全球處於專業分工時代,企業往往需要藉助上下游供應鏈完成產品或服務交付,供應鏈安全因此更加重要。與此同時,軟體的供應鏈安全議題也逐漸走向標準化、法規化,供應鏈安全已成為ICT業者不可忽視的關鍵面向。
2020年的SolarWinds事件,引起了全球對供應鏈安全的廣泛關注。SolarWinds是協助企業管理網路、系統及IT基礎設施的供應商,當時財星500大企業中多達425家採用其產品,影響力甚大。駭客有計畫地入侵SolarWinds,最終導致1萬多家企業客戶慘遭池魚之殃,故這起事件被認定為一次重大的供應鏈攻擊。
自SolarWinds事件以來,這種透過供應鏈信任圈的攻擊事件層出不窮,究其原因,與當前處於專業分工時代的現況息息相關。目前,企業很難單靠一己之力完成產品或服務交付,必須藉助上下游供應鏈、委外廠商,乃至開源程式庫與元件,因此給予攻擊者可乘之機,進一步引發各界對供應鏈資安的重視。
供應鏈安全並非新課題,早在2000年左右便開始備受討論,只是當時關注焦點不在資安,而是主要源自911恐怖攻擊事件引發大眾對供應鏈斷鏈的擔憂,讓全球產業驚覺可能因某一事件造成業務衝擊,於是開始重視ISO 28000供應鏈安全管理系統標準,尚未談及資安。
爾後隨著企業對資訊科技的依賴度增加,加上近年地緣政治風險升高,供應鏈安全的內涵也有所轉變。在美國拜登政府相繼發布EO 14017、EO 14018等行政命令後,逐漸將軟體的供應鏈安全議題導向標準化、法規化。
參酌CMMC規畫 檢視合作夥伴的資安成熟度
隸屬於DEKRA德凱集團的安華聯網,主要扮演合規服務供應商角色,指出在進行企業資安風險評估時,首要之務是定義範圍、識別風險。定義資安保護範圍,主要可從三個面向來盤點,一是自家公司內的ICT,二是使用服務供應商提供的環境,三是供應鏈夥伴的安全性。
供應鏈資安的起手式,便是根據機敏性、完整性與可用性等指標來檢視資料流,藉此盤點風險。探究的重點包括瞭解重要資料有哪些、它們流向何方,接著據此定義管理政策或流程。此時企業可參考先進國家組織訂定的管理制度,例如美國NIST制訂的Guideline,後續多會演變為國際標準,即是值得遵循的標的;目前,諸如NIST SP 800-171、NIST SP 800-172等與網路安全成熟度模型認證(Cybersecurity Maturity Model Certification, CMMC)相關的美國軍工產業供應鏈資安議題規範,均是適合參考的標準。
供應鏈資安的核心問題:安全開發生命週期
簡言之,早年供應鏈安全講的是「貨運安全」,直至近年才慢慢演變為更強調「軟體安全」。探討供應鏈資安時,很多時候是從應用層面著手,但所有ICT的資安問題,其追根究底還是因為軟韌體的安全問題。因此,企業迫切需要強化的是軟體開發的供應鏈安全。針對這一趨勢,企業需要關注的法規為NIST SP 800-218,從安全軟體開發框架(Secure Software Development Framework, SSDF)的角度檢視企業如何執行安全開發,包含組織需要具有對應的資源、人員、政策作為推動依據,同時建立對應的機制來保護軟體,進而確保最終產出的是安全的軟體。
在實踐NIST SP 800-218的同時,建議可參考CIS的軟體供應鏈安全指引(Software Supply Chain Security Guide),其中包含幾個重點,一是環境管控,企業必須管控開發環境,包含置放原始碼的地方、編譯的環境、打包的環境;二是自動化,現今軟體安全開發的一大重點在於軟體物料清單(SBOM),企業需要詳列軟體裡頭涵蓋的元件,此事無法由人工執行,一定需要藉助自動化工具,且納入開發流程;三是完整性,盡可能確保下載的套件(Package)或函式庫(Library)安全無虞;四是可究責性,需要完整記錄原始碼(Source Code)經過誰提交(Commit)、誰審查(Review),而誰又是負責人(Owner),並確保這些資料不會被任意竄改。
善用驗證機制 工控/車用資安重要性提升
截至目前,台灣有兩個推動供應鏈資安的力道相對較強的產業。其一為工控,係因其中涵蓋關鍵基礎設施,其安全性對大眾民生至關重要,不容許出現問題。為此,工控產業遵循IEC 62443標準,針對資產擁有者(Asset Owner)、服務供應商(Service Provider)、系統整合商(System Integrator)、元件供應商(Component Provider)四類角色,分別提出不同的資安指引或標準。IEC 62443框架旨在建構安全的產業鏈,在設計時便把產業中不同的角色均列入考量。
另一個重視供應鏈資安的領域為汽車產業。儘管有業者戲稱台灣僅有1.5家車廠,但台灣ICT業者如果希望將產品推向汽車應用,便需要符合汽車產業的供應鏈安全規範。歸納相關法規或標準不在少數,重點包括EU定義的R155車輛網路安全、R156軟體更新安全等法規,以及各自衍生的ISO/SAE 21434、ISO 24089標準。所有汽車上市前接受Type Approval時,均會被檢視是否符合這些規定。藉由要求車廠產品的安全性,車廠將要求其供應商的產品安全,藉此建立完整的安全供應鏈。
(本文由安華聯網科技提供)
(針對資安驗證,如欲瞭解更多,請參考資安合規暨國際認驗證)