当组织将数十亿台已连接的设备放到公司网络中时,组织真的知道这些设备是由什么组件构成以及可能带来的风险吗?答案可能是:不清楚。
由于物联网(IoT)和运营技术(OT)设备的供应链复杂,虽然一家公司可能从其了解并信任的制造商那里购买设备,但可能没有意识到用于破坏这些设备的某些基础软件和组件可能是由另一家制造商制造的。
最近公开的在Treck制造的TCP / IP网络堆栈中发现了19个漏洞,这些漏洞可以在全球知名的供应商提供的数百万种常见设备中找到,包括工业控制系统,医疗设备,企业网络设备和打印机。这并不是唯一的物联网(IoT)和运营技术(OT)设备供应链漏洞的情况,而且供应链安全问题已在网络安全界引起了广泛关注。人们对设备及其单个部件的制造提出了进一步的担忧。例如美国政府以国家安全为由,禁止了多家中国设备制造商提供的设备。最近,特朗普总统签署了一项行政命令,禁止采购,进口,转让或安装与任何外国对手提供的大功率系统电气设备,国内也针对关键基础设施的设备入网上线提出了安全测试的要求。
设备构成的风险被整个物联网(IoT)和运营技术(OT)的规模所放大,Gartner预测到2021年将有250亿个已连接设备。供应链中一个组件的单个漏洞可能会影响多个制造商中的大部分设备。
组织在降低此类漏洞带来的风险时应考虑以下因素:
- 识别具备供应链风险设备所面临的挑战
在物联网(IoT),信息技术(IT)和运营技术(OT)设备方面,一般是没有软件物料清单(SBOM)的,因为制造商没有义务向您披露组成设备的组件。当典型的设备或软件漏洞被披露之后,组织可以相当轻松地使用诸如设备可见性和资产管理之类的工具来查找和修补其网络上的易受攻击的设备。但是如果没有标准要求公开内部包含哪些组件,那么除非供应商确认,否则很难确定哪些制造商或设备可能会受到诸如Ripple20之类的供应链漏洞的影响。
对于组织而言,这一挑战意味着在制定购买决策时,要求制造商向其提供有关组件的信息。虽然仅基于安全性做出每个采购决策是不现实的,但是面对供应链安全问题,要求提供基本组件信息可以进行最佳的风险评估。
- 一种风险,许多设备
供应链安全风险与众不同的一个原因是一个漏洞可以影响多种类型的设备。例如,Ripple20会影响信息技术(IT)和运营技术(OT)网络上的各种设备,包括工业控制系统,医疗设备,企业网络设备和打印机。据发现漏洞的JSOF公司估计,漏洞可能会影响全球许多制造商数亿个设备。尽管这只是一个例子,但这种现象放大了此类漏洞的风险。
对于组织而言,有可能Ripple20漏洞带来的风险已经存在于其环境中。尽管受影响的制造商列表仍在不断更新,但组织可以识别那些已知的受影响设备,并采取适当的风险缓解措施。
- 发行补丁存在的困难
一旦发现此类漏洞,则由软件或组件制造商来发行其补丁,设备制造商负责分发最终用户应用的补丁。这意味着补丁程序需要由一个制造商发行,然后由两个以上制造商识别和合并推向最终用户,由最终用户自行进行补丁升级,这是一个复杂的供应链。
所有这些步骤均假定设备制造商可以实施这些修补程序,但是制造商完全有可能倒闭或不再支持所讨论的设备,那么必要的安全更新将不会传递给最终用户。在这种情况下,组织将需要主动通过对网络进行分段或将其完全从网络中删除来杜绝存在的安全风险。
- 应用补丁程序的挑战
即便制造商能为最终用户提供补丁程序,但是仍然存在无法修复安全漏洞的可能。发生这种情况的原因有很多,其中包括由于无法容忍的停机时间而无法更新设备或无法运行升级后的软件等。无论是什么原因,企业都必须通过网络分段之类的安全解决方案来减轻这种风险,限制易受攻击的设备对网络其他部分的影响。
组织如何应对供应链风险?
盘点和修补已知的易受攻击的设备,对网络进行分段以阻止对危险设备的攻击或者以危险设备为跳板进行横向移动的攻击行为,并持续监控网络中是否存在违规迹象。
在将任何设备连接到网络之前,组织还应该通过询问以下问题来评估其制造商:
- 是否使用安全的开发生命周期(包括源代码审查和渗透测试)来减少物联网(IoT)设备中的漏洞数量?该测试过程中是否包括第三方组件?
- 是否实施了缓解漏洞的方法,例如地址空间布局随机化(ASLR)和数据执行保护(DEP),增加漏洞利用的难度?
- 是否具有安全更新程序,可以在发现漏洞时修复漏洞?更新是否安全交付?用户可以自主控制何时应用这些更新吗?
- 制造商能提供设备中包含的软硬件组件信息吗?
- 是否可以追踪制造商及其供应商的来源吗?(这变得越来越重要,尤其是对于政府组织。)
根据这些问题的答案,组织可以做出明智的风险决策,并更有效地监控其物联网(IoT)设备的安全状况。
参考资料: