信息化觀察網(wǎng)

本文來自數(shù)世咨詢，作者/nana。

企業(yè)逐漸意識(shí)到需要建立更好的軟件供應(yīng)鏈風(fēng)險(xiǎn)管理策略，并正采取行動(dòng)應(yīng)對(duì)這一攻擊面上不斷升級(jí)的威脅和漏洞。

前段時(shí)間，Coalfire委托網(wǎng)絡(luò)安全及信息風(fēng)險(xiǎn)管理市場(chǎng)商業(yè)情報(bào)公司CyberRisk Alliance，對(duì)來自軟件購買和軟件生產(chǎn)公司的300位受訪者進(jìn)行了調(diào)查訪問。

大部分受訪者（52%）稱自己“非常”或“極度”關(guān)注軟件供應(yīng)鏈風(fēng)險(xiǎn)，84%的受訪者表示其所在企業(yè)可能分配至少5%的應(yīng)用安全預(yù)算用于管理軟件供應(yīng)鏈風(fēng)險(xiǎn)。

7月19日發(fā)布的調(diào)研報(bào)告表明，軟件購買方計(jì)劃投資于采購計(jì)劃指標(biāo)和報(bào)告、應(yīng)用程序滲透測(cè)試和軟件物料清單（SBOM）設(shè)計(jì)與實(shí)現(xiàn)。

同時(shí)，軟件開發(fā)商表示，計(jì)劃投資安全代碼審核及SBOM設(shè)計(jì)與實(shí)現(xiàn)。

調(diào)研還發(fā)現(xiàn)，由于對(duì)代碼來源的擔(dān)憂，59%的軟件開發(fā)公司客戶延遲了長達(dá)三個(gè)月才完成購買。

正如Coalfire副總裁Dan Cornell解釋的，統(tǒng)計(jì)數(shù)據(jù)反映出網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和一般業(yè)務(wù)風(fēng)險(xiǎn)逐漸融合，表明企業(yè)認(rèn)為軟件供應(yīng)鏈風(fēng)險(xiǎn)大到需要暫緩購買，直到這些風(fēng)險(xiǎn)能夠得以解決。

“但在我們的現(xiàn)代商業(yè)環(huán)境中，延遲購買會(huì)增加商業(yè)風(fēng)險(xiǎn)，因?yàn)檫@樣會(huì)推遲向利益相關(guān)者交付價(jià)值，并會(huì)為競(jìng)爭(zhēng)對(duì)手提供搶先進(jìn)入市場(chǎng)的機(jī)會(huì)。”他補(bǔ)充道，“因此，企業(yè)需要研究他們是如何應(yīng)對(duì)供應(yīng)鏈風(fēng)險(xiǎn)的。”

Cornell表示，如果他們能夠充分應(yīng)對(duì)這一風(fēng)險(xiǎn)，而且比競(jìng)爭(zhēng)對(duì)手更迅速，那就意味著他們可以更快進(jìn)入市場(chǎng)，更快開始為利益相關(guān)者創(chuàng)造價(jià)值。

“而如果他們不能，那么軟件供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險(xiǎn)就會(huì)增加錯(cuò)過機(jī)會(huì)的商業(yè)風(fēng)險(xiǎn)。”

高管層關(guān)注軟件供應(yīng)鏈安全

Cornell稱，關(guān)于向前推進(jìn)的一些重要發(fā)現(xiàn)圍繞響應(yīng)企業(yè)中誰關(guān)注軟件供應(yīng)鏈問題而展開。

軟件買家方面，51%的高級(jí)管理層（首席級(jí)）提出了軟件供應(yīng)鏈問題，僅次于關(guān)注該問題的安全團(tuán)隊(duì)成員（60%）。

“我料到安全團(tuán)隊(duì)會(huì)提出這些問題，但是高級(jí)管理人員也關(guān)心這個(gè)問題就特別有意思了。”Cornell指出，“這很棒，是在此問題上取得重大進(jìn)展的必要前提。很明顯，安全團(tuán)隊(duì)關(guān)心這些問題，但是他們不負(fù)責(zé)訂立企業(yè)策略和方針，是高管在負(fù)責(zé)。”

Cornell稱，有了高管的參與，他們就會(huì)開始在預(yù)算分配中反映這一重點(diǎn)。

“然后，而且也只有到那時(shí)，才能以結(jié)構(gòu)化和程序化的方式解決軟件供應(yīng)鏈問題。”

而在軟件供應(yīng)商方面，Cornell指出，71%的受訪者表示，是DevOps部門在推進(jìn)軟件供應(yīng)鏈決策，這么認(rèn)為的受訪者人數(shù)甚至超過了認(rèn)為是安全團(tuán)隊(duì)的（63%）。

“這真的很令人鼓舞——我認(rèn)為讓安全團(tuán)隊(duì)以外的人來推動(dòng)這些措施非常重要。”他解釋道，“安全團(tuán)隊(duì)需要成為風(fēng)險(xiǎn)顧問，但DevOps團(tuán)隊(duì)才是選擇其項(xiàng)目所用開源組件的人，并且還負(fù)責(zé)決定升級(jí)的內(nèi)容和時(shí)間。”

Cornell補(bǔ)充稱，看到他們嚴(yán)肅認(rèn)真地對(duì)待這個(gè)問題，自己覺得這些問題有望開始得到解決。

DevOps團(tuán)隊(duì)構(gòu)建風(fēng)險(xiǎn)管理中心

在Cornell看來，DevOps團(tuán)隊(duì)，或者更完善的DevSecOps團(tuán)隊(duì)，應(yīng)該切實(shí)主管軟件供應(yīng)鏈風(fēng)險(xiǎn)。

“他們才是擁有軟件開發(fā)過程的那些人，能看到編寫的代碼。”Cornell表示，“他們看到有哪些組件被納入進(jìn)來，看著軟件逐漸構(gòu)建成型，并讓接下來的任何人都可以使用這個(gè)軟件。”

鑒于擁有這一優(yōu)勢(shì)，DevOps團(tuán)隊(duì)能夠以積極的方式影響企業(yè)的軟件供應(yīng)鏈安全狀態(tài)，圍繞軟件中包含的開源代碼及其升級(jí)時(shí)機(jī)實(shí)現(xiàn)良好的策略和實(shí)踐。

“前瞻型DevSecOps團(tuán)隊(duì)可以利用其自動(dòng)化和測(cè)試優(yōu)勢(shì)，著手推動(dòng)更積極的組件升級(jí)生命周期和有助于減少技術(shù)債務(wù)的其他方法。”他解釋道。

Cornell表示，他們也擁有可以幫助生成SBOM的工具，可以將之提供給軟件消費(fèi)者，使其能夠管理自身供應(yīng)鏈風(fēng)險(xiǎn)。

“解決軟件供應(yīng)鏈安全風(fēng)險(xiǎn)未必需要企業(yè)采用DevSecOps方法來進(jìn)行軟件開發(fā)。”

建立風(fēng)險(xiǎn)評(píng)估框架

今年5月，MITRE公布了一個(gè)信息與通信技術(shù)（ICT）原型框架，該框架定義和量化了包括軟件在內(nèi)的供應(yīng)鏈風(fēng)險(xiǎn)和安全問題。

就在同一個(gè)月里，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）更新了其解決軟件供應(yīng)鏈風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全指南，為各類利益相關(guān)者提供量身定制的建議安全控制集。

與此同時(shí)，越來越多的惡意黑客將供應(yīng)鏈公司視為企業(yè)網(wǎng)絡(luò)的切入點(diǎn)，其中就包括臭名昭著的朝鮮Lazarus團(tuán)伙。