专用安全平台与供应商共享。

Palo Alto Networks主动投资帮助改善高风险供应商的安全状况。SCRC团队积极与这些公司的技术领导者沟通，以在其内部实施网络安全方案和SCRM功能。安全技术人员给供应商澄清Palo Alto Networks的安全要求并提供成熟的路线图。由于供应商能够分享其他下游合作伙伴的实践经验，因此这种沟通通常是双向交流。

Palo Alto Networks与专用组件的供应商建立紧密的合作关系。由于NGFW等产品承担重要的安全角色，这些组件的供应商与Palo Alto Networks紧密合作，主动部署安全修复程序。例如，Palo Alto Networks与供应商的硬件开发人员合作，在公开发布之前，快速实施对硬件级漏洞的修补缓解措施。

评估供应商风险

供应商风险评估过程在生产之前很早就已开始，一般在产品开发生命周期的早期进行，以帮助确定产品设计决策的可行性。通过工程组确定的组件要求交给SCRC团队评估，SCRC团队评估潜在供应商，通过评估各个维度来确定风险评分，这些维度包括组件的相对敏感性、网络安全风险、供应商的财务状况、替代采购的可用性以及合规风险（例如《有害物质指令限制》）。

Palo Alto Networks运作一套商业供应链风险管理产品和内部开发的应用程序来跟踪每个供应商的风险。该套件包括情报和新闻挖掘订阅服务，可收集有关严重网络安全威胁、自然灾害、政治动荡和其他破坏性事件的实时信息。这些事件会自动映射到可能受影响的组件和供应商，从而使SCRC团队可以预测供应中断或供应受损情况，并制定响应计划。

质量管理与持续改进

Palo Alto Networks通过各种处理策略确保一致的质量管理和产品安全性。与Palo Alto Networks产品生产相关的所有物料都必须存储在具有严格访问控制的设施中，并且进行24*7的物理和电子监控。CM需要对每个接触产品的候选人进行完整的背景调查和工作经历检查，然后才能授权访问和使用Palo Alto Networks产品。CM ICT网络按照完善的安全标准（包括NIST CSF和ISO / IEC 27001）进行设计。CM必须拥有专门的网络安全团队，并且需要定期执行第三方的安全评估，包括渗透测试和漏洞评估。Palo Alto Networks的产品并不是为特定客户制造或包装的，然而，CM一般准备一定的预包装库存以满足销售预测，所以必须防止潜在的攻击者在生产阶段瞄准特定客户对产品进行篡改或损害。

Palo Alto Networks为CM的所有产品提供功能测试基础架构，这些平台是内部设计的，可以执行软件诊断以确保产品完整性。在由CM执行测试的同时，测试基础架构仍处于Palo Alto Networks的控制之下。被测产品配有明显的防篡改包装和运输标签，并带有独特的产品标识符（例如序列号），以确保客户收到的产品在运输中不受到损害。当客户选择的快递员拿到产品时，Palo Alto Networks将交付风险转移给客户，而所有产品都利用软件完整性检查来防止软件在运输过程中被篡改。

根据美国国防部（DOD）的规章要求，需要从逻辑上擦除了所有退回的客户存储驱动器，以防止在退回的设备中未经授权访问到了客户的信息。报废的驱动器必须被销毁，并且根据要求可向客户提供销毁证明。

持续改进是E2E框架的一项内在特性，可确保Palo Alto Networks适应威胁形势的变化。在开发跨功能E2E框架的整体视图时，可见性是持续改进过程的关键要求。安全理事会与每个职能部门合作，捕获其程序状态的“快照”，并根据实施计划表对其进行衡量。通过对实施计划进行详尽的记录，安理会能够跟踪产品安全计划的发展并确定潜在的盲点或冗余点。安全理事会在每个检查节点定期开会，根据实际情况调整安全计划的优先级。

客户通常会要求提供有关Palo Alto Networks的产品安全和供应链的实际信息。许多客户要求获得系统和组织的控制报告或简单调查表的通用副本即可，但有些客户会需要一些特定信息，才能确定网络安全供应商。SCRC团队会仔细跟踪每个请求的性质，以告知网络安全和供应链风险管理路线图。

事件响应和恢复

SCRC负责检测并响应整个供应商社区中的潜在安全事件。除了自动监视之外，SCRC还可通过合同规定的要求直接从受影响的供应商处接收事件报告。Palo Alto Networks还与独立的安全研究人员合作，他们通过专门的安全披露服务识别潜在的安全风险，整个过程符合漏洞披露要求《ISO / IEC 29147：2018》中的定义。

产品组装中涉及的所有组件均可在生产的每个阶段分别通过序列号、批号和日期代码进行追溯。这使SCRC团队可以跟踪任何发生由于供应商引起的产品安全事件和测试失败事件。Palo Alto Networks希望尽可能从多个供应商处采购组件，以减轻供应中断的影响并缓存预留一定数量的关键产品。这些缓存区因组件的关键性和可用性而异，可以进行调整以适应不断变化的业务预测、供应商稳定性问题、安全事件，或作为对全局事件的较大响应的一部分。

已确认的安全事件会触发正式的事件响应计划（IRP）。尽管SCRC和安全运营中心负责处理各自领域内的安全事件，但如果安全事件影响到这两个领域，通常通过IRP进行合作。根据合同，供应商有义务在事件发生时与Palo Alto Networks合作，并被要求在签约过程中提供内部事件响应程序，以更有效地管理影响两家公司的安全事件。SCRC团队定期进行跨职能的桌面演练（Tabletop Exercises），以找出在受控环境中可能存在的能力差距，桌面演练是与利益相关者（包括来自Palo Alto Networks的团队和关键供应商）一起进行的针对动态事件的模拟练习。

经验教训和改进点

Palo Alto Networks网络安全产品的本质要求大量复杂的风险管理。从设计、研发到售后服务，可靠的网络安全产品必须在产品生命周期的每个阶段都能应对各种安全威胁。Palo Alto Networks在产品的各个开发阶段的安全风险管理方法可应对特有的挑战，并发现潜在的漏洞。

Palo Alto Networks建议在设计CSCRM计划时应考虑以下原则：

◇ 该程序应是端到端的，并涵盖产品生命周期各个阶段。

◇ 组织应实施补偿控制（compensating controls）并进行深度防御。由于每一层防御都会给攻击增加难度，因此即使是基本的控制措施也可能阻止、缓解或防止一个更大范围的攻击。

◇ 没有任何程序具有无限的安全资源，因此组织应动态调整安全投入的优先级。

◇ 组织应强化员工安全意识，形成企业文化，并不断应用巩固。

由于有效实施这些安全措施需要高层管理人员的支持，因此Palo Alto Networks建议在计划设计过程的早期就聘请跨职能的高级领导。（石凌志）

声明：本文来自威努特工控安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。