美国政府近日警告称,许多制造商正面临供应链中断,重建供应链是当务之急。有分析认为,新冠疫情可能需要数月甚至数年时间才能消退。医疗设备制造商并没有被排除在此类供应链中断之外,但他们也不能在供应链恢复之前暂停生产。企业需要保持生产平稳运行,这需要寻找新的供应商。但是,新的供应商或未经审查的供应商会引入新的风险,并可能将漏洞和威胁引入产品或设备生命周期。最薄弱的环节正如行业媒体最近报道的那样,包括菲利普斯和通用电气医疗保健在内的许多主要医疗保健制造商都面临着供应链挑战。供应延迟影响了他们在数量和时间上满足生产预期的能力。未能达到这些预期影响了他们的底线,这些企业在去年第四季度录得显着亏损。未能交付在许多情况下,供应线也因生产或运输延误而受到影响。即使产品生产出来,也无法快速进入下一步生产。这导致公司不得不预先订购和存储比以往更多的备件,以建立库存并确保其生产链的一致性。这种囤积或超额订购的需求促使许多企业寻找能够提供稳定供应的替代供应商。随着新供应商的出现,新组件、未经测试的组件和新漏洞的潜在风险也在增加。这就是挑战呈指数增长的地方。当受信任和经过审查的供应商被快速更换或增加时,网络威胁和漏洞进入产品或设备生命周期的风险会显着增加。即使在最好的时候,供应链问题也是企业最薄弱的环节之一。挑战不仅在于它们如何影响生产能力,还在于它们如何影响最终产品的安全性。对于任何复杂的医疗设备,都有许多硬件和软件供应商。将这些组件组装成最终产品的制造商对各种组件或软件的控制和可见性有限,这给最终产品及其用户带来了重大风险。更换供应商只会增加他们的风险状况。审查新供应商有时,避免短缺的唯一方法是寻找不同的供应商来满足需求。这对于医疗设备尤为重要,因为准时制生产和及时交付可能是生死攸关的问题。当新供应商加入时,仍然需要建立信任。因为之前不知道,所以在选择上需要更加谨慎,尤其是在审核供应商产品质量的时候,还要监控软件漏洞,这对产品安全来说非常重要。这是第一步,为了满足美国食品和药物管理局(FDA)对医疗设备的严格要求,确保组件具有互操作性、容错能力并且没有任何固有漏洞是至关重要的。代码中的漏洞无论何时从开源库开发或集成代码,都可能存在未被发现的缺陷。任何包含软件的设备都可能在其本身或其使用的软件库中包含错误。在开发过程的早期对此进行评估对于保护产品开发和及早发现漏洞以降低风险和损害至关重要。今天,开发软件更多的是组合而不是编写,利用商业和开源软件来创建设备功能的核心。虽然这些组件加快了构建时间,但它们也引入了潜在的漏洞。例如,直到最近,Log4j库才被认为是日志记录功能的行业标准和安全开源补充。2021年12月,这些图书馆被确定存在远程代码执行(RCE)漏洞,其CVSS得分最高为10。发现后,全球企业都在争先恐后地修补该漏洞,以免网络攻击者利用它。商业软件也不能免受安全漏洞的影响。Ripple20库也被认为是相对安全的行业标准软件组件,其易受攻击的状态使许多设备容易受到网络攻击。软件挑战是导致乔·拜登总统下令提高透明度以帮助提高软件供应链安全性的部分原因。该命令规定,应向制造商、供应商和消费者提供软件物料清单(SBOM)。软件物料清单(SBOM)应包含基于美国国家电信和信息管理局(NTIA)最低要素的标准,其中包括有关软件组件、版本和依赖项的深入信息。有了这些信息,企业就可以在现有漏洞和新漏洞出现时对其进行跟踪。信任但验证与新供应商合作的第一步是从安全角度验证他们的技术。跟踪这项工作的结果对于识别可靠的供应商以及可能提供有缺陷或易受攻击产品的供应商至关重要。然而,验证供应商组件和产品软件的安全状况并不容易。在许多情况下,源代码不容易获得,因此必须通过其他途径获得可见性,例如不依赖于源代码是否可用的二进制分析。并非每个漏洞评估工具都能提供准确的结果,可靠的解决方案需要了解已发现漏洞的潜在范围和可访问性。此信息将有助于缩小漏洞是否适用于其产品的范围。使用验证和测试工具评估编译后的代码对于确保不提供直接代码可见性的产品的安全性至关重要。在医疗设备方面,信任供应商的风险更大。确保您使用正确的解决方案进行尽职调查至关重要。使用正确的平台实施完整的评估流程将使组织能够在不牺牲安全性的情况下有效应对新供应商的挑战。
