美国国家标准技术研究院(NIST)将关键基础设施依赖于信息和通信技术(ICT)定义为“利用电子计算机设备及软件对数字化信息进行捕获、检索、转换、存储、处理、交流和管理的技术。”
美国政府认为信息和通信技术供应链安全对于美国技术领先以及经济和国家网络安全的未来至关重要。信息和通信技术(ICT)系统的运行依赖于分布在全球相互联系的供应链生态系统,包括制造商、供应商(网络供应商和软硬件供应商)、系统集成商、采购商、终端用户以及外部服务商等各类实体,产品和服务的设计、研发、生产、分配、部署和使用、以及技术、法律、政策等软环境。
现实情况是,ICT供应链的设计、开发和生产、分配、获取和部署、维护以及处置阶段非常容易受到恶意或无意引入的漏洞(例如恶意软件和硬件);假冒组件;以及不良的产品设计、制造流程和维护程序等多种因素的影响。
针对ICT供应链的漏洞利用可能会导致:系统可靠性问题,数据窃取和操纵,恶意软件传播以及网络内部持续性的未经授权访问行为。
CISA认为,各级政府和行业领导者需要了解,将漏洞引入ICT供应链在设计、开发与生产、以下6个方面存在风险。
1. 设计阶段
设计阶段引入漏洞通常都是无意的,并且可能会影响组件的所有用户。恶意行为者会将漏洞集成到各种组件之中,而这些组件可能被安装在数百万设备中。
案例——被劫持的蜂窝设备
2016年,一家外国公司设计了一家美国手机制造商使用的固件。这些手机记录了文本和通话历史记录、电话详细信息和联系信息的加密记录,并且每72小时将其发送到外部服务器一次。
2. 开发和生产阶段
在该阶段引入的漏洞通常也是无意的,如果在测试初始原型(prototype)时未能发现这些漏洞,那么后期的修复成本可能会很高。即便是设计良好的产品可能仍会以难以识别的方式在制造和组装过程中引入恶意组件。
案例——受感染的闪存卡
2012年,一家负责生产由美国公司设计的开关的第三方工厂,在生产过程中安装了受感染的轻巧型闪存卡。这家美国公司警告称,使用受感染的组件可能会损害系统,并且可能在网络中横向传播恶意软件。
3. 流通阶段
在生产设施和客户之间进行流通的设备通常不归负责设计或生产它的人所管控。流通阶段引入的漏洞可能是恶意的,并且与早期阶段相比,它可能只会影响有限数量的组件和客户。
案例——终端用户设备恶意软件
2012年,美国一家大型软件公司的研究人员针对假冒软件展开了一项调查,结果发现20%的测试设备上预装了恶意软件。该恶意软件从工厂运送到分销商、运输商或转售商后,已经被成功安装到了新的台式机和笔记本电脑之中。
4. 采购和部署
恶意内部人员可能会在采购/安装过程中引入漏洞或是使用易受攻击的组件替换原来的设备。在此阶段引入的漏洞可能仅影响有限数量的客户。
案例——出售给美国海军的假冒产品
2015年,一位美国公民进口了数千个假冒的集成电路,随后将其转售给了美国客户,其中就包括向美国海军提供该产品用于核潜艇项目的国防承包商。
5. 维护阶段
接受维护的ICT组件容易受到通过物理或网络访问引入的漏洞的侵害,并且容易受到以前未知或未修补漏洞的利用。维护阶段引入的漏洞可能针对特定实体,但在软件更新的情况下可能会影响许多客户。
案例——内置于软件安全工具中的恶意软件
2017年,恶意行为者通过渗透一家安全软件公司的网络,并将恶意代码植入其安全软件之中,对这家安全软件公司展开了攻击。据悉,该应用程序的安装和更新已经部署在数百万态个人计算机中,此次攻击针对的主要是一些主流IT公司网络。
6. 处置阶段
ICT组件可能包含敏感的公司或客户数据,处置不当可能导致数据泄露。恶意行为者还可以尝试翻新组件,尝试将其作为新组件进行转售。使用过的组件可靠性可能较低,容易出现故障,或者安装恶意软件,造成损害。
案例——敏感联邦数据丢失
2010年,内部审计中发现一家联邦机构正出售包含敏感信息的计算机设备。某些设备甚至未能通过卫生验证测试,导致敏感的联邦机构数据泄露。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
