Home / Resources / ISACA Journal / Issues / 2021 / Volume 6 / 信息通信技术与服务供应链风险管理剖析

信息通信技术与服务供应链风险管理剖析

j21v6-The-Anatomy-of-ICT
Author: Vimal Mani, CISA, CISM,六西格玛黑带
Date Published: 30 October 2021
Related: 欧盟金融部门的数字化运营弹性:基于风险的方法

创新的网络攻击正在全球各地涌现 world in the wake of the COVID-19 pandemic. 攻击者正在使用更复杂的工具, techniques and processes (TTPs), including 信息和通信技术 服务供应链也越来越 网络攻击的有效渠道. The 太阳风攻击,目标是数百人 组织通过ICT供应链,开设了一个 潘多拉的盒子里隐藏着风险,制造了恐慌 waves among global IT and security leaders.1 Apart 从以产品为基础的行业来看,很多澳门赌场官方下载都是这样 没有指示他们的风险管理团队去覆盖 信息通信技术供应链,尽管大多数情况下确实如此 实施风险管理控制 ICT服务链. 网络攻击的目标是信息通信技术和 服务于各类澳门赌场官方下载的供应链, including service-driven ones; therefore, ICT and 服务供应链的风险管理应该是一个 一个组织的澳门赌场官方下载风险的关键部分 管理框架.

何谓资讯及通讯科技及服务 Supply Chain?

信息通信技术和服务供应链是整个供应链 连接生命周期的活动链 信息通信技术系统的采购和维护 services. More specifically, the ICT supply chain is 一个覆盖ICT整个生命周期的生态系统 硬件和软件由第三方提供 vendors, suppliers, system integrators and 承包商和广泛的管理服务 由不同的供应商提供. 在全球范围内,澳门赌场官方下载依赖 对各种供应商进行获取和维护 新的信息通信技术系统和设备. Servers, 终端,网络设备,软件,电气和 电子元器件,并提供各种服务 从全球各地的供应商那里采购 有自己的内部供应商吗. The SolarWinds 攻击利用了存在于 SolarWinds Orion业务的供应链 software.2 In response, the US Cybersecurity and 基础设施安全局(CISA)发布了一项紧急指令,以减轻和预防 太阳风的妥协方案.3 此外,美国 政府问责局(GAO)发布了一份 2020年12月的报告,要求澳门赌场官方下载 采取快速行动,以减轻存在的风险 their ICT and services supply chains.4

信息通信技术和服务中的潜在风险 Supply Chains

需要调查几个关键的风险因素 ICT and services supply chains to establish appropriate risk mitigation controls:

  • Delivery of vulnerable software into the supply chains
  • Software upgrades infected with malware
  • 假冒设备和组件
  • Unsecured production infrastructure
  • Ineffective contracts signed with suppliers

降低引入风险 Vulnerable Software Into Supply Chains

澳门赌场官方下载使用各种软件进行开发 生命周期(SDLC)模型,例如瀑布模型 模型,Rational统一过程(RUP),螺旋模型, Agile Methods, Capability Maturity Model 集成(CMMI)和DevOps. Most of these models lack secure software development 实践,这会导致易受攻击的软件. To 克服这一风险,是澳门赌场官方下载应该考虑的 在SDLC或SDLC中合并安全控制 使用独家担保的SDLC模型;5 such as the Building Security in Maturity Model (BSIMM), 软件保证成熟度模型(SAMM) 微软安全开发生命周期(SDL)或 国际标准化组织 (ISO)/国际电工委员会 (IEC) ISO/IEC 27034标准.

SECURE SOFTWARE 开发模型可以 帮助创建安全的 有弹性的软件 应用程序保持 OUT HACKERS.

编写安全的代码对于确保安全性至关重要 reliability and resiliency of software. Most weaknesses are found in the design or SDLC的实施阶段. Hackers are 聪明,精通软件开发; 因此,有一个彻底的 了解如何利用软件来 有效地保护它和它处理的数据. Secure software development models can help 创建安全且有弹性的软件应用程序 防止黑客入侵. Those include:

  • BSIMM—A study of existing software security initiatives observed in more than 100 组织全球. 作为新的发展 methodologies and threats emerge, the BSIMM will evolve.6
  • SAMM—A framework that helps organizations 开发、实施和改进他们的软件 security postures in a measurable manner. SAMM基于12个安全实践分组 分为五大业务功能. Every security 实践可以进一步细化成一套 activities. 由开放网络开发 Application Security Project (OWASP), SAMM helps organizations improve their software 安全姿态通过集成各种安全 控件添加到现有的sdlc中.7
  • Microsoft SDL-微软的结果 公司的可信计算计划 确保其产品开发团队 开发是否安全、可用和可靠 software.8
  • ISO/IEC 27034 信息技术安全 techniques-Application安全—Provides 集成安全控制的指南 the application development life cycle. These guidelines are applicable for in-house and 外包应用程序开发生态系统. 它们提供了一个过程框架来确保 即敏感应用开发的金融 服务业,医疗保健,国防,航空,医疗 device manufacturing and mission-critical 行业以前满足安全期望 software-oriented products hit the market. 应用程序安全控制(ASC)是最重要的 ISO/IEC 27034的关键要素,因为它有帮助 加强应用程序的安全性.9

软件安全提升用户体验 Experience

软件的安全性、安全性和可靠性是核心 软件可用性要素. 评估软件 从最终用户的角度来看,可用性包括 关键因素,如产品是否容易 使用,如何安全的产品是来自黑客和 how reliable the software operates after deployment. Considerations for mission-critical 用于飞机,国防系统和 使用的植入式医疗设备和软件 关键的基础设施,如核能 工厂,机场,水坝和炼油厂,包括如何 安全的软件是用来使用的——其中的故障 不应该影响人类的生活吗. Therefore, in 除了具有简单的图形用户之外 界面(GUI),增强了安全性、可靠性 而安全方面的软件导致了更多 优化的终端用户体验.

降低感染风险 软件升级

在太阳风的攻击中,一个木马后门名为 SUNBURST10 was inserted into the Orion software 平台升级,这本来可以避免的 使用太阳风的组织 Orion platform implemented robust ICT and 服务供应链风险管理控制; 如部署规划、回滚策略等 规划、漏洞扫描、安全风险 测试中的评估和渗透测试 之前要执行的环境关键活动 在生产环境中部署升级. 生产部署技术,如测试 using limited deployments; deployment using parallel environments; deployment of frequent, small and reversible changes; fully automated integration and deployment environments; and fully automated testing and rollback should be 适当的实施. 这有助于确保 an upgrade is stable in performance and no 存在以后可能被利用的漏洞. Appropriate product/security documentation supporting any upgrades must be reviewed 彻底确保所有的关键活动 completed before deploying the upgrade in 生产环境. 此外,产品 团队需要确保他们的产品是 适当地分阶段进入和逐步退出 product road maps. 我们的产品 不升级或打补丁会导致安全问题吗 信息通信技术供应链的妥协.

Mitigating the Risk of Counterfeit Devices and Components

假冒产品是指仿冒或仿冒的产品 替代现有行业标准产品 without legal rights or authority and are 被供应商歪曲. Counterfeit 软件和硬件产品均可作为 SUNBURST等木马恶意软件的载体 在SolarWinds Orion升级中发现的恶意软件, 并可能危及整个IT基础设施 该组织,这可能导致重大 业务中断和损失. Counterfeit 产品在黑市上出售,这是 significant risk in ICT supply chain. When devices 部件是从其他来源购买的 比原始设备制造商(OEM) partners or other authorized sources, 如果来源不明,应仔细审查, is from a 陷入困境的地缘政治位置,已经设置了一个可疑 价格太低,或者太灵活或太容易接受. 产品仿冒时成本高于正品, 正品部件在市场上的成本更高. 可用性不足的原始设备也可以 导致这些假冒产品的出现. AS5553等标准; AS6081, AS6171, AS6496, and DFARS: 252.246.7007 need to be considered appropriately in the 假冒产品的采购生命周期.11 实施控制将有助于预防 组织免于购买和使用的风险 其组织内的假冒产品,包括:

  • 对产品进行目视检查
  • 进行了破坏性和非破坏性试验 for the products
  • 产品安全保障审核通过 third party
  • 产品手册审核
  • 现场供应商审核
  • Implementation of a material control and reporting process
  • Implementation of a well-defined vendor 管理流程框架
  • Implementation of periodic vendor risk assessments
由于安全措施不力 POSTURE OF PRODUCTION ENVIRONMENTS, THERE ARE OPPORTUNITIES FOR VULNERABLE SOLUTIONS AND PRODUCTS TO BE DEVELOPED 并提供给客户.

降低无担保风险 生产基础设施

由于生产安全态势不佳 环境中,有脆弱的机会 solutions and products to be developed and 透过客户现有的资讯及通讯科技供应商提供给客户 chains. 风险管理控制需要 计划和实施以保护生产 环境,例如:

  • 需要有各种各样的网络安全控制 以相关的方式计划和实施 by considering the 生产环境.
  • Suitable security controls need to be 跨软件供应链实现 保护产品不受安全威胁.
  • Periodic cybersecurity risk assessments 目标生产环境需要 计划和执行.
  • 成品的完整性需要做到 在转移到ICT供应链之前, 经确认产品合格 配置是发布的,而产品不是 被可被利用的恶意软件破坏 by hackers.
的表现 供应链和 供应链实力 RISK MANAGEMENT 控件需要 定期基准 INTERVALS BY THE ORGANIZATION.

降低无效的风险 与供应商签订合同

大多数与供应商签订的合同只有地址 价格、服务和保修等因素 更大背景下的方案. These contracts 一般缺乏相关的条款和条件 cybersecurity assurance regarding the 产品/服务转移到信息通信技术和服务 supply chain. 产品供应商发布 产品进入全球ICT和服务供应链 是否应确保有足够的 在他们签订的合同中明确具体的要点. Those include:

  • 采用的保安方法/指引 开发生命周期
  • 将采用的保安方法/指引 在产品实施期间
  • 技术更新如何与产品相关联 will be managed (upgrades and patches)
  • 与产品支持相关的条款和条件
  • How a product life cycle will be managed (逐步淘汰寿命终止的产品并逐步引入 new products)
  • 条款和条件相关的信息和 产品的网络安全态势和 details of various assessments carried out. This 会不会增加安全感和信心 产品移动的可靠性 supply chain.
  • 有关知识产权的条款和条件 产权管理与违约相关 repercussions
  • Right to audit the suppliers as needed
  • Reference on conducting periodic contract reviews

对供应商进行定期合同评审 参与信息通信技术和服务供应链将有所帮助 organizations proactively identify gaps and 他们的产品和服务中的漏洞 及时的方式,以便他们可以计划补救 actions required to sustain and improve the 客户体验.

Strengthening the Maturity of ICT and Services Acquisition Infrastructure

Organizations should plan to implement best 例如美国国家医学研究所 Standards and Technology (NIST) Special 出版物(SP) SP 800-161 Supply Chain Risk 联邦信息管理实践 系统和组织12 and ISO/IEC 1220713 to 确保其信息通信技术产品和服务的获取 life cycle and address the potential risk. The 信息通信技术产品和服务的获取方必须确保 他们从供应商那里得到保证 adequate information security and risk 管理控制已在 供应商端. 基于能力成熟度 模型,比如软件获取能力 成熟度模型;14 的表现 供应链与供应链风险强度 需要对管理控制进行基准测试 periodic intervals by the organization. SA-CMM帮助组织识别关键的改进 信息通信技术和服务供应链的过程域 并减轻它所面临的关键风险.

Defined Vendor Management Practices

这对组织获取ICT产品至关重要 and services to have a well-defined vendor 管理框架的到位,以帮助选择 appropriate vendors and maintain low-risk 贯穿合同生命周期的关系. This vendor 管理框架 should cover 供应商生命周期阶段的关键方面,例如 供应商选择,合同签订,合同变更 management, contract renewal, onboarding of 供应商,供应商绩效管理,供应商 transition and vendor risk management. Figure 1 说明供应商管理风险的类型 面对全球组织.

Figure 1

Key Risk Indicators for Effective Vendor Risk Management

有一些关键风险指标(KRIs)样本 是否应及时跟踪帮助 组织解决关键供应商管理 risk, including:

  • 增加对特定供应商的依赖
  • 同一供应商涉及多个 正在进行的项目
  • 增加服务交付的周期 and products
  • 增加质量和安全性的数量 在交付的服务和产品中发现的问题 by the vendor(s)
  • 看到…所报价格呈上升趋势 vendors
  • 安全问题越来越多 found with vendor staff deployed onsite
  • 安全问题越来越多 在对供应商设施进行的审核中发现

供应商风险的分类和 缓解策略

并非所有的供应商风险都是相同的,而且风险往往是相同的 需要使用不同的策略来缓解. The 组织供应商的风险概况应该是 经过评估,需要适当的风险缓解战略 待识别和实施. Figure 2 illustrates risk profile vs. 缓解策略映射.

Figure 2

改善供应商风险管理 Practice

成熟的供应商风险管理实践可以 通过实现正确的 网络安全、IT、隐私、数据安全和商业 弹性控制. 供应商风险管理 需要定期对实践进行基准测试 中可用的适当成熟度模型 market, such as the Vendor Risk Management 成熟度模型;15 which helps 组织确定需要改进的特定领域,并做出明智的决策以提高效率 资源分配和使用,帮助管理供应商 management-related risk effectively.

通过评估每个项目的成熟度 模型的组件(或子组件) VRMMM最好地结合了供应商风险管理 实践变成一个可用的模型,可以用来 评估当前和期望的未来状态 组织的供应商风险管理程序. VRMMM的每个组件的成熟度级别 涵盖所有的可能性,范围 from nonexistent to continuous improvement.

有一个风险控制 ICT AND 服务供应链; 澳门赌场官方下载应 考虑有一个强有力的 担保收购 INFRASTRUCTURE.

Conclusion

The SolarWinds attack demonstrated that the 信息通信技术和服务供应中存在的漏洞 链可以被黑客成功地利用. 信息通信技术和服务中存在的漏洞 供应链,无论是有意还是无意, can result in serious compromises such as 利用,导致系统和网络故障. 提供风险可控的资讯及通讯科技及服务 连锁澳门赌场官方下载应考虑有强有强 和安全的收购基础设施,供应商 管理实践,健壮的控制,和解决潜在问题相关的评估 product safety, security and reliability. Enterprises 还应定期进行基准测试和 他们的供应链和他们的 供应链合作伙伴,他们的投入可以帮助 澳门赌场官方下载为其增加终端用户体验 信息通信技术产品和服务. 此外,澳门赌场官方下载 是否应该评估其全球的可信度 通过拥有独立的信息通信技术和 执行服务供应链保证审计 由第三方审核员和主题专家.16

Endnotes

1 Tung, L.; “SolarWinds Attack Hit 100 Companies and Took Months of Planning, 白宫说: ZDNet2021年2月18日 http://www.zdnet.com/article/solarwinds-attack-hit-100-companies-and-took-months-of-planning-says-white-house/
2 火眼,“高度规避攻击杠杆。 SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST 2020年12月13日, http://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
3 美国网络安全和基础设施安全 紧急指令21-01:缓解 SolarWinds Orion Code Compromise,美国,2020年12月13日, http://cyber.dhs.gov/ed/21-01/
4 美国政府问责局 (GAO), Report to Congressional Requesters: 信息技术: Federal Agencies Need to Take Urgent Action to Manage 供应链风险2020年12月,美国; http://www.gao.gov/assets/gao-21-171.pdf
5 何谓安全软件 Development Lifecycle and How Do You Build an Appsec Program?” http://www.hackedu.com/blog/what-is-a-secure-software-development-lifecycle-and-how-do-you-build-an-application-security-program
6 建筑安全成熟度模型(BSIMM); “关于BSIMM,” http://www.bsimm.com/about.html
7 Open Web Application Security Project (OWASP), “Software Assurance Maturity Model,” http://owaspsamm.org/
8 微软,“关于微软SDL,” http://www.microsoft.com/en-us/securityengineering/sdl/about
9 国际标准化组织 (ISO)/International Electrotechnical Commission (IEC), ISO/IEC 27034:2011 信息技术-安全技术-应用安全,瑞士,2011; http://www.iso.org/standard/44378.html
10 恶意字节实验室,后门.Sunburst,” http://blog.malwarebytes.com/detections/backdoor-sunburst/
11 Bodemuller, B.; 防伪:过去, 现在和未来美国洛克希德·马丁公司; 2020, http://www.lockheedmartin.com/content/dam/lockheed-martin/eo/documents/suppliers/training-2020-counterfeit-parts.pdf
12 国家标准与技术研究所 (NIST), NIST特别出版物(SP) 800-161 Supply Chain Risk Management Practices for 联邦信息系统和组织, USA, April 2015, http://csrc.nist.gov/publications/detail/sp/800-161/final
13 电气和电子工程师学会 (IEEE), Ieee 12207-2-2020 - iso / iec / Ieee 国际标准。系统和软件 工程-软件生命周期过程-第2部分:之间的关系和映射 ISO/IEC/IEEE 12207:2017 and ISO/IEC 12207:20082020年10月23日,美国, http://standards.ieee.org/standard/12207-2-2020.html
14 Software Engineering Institute, Software Acquisition Capability Maturity Model (SA-CMM)版本1.03, 2002, http://resources.sei.cmu.edu/library/asset-view.cfm?assetid=6099
15 共享评估,供应商风险 管理成熟度模型; http://sharedassessments.org/vrmmm/
16 Zazakova, A.; “Assessing the Trustworthiness 信息通信技术供应链:为什么和如何?” 卡巴斯基,2020年4月2日 http://www.kaspersky.com/about/policy-blog/general-cybersecurity/assessing-the-trustworthiness-of-ict-supply-chains-why-and-how

Vimal Mani, CISA, CISM,六西格玛黑带

他是沙迦银行信息安全部门的主管吗. 他负责银行的端到端网络安全项目, 在银行业务范围内协调网络安全工作 整个中东地区. Mani还负责协调整个银行的工作 网络安全战略和标准,导致周期性的安全风险 评估工作,领导事件调查和解决,以及 协调银行的安全意识和培训项目. He is an ISACA的积极成员® Dubai (United Arab Emirates) Chapter. He can be reached at vimal.consultant@gmail.com.