据Gartner最新报告显示,企业IT供应链将会成为被破坏的目标,因此企业都在被迫思考如何对供应链的完整性进行管理。IT供应链的完整性是全球2000名IT领导者最关心的三大安全问题之一,Gartner分析师Neil MacDonald和Ray Valdes在报告中指出。
IT供应链越来越复杂
据Gartner调查显示,IT供应链最近几年变得越来越复杂,而且广泛分布于全球各地。硬件供应商外包的不仅是生产,还把设计的任务也外包给OEM供应商和国外承包商。既有的亚洲供应商还会把任务外包给其他国家的公司,所以增加了供应链被破坏的几率。Gartner研究员MacDonald表示,“IT供应链的完整性问题确实存在,而且会在未来五年对主流IT企业产生影响。”
Gartner对IT供应链威胁的担心并非孤立的。Northrop Gruman今年早些时候为美-中经济和安全评估会议准备了一份报告,里面就警告称“对供应链的成功渗透,如电信行业可能导致系统,为国家安全或公共安全提供架构支持的网络等出现瘫痪。”
GAO也表示出了同样的担忧,承认政府的IT供应链威胁包括软硬件上的恶意逻辑;假冒软硬件的安装;生产过程或是重要产品或服务的分销过程中出现问题;因技术性能问题而依赖于不合格的服务供应商;软硬件上无意中安装的漏洞。
Gartner研究副主席Valdes说,IT系统是由来自世界各地的产品组装而成,因此IT供应链的完整性非常重要。企业,政府和个人都不能对IT供应链表示完全信任,IT堆栈很容易被破坏。MacDonald和Valdes在报告中强调称,“自从大多数硬件系统成为各个厂商所生产组件与子系统的组装物候,就出现了一个复杂的问题。”
GAO信息安全主管Gregory Wilshusen在2012年3月告诉立法者,称随着采购的范围遍及全球各地,政府机构也需要对生产制造和运输过程中间可能出现的漏洞进行排查。Wilshusen谈到,“全球的IT供应链会带来风险,如果这些风险成为现实,就会损害联邦信息系统的私密性,完整性和可用性。”
Gartner分析师在报告的推测部分提到,2018年的时候,至少会有一家资金过亿,与西方标准看齐的IT供应商与中国的子公司一起作为一个完全独资的实体,使用独立的工程和生产技术缓解人们对供应链完整性的顾虑。
IT供应链完整性对信息安全产业的影响
Gartner称,对信息安全产品信任度的缺乏将导致新型信息安全市场的50%被分割。操作系统和其他IT系统架构软件的分离还需要一些时间。MacDonald和Valdes称,到2018年,G20国家中一半的国家需要采购重要的非军事用途的架构,而且他们会明确禁止某些敌对国家,地理政治性团体的供应商生产的IT系统。以最近美国国会报告中对中国华为和中兴的排斥为例,国会报告认为这两家公司不被信任,不能采购他们的网络设备,而且还暗指两家公司于中国军方有联系。但是华为和中兴都否定了自己与中国政府有关联。
Gartner分析师称,供应链的问题不会仅仅因为系统已经交给终端用户就终结。用户仍然要依赖其他国家进行维护和更新。供应链的完整性必须扩展到“操作性供应链”问题,如更新。
以政治为目的的攻击逐渐增多
IT供应链的完整性问题日益突出是因为攻击者的动机在不断改变。攻击者现在更喜欢为政治,军事或是金融目的进行有针对性的攻击。IT供应链的攻击者的攻击方向并不受限于智力和防御目标,他们可能攻击生产制造,金融服务和制药等。
IT企业可以采取一些步骤保护自己的供应链。企业应该从IT供应商处寻求供应链的证物,要周期性的采样和产品测试,以确保供应链不会被损坏。企业应该加强采购环节,并直接与IT供应商交易,可能的话,也可以通过受信任的有资质的销售商交易。Gartner还建议要“明确禁止从eBay等公共拍卖网站购买新旧IT软硬件。”
企业倾向于软件定义型IT架构
据Valdes透露,大多数硬件系统包括基于软件的要素,如固件和设备。更多的程序逻辑都转换到了软件堆栈。运行于标准硬件的软件定义型IT架构会带来更多透明度,使得人们更容易信任供应链,因为软件层级会更容易测试。
即便有了软件,企业也需要确保自己使用的是正版软件,且应用都具备可靠的数字证书。“数字认证的东西不一定可信。如果盲目相信证书,那么偷窃的或损坏的代码签署证书将是主要的威胁。”分析师警告称。企业应该多使用基于社区的证书和文件声誉服务的认证代码。
还要注意,开源组件不会缓解供应链完整性的问题,因为未知的和过时的库和架构可能带来企业巨大威胁。企业应该确认开源产品中使用的所有架构和库都合法且得到及时更新,而且所用的编译器未被损坏。MacDonald总结称,企业的IT部门必须保护自己的系统和信息,因为所有的IT系统都可疑。