本月早些时候,本文作者知名网络安全博主Brian Krebs在纽约州奥尔巴尼召开的网络安全会议上,与互联网安全中心高级副总裁兼首席布道者、美国国家安全局前“漏洞猎人”Tonhy Sager进行了面对面交流。
我们具体讨论了诸多问题,特别是供应链安全方面的议题。我问Sager是否听说过关于Supermicro(一家位于加利福尼亚州圣何塞的高科技企业)据称曾在出售给多家美国公司的技术方案中插入硬件后门的传闻。
互联网安全中心高级副总裁兼首席布道师Tony Sager
Sager与我的讨论内容,主要集中在《彭博商业周刊》此前发布的、引发巨大争议的新闻,该报道称Supermicro公司欺骗近30家企业购买其嵌有后门的硬件。Sager指出,他并没有听说与Supermicro相关的具体消息,但我们在交流中详尽讨论了对技术供应链进行监管时所面临的各类挑战。
以下是我们对话内容的要点摘录。我个人感到受益匪浅,希望大家也能有相同的体会。
Brian Krebs (以下简称BK): 您认为美国政府是否在供应链安全问题上投入了充足的时间与精力?这似乎是一类相当重大的威胁,同时也是一类难以解决的威胁。
Tony Sager (以下简称TS): 联邦政府一直在担心这类问题。上世纪七、八十年代,政府在技术领域中仍然占据主导地位,而且技术供应链本身还没有实现大规模国际化。
但即使是在那个时候,也已经有人意识到其中存在着问题,而且出现了一系列非常重要的政府相关调查计划。
BK: 没错,我觉得Trusted Foundry计划就是个很好的例子。
TS: 是的,该计划的出台是为了支持美国的技术产业,建立起本土合作平台,帮助各企业肃清人员组成并对相关流程及组件进行全面控制。
BK: 您认为为什么会有那么多企业未能坚持通过美国本土的代码与硬件体系生产产品?
TS: 与安全领域的很多其它问题一样,其归根结底源自经济因素。最终,离岸外包组件与劳动力成本所体现出的差异,压倒了一切相关管控制度。
BK: 不过在计算机硬件与网络设计领域中的某些层面,不是必须要实现更高的完整性保障能力吗?
TS: 没错,正因为如此,他们才建立起桑迪亚国家实验室(美国三座国家级核安全研究与开发实验室之一)。他们希望借此了解是否有人可能偷偷将某些部件塞进核武器设计方案当中。
其基本设计原则是假设流程中某人可能会以某种方式施加破坏,因此相关设计理念在于确保无人能够在特定流程内嵌入任何计划外组件,且系统中每个方面的控制机制都能够得到明确观察。为了实现这些,必然需要建立大量技术与程序控制方案。
不过最重要的是,对于一切非核电子元件来讲,这项目标的实现往往极为困难。因为现有的电子零件全部以离岸外包的形式生产,运行在该硬件之上的各种软件也同样如此。
BK: 也就是说,政府实际上只对那些可能会影响到其需要采购及使用的产品的对应供应链安全感兴趣?
TS: 政府仍然会定期召开供应链风险管理会议,但这个问题并没有简单可行的答案。检测错误所要求的技术能力甚至比制造产品的技术能力更高。
BK: 等等……您说什么?
TS: 假设某个民族国家主导一项技术,其在理论上能够植入某些东西。在这种情况下,攻击者也同样面临着自己的风险模型。没错,他们当然能够向电路或者设计方案中添加额外的东西,但其曝光风险也将随之上升。
那么,攻击者能否控制这些被引入特定设计或产品的组件?当然可以,但一般来说攻击者并不太清楚该产品的实际用途是什么,或者说无法确保目标如何使用这款产品。实际上,也有少部分攻击者能够解决这个问题。以往,我们发现有些攻击者会针对分销体系中的供应链,追踪目标市场中的特定设备以减少恶意活动被发现的机率,这种作法的危害显然更大。
BK: 那么,如果无法真正限制受入侵硬件攻击的目标范围,那么此类针对性攻击活动就会引发不良后果。
TS: 是的,我们当然可以在一切产品当中添加后门之类的东西,但这时我们就会与攻击者一样面对新的分析难题——即如何立足后端处理这套庞大的数据采集集合。当然,一部分国家拥有着远高于其它国家的大量数据采集筛选能力。
BK: 您能谈谈政府在这方面的做法吗?例如如何确定某一特定技术供应商是否有可能尝试在相关订单当中加入某些遭到入侵的设备?
TS: 这里有一个所谓“盲购”概念,即如果大家认为威胁载体源自某人侵入了我们的供应链并破坏了单一设备或设备群组的安全性,那么政府就会想出一种对特定系统的采购方法,确保没人能够将其作为攻击目标。换句话说,卖方并不清楚买方实际上是政府部门。这是一种已经高度标准化的技术手段,当然,攻击方也已经意识到这一点,因此双方就此开展了新一轮猫鼠游戏。
BK: 我知道您曾在之前提到过,您不打算对最近彭博文章中的具体报道做出评论。但看起来,针对云服务供应商的供应链攻击似乎拥有很大的吸引力。您能否谈谈大型云服务供应商该如何解决将受入侵硬件纳入运营体系这一严重威胁?
TS: 这当然是一类重要的潜在攻击方式,但同时也是一种复杂的攻击方式——特别是考虑到云计算的本质,即在同一设备上承载大量租户。如果使用内部部署技术对目标实施攻击,那么方法将非常简单。不过需要强调的是,云计算的目的是对机器本身进行抽象化处理,从而更高效地利用同一批资源,以便在特定设备上承载大量用户。考虑到这一点,攻击者要如何立足供应链瞄准其入侵目标?
BK: 这些以大规模云环境为基础的企业在运营当中……是否存在着某些独特的运作方式,从而确保其拥有远高于其它行业企业的供应链攻击弹性?
TS: 这是个很好的问题。目前的积极趋势在于,为了提供与谷歌、亚马逊以及微软自有业务体系相同的速度与规模表现,这些企业已经不太倾向于直接采用现成硬件,而更多主张自行构建定制化硬件。
BK: 您能举几个相关例子吗?
TS: 这些云服务供应商之间存在着很多共识性的讨论——包括他们可以合作设计其中哪些部分,从而帮助一切客户共同利用这部分市场。因此,我们开始观察到服务供应商已经开始由现成组件转向自主设计或深度参与组件设计的处理方式,从而真正为相关硬件建立安全控制方案。当然,设计的准确实现又是另一个问题,但必须承认的是目前的技术方案已经非常复杂,因此后门的插入难度也在不断提升。可以肯定的是,隐藏后门这类计划外事物已经变得愈发困难。
BK: 这一点非常有趣,特别是考虑到我们都在同时使用多种不同云平台。是否还有其它例子能够说明云服务供应商的现有运作思路,能够进一步提升攻击者通过供应链入侵实现服务破坏目标的难度?
TS: 其中一项因素在于云服务供应商会定期推出新的技术方案,并以此为基础不断压缩技术成果的保质期。他们都希望获得更快、更高效且更强大的硬件,而这种动态环境本身的攻击难度将随之提高。这实际上会给攻击者带来极高的攻击实施成本,因为其可能需要一年时间才能在目标环境中获得立足点; 所以在大多数情况下,技术保质期的缩短实际上提高了攻击活动的实施成本。
着眼于亚马逊、谷歌以及微软,他们都在积极提升架构与设计层面的功能水平,从而真正支撑起自身服务模式——包括预先引入越来越多的安全性因素。没错,他们仍在使用大量非美国出产的组件,但他们已经明确意识到这个问题。虽然这并不意味着供应链攻击将彻底无法实现,但可以肯定的是,随着时间的推移这类攻击活动的实施难度将快速增长。
BK: 在我看来,政府为了帮助保护技术供应链所做出的大部分努力,都是在寻求以某种可能的方式避免问题组件——这种思路更像是对坦克、船只以及飞机进行质量保证,而非更具体地审视商业性技术方案。您认为这样的结论是否准确?
TS: 我认为这种表述还是比较客观的。这是一个后勤保障性质的问题。在这方面,我们往往会将透明度作为一项通用的设计理念。此外,我们还需要重视问责制与可追溯性。目前业界有句名言,如果无法建立安全性,那么至少需要建立问责制。道理很简单,大家往往无法建立最好或者最完美的安全性保障,但只要能够实现问责制与可追溯性,那么其足以带来强大的威慑力与必要的支持性。
BK: 您能举几个例子吗?
TS: 这方面,主要是强调高质量与记录内容的不可变性。如果大家建立起强有力的问责制度,那么一旦出现问题,我们就能够追溯到问题由谁造成以及真正源头,以确保攻击者在技术上更难以隐藏自身。一旦我们拥有这种追溯至计算机主板制造方的能力,也就意味着极大提升了攻击者的活动难度。因此,如果大家无法阻止每一场攻击,那么建立问责制与可追溯性同样能够让攻击者难以得逞,这对防御工作无疑是个好消息。
BK: 那么,供应链安全更多属于物理安全问题,还是网络安全问题?
TS: 人们一般会将供应链安全理解为一种网络安全问题,但实际情况并非如此。要真正阻止攻击者对我们供应链的破坏,那么大家首先应当阻断那些可能并非发生在网络领域中的行为,例如设立挂名公司或者贿赂相关人员等。在这些领域——特别是与人相关的层面,我们已经拥有现成的管理机制,而这些将成为恶意活动的前沿探测工具。
BK: 网络监控在这一流程当中扮演着怎样的角色?我现在从不少技术专家那里听到一种说法,他们认为组织应该有能力检测到供应链入侵问题,因为他们具备现有网络监控体系,因此可以看到有大量数据传出其网络。您认为网络监控在应对潜在供应链攻击活动中到底发挥着怎样的作用?
TS: 我对此并没有那么乐观。实际上,出站流量可以轻松加以隐藏。监控的核心在于从符合预期的正常流量或流量类型中发现异常,而这一直都是个难以解决的问题。对于美国政府而言,边界监控、流量自然传输以及默认对互联网整体流量进行加密等因素的存在必然彼此制约并影响监控效果。事实上,由于隧道及加密机制的存在,很多流量的内容都无法进行解析——国防部也一直在努力解决这一挑战。
现在我们可以采用经由代理实现的中间人流量机制并对其内容进行全面检查,这也是比较理想的网络边界管制方法——但必须承认,如今的网络流量在速度与数量方面都非常夸张,监控起来并不容易。
BK: 政府是不是已经通过“可依赖互联网连接”或者爱因斯坦计划着手进行流量监控?即在网关之上整合全部流量,并尝试检查传入与发出的内容?
TS: 是的,所以政府目前也面临着这样一个规模无比庞大且速度极快的流量检查难题。要监控内容且不中断流量,政府必须运用最前沿的技术手段,同时想办法解决各类加密技术引入的复杂性。如果单纯只是利用代理机制对流量进行拆分以及检查,而后重新加密数据,那么网络流量的速度表现将令人无法忍受。
BK: 这是否意味着立足边界进行此类监控完全是在浪费时间?
TS: 当然不是。攻击者最初的立足点能够轻松通过合法隧道建立起来——例如窃取企业内部的某些帐户。经由边界的特定数据包流的真正意义,我们只有在其通过并得到执行后才能了解。因此,我们无法解决网络边界处的每一个问题。有些内容,只有在其传输至目标设备后才会大白于天下。
BK: 您认为供应链保障挑战与企业对物联网设备的保护挑战之间是否存在相似之处?毕竟我们在过去几年当中已经经历过多轮由物联网设备引发的DDoS攻击,对其加以认真对待是否能够解决这类针对关键基础设施的国家层面安全威胁?
TS: 当然,安全保障拥有显著的经济学意义。在物联网世界中,我们将拥有大量低成本且寿命相对较短的组件,因此对物联网的监管也应考虑到其它特殊要求。不过我最近听到了很多讨论,其中不再强调自上而下的解决方案,而更像是目前美国食品与药物管理局这类机构颁发的医疗器械认证。换句话说,我们可能更希望在这些设备实际面世之前,就对其安全性拥有全面而准确的了解。
BK: 对物联网及供应链问题的解决水平,是否在很大程度上取决于我们对硬件相关代码的审查能力以及对安全漏洞的发现能力?您认为这方面责任应该由谁来承担?
TS: 我曾经担任过“漏洞猎人”职务,也就是以从他人编写的软件中找寻零日漏洞为生。我意识到,技术水平的局限会带来人类能力永远无法解决的问题。事实上,对软件进行检查本身所带来的威慑能力,实际上要远高于检查工作的真实效果。无论出于故意还是无意为之,人们总会犯错。因此只要有一种透明的方法能够让我们找到并公开一两项漏洞,那么整体开发工作都将得到显著的效能提升。
BK: 听起来,我们也可以利用同样的方法提升选举设备与相关代码的安全性水平。这也是最近热度很高的议题之一。
TS: 我们现在肯定会把选举设备纳入安全考量。我们面对的实际是个经典的议题,即黑客开始高举真理的旗帜,而供应商却在拼命推卸责任。虽然也有些供应商愿意正视此类问题,但开放漏洞社区的积极活动也给其带来了不小的麻烦。
问题在于,我们该如何为流程带来一定程度的透明性,但同时又尽可能避免把供应商的商业机密与代码曝光在整个世界面前?他们又应该在开发实践的成本效益层面做些什么,从而确保自身能够在结果发布之前解决安全问题。这一点非常重要,因为选举必须给出结果,而这一结果关乎公众对政府的信心。当然,提高透明度是一种很好的解决办法。
BK: 那么这一切对于普通用户而言意味着什么?随着物联网设备在消费者家庭中的激增,我们是否有望看到更多工具帮助人们更好地控制这些系统在本地网络上的表现?
TS: 大多数供应链问题都不是个人能够处理的,甚至超出了小型企业的解决范畴。事实上,除了企业在这方面的作用之外,我们确实也需要呼吁整个国家更多关注这类问题。
现在,我们几乎不可能阻止消费者购买那些与互联网对接的电子产品。如今的芯片组成本很低,而且每款设备都内置有自己的Wi-Fi芯片——意味着无论是否真有意义,供应商都乐于将联网功能引入产品当中。我想我们会看到市场上出现更多安全保障方案,用以管理各类设备。因此,我们可以制定约束性规则,例如设备只能与制造商指定的后端通信。
我们将看到越来越多的消费者利用这些更易于使用的工具协助管理自己的所有设备。我们已经在家庭网关与网络管理层中看到许多厂商对该领域主导地位的争夺。随着此类联网设备的复杂性不断提升,相信未来将有更多以消费者为导向的工具出现并实现管理功能。一部分宽带供应商已经开始提供相关服务,用于检测家中正在运行的设备并帮助用户控制何时允许这些设备与互联网进行通信。
自彭博社发布相关报道以来,美国国土安全部与英国国家网络安全中心(隶属于英国情报机构GCHQ)均发表声明,表示并无理由怀疑亚马逊及苹果受到此次Supermicro供应链安全事件的影响。此外,苹果公司还向美国国会递交了一份措辞强硬的信件,其中对此次事件予以坚决否认。
与此同时,彭博社的记者亦发表了一篇后续报道,其中引用新的、记录翔实的证据以支持他们在此前报道中提出的观点。
本文由安全内参翻译自KrebsOnSecurity
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
