U.S.网络供应链风险在网络安全风险管理领域,风险通常被定义为风险=威胁×脆弱性×后果。网络风险管理的目标是通过增强对威胁的抵御能力和解决漏洞被利用时可能产生的潜在后果,将风险降低到可接受的水平。当应用于网络供应链风险管理时,风险定义方程式提供了对组织可以采取的减轻此类风险的步骤的见解。NIST将网络风险定义为:“由于用于通过电子方式引入制造系统信息和/或操作功能的数字技术出现故障,以及未经授权访问、使用、披露、中断、修改或破坏制造系统,导致财务损失、运营中断或损坏的风险。[1]”我们强调了与能源部门系统中的数字组件相关的网络供应链威胁和漏洞的主要类型。这里描述的威胁和漏洞往往是长期存在的、复杂的,而且往往是难以解决的问题。尽管主要关注能源部门,并在适当情况下关注与OT(运营技术)和工业控制系统(ICS)相关的问题,[2]这些网络供应链问题也涉及信息和通信技术(ICT)系统以及所有数字化关键基础设施系统中高度关注的问题。一般来说,能源部门系统中数字组件的供应链风险与ICT的风险是一致的,ESIB(能源部门和工业基地)的所有利益相关者都使用某种形式的ICT。其次,能源部门系统面临一些与OT和ICS中的数字组件相关的特定网络供应链风险。最后,能源部门系统面临的网络供应链风险还包括一些在ICT和OT系统中连接以提高效率的相关软件。IT和OT系统的这种融合正在增长。[3]总体而言,随着这些系统变得越来越互联、数字化和远程操作,能源部门系统中数字组件的供应链风险将继续发展并可能增加。国家安全风险国家安全威胁对能源部门系统造成损害的风险正在增加。敌对国家越来越愿意利用网络安全来攻击包括能源系统在内的关键基础设施,以此作为加剧国家间紧张关系的准备步骤。可以说,网络攻击被用作对手破坏美国关键基础设施的一种手段,同时有可能限制动态攻击升级或报复。几个敌对国家已将此类准备作为其公开战争学说的一部分,并且至少有一个国家(俄罗斯)已经证明,对电网的网络攻击是动能攻击的先兆(在格鲁吉亚和乌克兰)。美国情报机构在其2021年年度威胁评估中指出:“自2006年以来,俄罗斯一直将能源用作外交政策工具,以强制合作并让各国回到谈判桌前。例如,在莫斯科和基辅之间发生价格纠纷后,俄罗斯于2009年切断了对乌克兰的天然气供应,包括过境天然气,影响了欧洲部分地区13天。俄罗斯还利用其在民用核反应堆建设方面的能力作为其外交政策的软实力工具。[4]“对手经常利用网络供应链漏洞来实现一系列潜在效果,包括网络间谍、组织破坏或其他效果[5]。网络供应链漏洞可以在IT或OT软件开发过程中引入(通过损害制造商的网络),也可以通过安装后系统更新引入,例如软件补丁(通过损害资产所有者的系统),以获得并保持对关键基础设施系统的持久访问。在能源部门系统中,对网络造成影响系统功能(例如,使系统离线)通常涉及成功利用业务IT网络中的网络供应链漏洞以获得访问权限,如果IT和OT网络不可用,则随后在系统内横向移动到运营技术网络彼此适当分割,在这个网络中是干扰工业控制系统的能力秒。犯罪活动的风险网络犯罪分子破坏或破坏能源系统设备的风险正在增加。从历史上看,能源部门系统对于网络犯罪分子来说并不是一个有吸引力的目标,因为相对于其他目标,资产所有者通常没有很多可窃取的货币化信息。然而,勒索软件对能源部门系统的危害要大得多,因为它可以拒绝或降低系统可用性,而对能源部门系统的最高要求是持续可用性。网络犯罪分子明白,能源系统可用性的高优先级将使系统所有者更有可能迅??速支付费用以恢复服务,而不是等待数天、数周或数月的停机时间才能从备份中恢复。一家商业网络威胁分析公司2022年1月的一份报告发现,2021年第三季度针对目标系统实用软件的网络攻击中有20%是勒索软件攻击,而系统工具软件已经是仅次于供应链漏洞的第二个最脆弱的关键基础设施部门[6].勒索软件通常用作初始感染媒介,通过网络钓鱼活动通过电子邮件引入受害者网络。然而,“SolarWindOrion在其2020年12月公开宣布的止损计划中,该平台证明了可以通过在常规软件补丁周期中插入恶意代码来破坏软件供应链来引入勒索软件。易于执行和快速回报勒索软件攻击的能力意味着这些类型的攻击将继续成为能源部门的一个问题。对外国供应商的依赖。能源部门系统中的网络组件在全球范围内采购,这些供应链越来越分散和动态。IT软件和OT系统是从国外采购的,越来越发达的国家,那里有熟练的劳动力资源,可以上网,工资也很低。网络供应风险源于与依赖低成本外国软件供应商相关的情况,这些供应商可能由外国公司拥有或控制,或受其管辖或指示的人设计、开发、制造、维护或供应对手。在这些情况下,不受信任的个人可能会开发软件和固件,他们可能会插入恶意代码,由于这些系统的规模和复杂性,很难检测到恶意代码。此外,软件、固件和数据集可以在敌对国家开发,这些国家在穿越其领土的网络上无处不在地收集所有数字信息,从而为插入合法代码或以其他方式干扰在其境内开发的软件或破坏数据的完整性设置障碍集为某些敌对国家数据中心托管的虚拟平台和服务的类似收集和破坏创造了机会。SolarwindOrion平台的妥协是最近最严重的例子,说明任何软件维护供应链都容易受到战略性、资源丰富的民族国家的操作操纵。网络组件的不透明供应链在能源部门系统中操作数字和非数字组件的软件和固件代码庞大且高度复杂,由数十万行代码和数千个子程序组成。在现代系统开发中,软件代码是从各种原始和间接来源的遗留代码的一部分组装而成的,具有不同级别的质量和完整性保证。因此,很难追踪软件和数字组件中所有代码的出处和出处,以通过确保代码出处可靠来解决和管理供应链泄漏的风险。为了节省时间,几乎所有开发人员都会例行公事地共享和重用代码库和公共subreddits。例程(统称为开源软件)。开源软件是与源代码一起公开发布以供重用和修改的软件。开源软件的使用正在迅速增长。最近的一项研究发现,截至2020年,商业应用程序平均包含528个开源组件,比过去5年增长了259%[7]。虽然开源软件因其方便和高效而变得越来越流行,但从网络安全的角度来看,它也越来越受到关注。开源软件通常没有明确的出处,并且通常没有得到持续维护(例如,通过安全更新),从而产生网络供应链风险。正如2022年白宫软件安全会议所指出的那样[8],开源软件由于其广泛使用以及安全更新和维护的自愿性质而带来了独特的安全挑战。此外,网络对手积极使用开源代码存储库将合法代码分发给毫无戒心的软件开发人员;最近有很多关于对手利用此类漏洞的例子[9]。瞬息万变的技术市场技术公司,包括那些为能源领域的系统开发数字组件的公司,存在于以高度并购活动为特征的高度动态的全球市场中。随着新技术创新者的出现,它们通常会被更大的公司收购。更成熟的技术业务部门经常买卖。对科技公司的收购通常会导致数字组件的品牌重塑和集成到更大的产品套件中,从而掩盖了这些子组件的来源。并购活动可能导致外国所有权和控制权的快速变化,这种变化难以确定,更不用说追踪了,敌对国家经常积极寻求混淆外国所有权和控制权。控制一家技术公司通常意味着访问所有源代码、敏感的当前和历史客户数据,以及继续访问客户系统进行维护。竞争对手公司积极增加对具有战略重要性的技术公司的购买和投资[10]。除其他事项外,《2018年外国投资风险审查现代化法案》(FIRRMA)[11](公法115-232)扩大了美国外国投资委员会(CFIUS)的权力,以审查涉及外国投资于拥有关键技术的美国企业的交易。在FIRRMA的同时,国会通过了《出口管制改革法案》,除其他外,它创建了一个流程来识别应添加到现有美国出口管制中的新兴和基础技术。集中式网络的风险包括能源部门系统在内的关键基础设施系统通常依赖于数量有限的具有战略重要性的软件组件。虽然支持能源部门系统的软件、固件和虚拟平台没有单点故障,但有许多无处不在的网络组件的例子,如果它们被集体破坏,可能会对能源部门系统产生巨大影响。这种依赖一直是软件供应链攻击的战略目标,最著名的是“SolarwindOrion”平台止损案(2020年12月)[12],俄罗斯对外情报局(SVR)[13]的目标之一极其通用的混淆管理软件组件。最近的一些软件供应链攻击[14],包括对Codecov的Bash上传器(2021年1月)[15]、KaseyaLimited的VSA软件(2021年7月)[16]和Apache的Log4j软件库(2021年12月)的高调公开网络攻击)[17],两者采用相似的方法。换句话说,最近的软件供应链攻击试图将具有高战略价值的软件和虚拟平台识别为妥协目标。软件的一些属性和高战略价值包括:被广泛使用或出现在高比例的系统中;访问网络凭证作为其正常操作的一部分;运行在应用层之下,对网络管理员来说不太可见;并且经常长时间未打补丁。许多内部关键基础设施系统和组件依赖于某种形式的服务(即远程或直接升级、补丁等)这一事实增加了这些组件的攻击面。对于监督能源部门系统的去中心化和分散的数字供应链,没有总体定义或框架。这些数字供应链的分散性和复杂性导致采用分散的方法来确定和管理相互依赖的网络安全风险的优先级。第14017号行政命令“美国供应链”指示能源部长提交一份关于能源部门工业基地供应链的报告(由能源部长自行决定)。虽然国土安全部网络安全和基础设施安全局(CISA)在其关键基础设施部门分类中发布了对“能源部门”的描述[18],但尚未正式定义“能源部门工业基地”。在操作层面上,ESIB既广泛又多样化。ESIB供应链的数字部分来自几个关键基础设施部门(如总统政策指令21中所定义)[19]。这些相互依存的行业包括信息技术、通信、运输系统和关键制造。每个都有不同的联邦部门风险管理机构[20]和围绕网络安全和物理风险的衍生组织结构。支持ESIB的数字供应链的某些部分,例如大容量电力系统和管道的某些方面,受到监管;许多不是。监管和监督(如果存在)由多个联邦部门和机构以及州、地方、部落和领土各级政府以不同方式提供。ESIB数字供应链应用了多种安全标准体系和指南,存在差距和重叠。没有综合的方法来确定风险、投资或权衡的优先顺序。与此同时,能源部门系统中的数字组件越来越多地相互关联,形成复杂且相互依存的系统。ESIB组件之间的互连通常基于有意或无意地假定的、未经验证的信任。因此,来自未缓解的零散监督的剩余供应链风险会在站点、系统(例如IT和OT)和资产所有者之间转移。参考文献[1]https://csrc.nist.gov/glossary/term/cyber_risk[2]https://csrc.nist.gov/glossary/term/industrial_control_system[3]https://img.ydisp.cn/新闻/20220819/153u15q1vp1/新闻/20180724-economic-espionage-pub.pdf[4]https://www.dni.gov/files/ODNI/documents/assessments/ATA-2021-Unclassified-Report.pdf[5]https://img.ydisp.cn/news/20220819/153u15q1vp1/news/20180724-economic-espionage-pub.pdf[6]https://www.trellix.com/en-us/threat-center/threat-reports/jan-2022.html[7]https://img.ydisp.cn/news/20220819/mahefcx4tqd.htmlhttps://img.ydisp.cn/news/20220819/r3prg3m21q0/2022/01/13/readout-of-white-house-meeting-on-software-security/[9]https://img.ydisp.cn/news/20220819/glnis0hhvl02020年CFIUS年度报告统计数据,请查阅:https://home.treasury.gov/system/files/206/CFIUS-Summary-Data-2008-2020.pdf[11]https://home.treasury.gov/sites/default/files/2018-08/The-Foreign-Investment-Risk-Review-Modernization-Act-of-2018-FIRRMA_0.pdf[12]https://www.cisa.gov/u赛尔t/ncas/alerts/aa20-352a[13]https://img.ydisp.cn/news/20220819/r3prg3m21q0/2021/04/15/fact-sheet-imposing-costs-for-harmful-foreign-activities-by-the-russian-government/[14]有关2006年发生的重大网络事件的列表,请参阅:https://csis-website-prod.s3.amazonaws.com/s3fspublic/220203_Significant_Cyber??_Incidents.pdf?6nUHMBGT7zrGtFIeHU4gGdjD7dXFObfO[15]https://www.cisa.gov/uscert/ncas/current-activity/2021/04/30/codecov-releases-new-detections-supply-chain-compromise[16]https://www.cisa.gov/uscert/kaseya-ransomware-attack[17]https://www.cisa.gov/uscert/ncas/alerts/aa21-356a[18]https://www.cisa.gov/energy-sector[19]https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/presidential-policy-directive-critical-infrastructure-security-and-resil[20]根据PPD-21和2021财政年度《国防授权法案》不。9002节
