网安 - 专业的网络安全产业、社区、知识平台

MITRE推出供应链安全原型

VSole2023-04-03 10:32:03

MITRE的“信任系统”(System of Trust,SoT)框架可定义和量化供应链风险和网络安全问题。近日,MITRE悄悄为此框架发布了基于云的原型平台。

该平台名为“风险模型管理器”(RMM),可供企业和机构评估供应链风险及安全,查看、编辑和定制SoT框架内容,或者将之导出作为子集框架使用。MITRE在2022年RSA大会(RSAC)上提出了SoT框架概念,并将于下月在旧金山举行的2023年RSAC上官宣RMM原型平台。

SolarWinds和Log4j等重大攻击让人深切感受到了恶意黑客入侵供应商软件并进而染指客户软件的危险,大声敲响了供应链风险和安全的警钟。截至目前,业界还没有公认的通用方法来定义或衡量此类风险。而MITRE的SoT框架提供了评估供应商、服务提供商和供应品的标准方法,网络安全团队和整个企业都可以用这个框架来评估供应商或软件产品。

SoT框架是托管在AWS上的云原生应用,围绕与供应商、服务提供商和供应品相关的14个顶级风险领域展开,例如供应商的财务稳定状况和网络安全实践,以及假冒伪劣产品的风险。可以在采购过程中使用这些风险类别来评估供应商或产品,深入研究细节问题,比如供应商如何跟踪并确保其产品所用第三方软件组建的安全等问题。

MITRE实验室高级软件与供应链保证首席工程师Robert Martin解释道:“这个信任系统极具吸引力,因为它提供了更全面、更合理的结构,可以详细阐明你供应链中存在的风险”。传统风险衡量和评估工具可没那么厉害。

目前约有40个组织参与了SoT平台的塑造,平台现在包含大约660个特定供应链类别和风险因素。为了充实这款工具,MITRE采集意见的对象包括了供应链企业、供应链安全供应商和涉及供应链运营某些要素的标准组织。微软、黑莓、美国网络安全与基础设施安全局(CISA)、思科、戴尔、英特尔、万事达、美国国家航空航天局(NASA)、雷神公司、施耐德电气、西门子和The Open Group都是SoT社区的知名成员。

SoT不过是MITRE为网络安全行业打造的又一个参考框架。MITRE此前推出的ATT&CK框架可以映射威胁团伙渗透网络和入侵系统的常用步骤,而其较新的D3FEND模型则详细说明了定义防御能力和技术的通用方式。但SoT的风险视野不仅仅包括网络安全,还考虑了财务、质量和诚信风险等等。

Omdia企业安全管理首席分析师Curt Franklin表示:“最重要的是,这东西用起来跟用ATT&CK和D3FEND类似:提供一种通用语言供我们不仅讨论链上的位置,还探讨特定的漏洞或攻击方法和防御措施。”

Franklin表示,MITRE与其其他网络安全项目之间的渊源应能助推SoT,但广泛采用可能需要时间。“我可以想象得到,一些第三方风险评估供应商会将SoT构建到他们的产品中,就像他们将FAIR(信息风险因素分析)或ATT&CK构建到自家产品中一样。”Franklin称,“我认为SoT推广开来的可能性很高,需要一定时间的可能性也很高。”

这是因为,现在仍然有多种方法可以用来定义和衡量网络安全风险,但是这些方法都没办法协同。Franklin表示:“很难说清楚我们的风险状况与业内同行相比如何。这种东西所做的就是提供一个特定框架,可以用来进行一些通用风险量化。”

SoT的运作机制

RMM中的每个风险项目都会得到一个评分,这个评分是评分算法根据测量数据得出的。这些得分可以表明供应商在特定风险类别上的优劣。企业就能用得分量化评估某家软件供应商或其产品的安全风险。

施耐德电气是SoT项目的密切合作伙伴之一,其供应链安全副总裁Cassie Crossley将与MITRE实验室高级软件与供应链保证首席工程师Robert Martin一起参加2023年RSAC SoT会议,会议议题是“创建供应链风险标准——MITRE System of Trust”。Crossley表示,施耐德电气的各个不同部门目前都设置有多个全面的供应链风险评估流程,而且公司还计划根据自己的要求和标准向SoT提供输入和反馈。”

Crossley表示:“我们希望与施耐德的这些团队合作,从而确定我们可以为哪些领域提供建议,看看我们怎么才能更好地协同或者多加利用SoT框架。我不知道我们是否能实现100%的SoT。但我们会制定自己的流程,确定要纳入更多供应链风险评估结构的领域。”

对施耐德电气而言,自身产品和购入供内部使用的产品,包括公司合作的第三方和第四方,都适用供应链风险和安全问题。Crossley认为,SoT或许有助于了解与“上游”供应商相关的风险,而上游供应商通常并未纳入供应商评估流程。

她表示:“如果SoT能够成为广为使用的通用模型,只要企业能要求供应商将之映射到其上游供应商,我们就可以更为快速地搞清这些上游供应商的情况。”

MITRE的开源计划

Martin表示,SoT成为供应链评估首选标准的主要挑战是要有足够的带宽来扩展项目,同时还要加以宣传,避免重复劳动。“我担心有人没注意到这个项目,还在试图解决一些有交集的问题。我们会确保大家都注意到SoT并为之贡献。”

MITRE计划在RMM完全成熟时将之作为开源工具提供。至于目前,Martin表示,企业和机构可以使用这款工具,帮助MITRE充实工具本身;也可以自己内部使用。“他们可以离线使用,对照SoT做评估。”

网络安全供应链系统
本作品采用《CC 协议》,转载必须注明作者和本文链接
分析在供应链安全中的作用不断演变
2022-01-10 10:58:22
分析技术如今已经成为企业管理业务的基础,分析带来的一些好处实际上是相互叠加的。 越来越多的企业正在使用分析来增强其安全性。他们还使用数据分析工具来帮助简化物流流程,并确保供应链更有效地运作。这些企业意识到,分析对于帮助提高供应链系统的安全性是无价的。 到2026年,全球安全分析市场规模将超过250亿美元。人们需要了解分析在供应链安全中的更多好处。
国外 ICT 供应链安全管理研究及建议
2021-12-30 13:56:51
信息通信技术(ICT)供应链包括硬件供应链和软件供应链,通常涵盖采购、开发、外包、集成等环节。其最终的安全很大程度上取决于这些中间环节,涉及到采购方、系统集成方、网络提供方以 及软硬件供应商等【1】。ICT 供应链是所有其他供应链的基础,是“供应链供应链”【2】。
从美国“国家网络安全的总统行政命令”,谈供应链安全风险应对
2022-05-11 08:54:06
美国于2021年5月12日发布了《关于改善国家网络安全》的第14028号行政命令(以下简称“EO”),明确要求美国联邦政府加强软件供应链安全管控。EO的第4节指示美国国家标准与技术研究所(以下简称“NIST”)征求私营部门、学术界、政府机构等多方面的意见之后提供用于增强软件供应链安全性的相关标准、最佳实践与指南等内容。现有的行业标准、工具和推荐的做法源自NIST的SP 800-161。 在EO发布
美军的武器系统存在安全漏洞
2021-10-09 13:20:18
2021年3月4日,美国政府问责办公室GAO发布《武器系统网络安全指南》,称国防部在改善武器平台的网络保护方面取得了重要进展,但仍需要在武器系统合同中提高对网络安全的要求。报告首先阐述了国防部将网络安全融入武器系统研制之初取得的进展;其次审查了国防部和各军种将武器系统网络安全要求纳入合同或指南的情况;最后为陆军、 海军和海军陆战队如何将定制的网络安全要求纳入采办合同提出了建议。
陈晓桦:ICT供应链安全,我国该如何管理?
2019-06-27 22:14:02
鉴于国家关键基础设施和重要资源(Critical Infrastructure and Key Resources, CIKR)对ICT技术的依赖,通过国家安全审查识别和控制ICT供应链风险成为保障国家安全的重要手段。国外的做法通常是利用与外国投资相关的国家安全审查手段,我国则是利用网络安全审查的方式,这在我国的《国家安全法》中有所提及,网络安全审查是国家安全审查在关键信息基础设施保护方面的延伸。
2022年度美国网络安全政策回顾与简析
2023-02-20 10:52:35
美国 2022 版《国家安全战略》指出,美国面临巨大挑战和前所未有的机遇,正处于塑造国际秩序未来的战略竞争中。未来,美国网络安全政策必将影响全球网络空间态势,对其他国家网络空间安全和互联网企业发展带来重要挑战。
美国多角色参与的软件供应链安全保护措施
2023-02-15 10:53:37
自2020年底政府和企业网络遭受大范围SolarWinds攻击以来,美国加快推出软件供应链安全的各类措施。
深度分析:美国多角色参与的软件供应链安全保护措施
2023-02-13 10:36:36
区分角色的指南更便于软件供应链各参与方明确自己的目标和责任、形成协作机制。
重磅解读:网络安全“合规”建设迫在眉睫的深层因素
2022-11-30 17:01:02
在当前国际严峻的威胁形势下,网络安全面对的挑战依然严峻,合规建设任重而道远。
VSole
网络安全专家