IT供應鏈完整性對信息安全產業的影響

2013-10-16 11:42:22 EP電力信息化網　點擊量：評論 (0)

據Gartner最新報告顯示，企業IT供應鏈將會成為被破壞的目標，因此企業都在被迫思考如何對供應鏈的完整性進行管理。IT供應鏈的完整性是全球2000名IT領導者最關心的三大安全問題之一，Gartner分析師Neil MacDonal

據Gartner最新報告顯示，企業IT供應鏈將會成為被破壞的目標，因此企業都在被迫思考如何對供應鏈的完整性進行管理。IT供應鏈的完整性是全球2000名IT領導者最關心的三大安全問題之一，Gartner分析師Neil MacDonald和Ray Valdes在報告中指出。

IT供應鏈越來越復雜

據Gartner調查顯示，IT供應鏈最近幾年變得越來越復雜，而且廣泛分布于全球各地。硬件供應商外包的不僅是生產，還把設計的任務也外包給OEM供應商和國外承包商。既有的亞洲供應商還會把任務外包給其他國家的公司，所以增加了供應鏈被破壞的幾率。Gartner研究員MacDonald表示，“IT供應鏈的完整性問題確實存在，而且會在未來五年對主流IT企業產生影響。”

Gartner對IT供應鏈威脅的擔心并非孤立的。Northrop Gruman今年早些時候為美-中經濟和安全評估會議準備了一份報告，里面就警告稱“對供應鏈的成功滲透，如電信行業可能導致系統，為國家安全或公共安全提供架構支持的網絡等出現癱瘓。”

GAO也表示出了同樣的擔憂，承認政府的IT供應鏈威脅包括軟硬件上的惡意邏輯;假冒軟硬件的安裝;生產過程或是重要產品或服務的分銷過程中出現問題;因技術性能問題而依賴于不合格的服務供應商;軟硬件上無意中安裝的漏洞。

Gartner研究副主席Valdes說，IT系統是由來自世界各地的產品組裝而成，因此IT供應鏈的完整性非常重要。企業，政府和個人都不能對IT供應鏈表示完全信任，IT堆棧很容易被破壞。MacDonald和Valdes在報告中強調稱，“自從大多數硬件系統成為各個廠商所生產組件與子系統的組裝物候，就出現了一個復雜的問題。”

GAO信息安全主管Gregory Wilshusen在2012年3月告訴立法者，稱隨著采購的范圍遍及全球各地，政府機構也需要對生產制造和運輸過程中間可能出現的漏洞進行排查。Wilshusen談到，“全球的IT供應鏈會帶來風險，如果這些風險成為現實，就會損害聯邦信息系統的私密性，完整性和可用性。”

Gartner分析師在報告的推測部分提到，2018年的時候，至少會有一家資金過億，與西方標準看齊的IT供應商與中國的子公司一起作為一個完全獨資的實體，使用獨立的工程和生產技術緩解人們對供應鏈完整性的顧慮。

IT供應鏈完整性對信息安全產業的影響

Gartner稱，對信息安全產品信任度的缺乏將導致新型信息安全市場的50%被分割。操作系統和其他IT系統架構軟件的分離還需要一些時間。MacDonald和Valdes稱，到2018年，G20國家中一半的國家需要采購重要的非軍事用途的架構，而且他們會明確禁止某些敵對國家，地理政治性團體的供應商生產的IT系統。以最近美國國會報告中對中國華為和中興的排斥為例，國會報告認為這兩家公司不被信任，不能采購他們的網絡設備，而且還暗指兩家公司于中國軍方有聯系。但是華為和中興都否定了自己與中國政府有關聯。

Gartner分析師稱，供應鏈的問題不會僅僅因為系統已經交給終端用戶就終結。用戶仍然要依賴其他國家進行維護和更新。供應鏈的完整性必須擴展到“操作性供應鏈”問題，如更新。

以政治為目的的攻擊逐漸增多

IT供應鏈的完整性問題日益突出是因為攻擊者的動機在不斷改變。攻擊者現在更喜歡為政治，軍事或是金融目的進行有針對性的攻擊。IT供應鏈的攻擊者的攻擊方向并不受限于智力和防御目標，他們可能攻擊生產制造，金融服務和制藥等。

IT企業可以采取一些步驟保護自己的供應鏈。企業應該從IT供應商處尋求供應鏈的證物，要周期性的采樣和產品測試，以確保供應鏈不會被損壞。企業應該加強采購環節，并直接與IT供應商交易，可能的話，也可以通過受信任的有資質的銷售商交易。Gartner還建議要“明確禁止從eBay等公共拍賣網站購買新舊IT軟硬件。”

企業傾向于軟件定義型IT架構

據Valdes透露，大多數硬件系統包括基于軟件的要素，如固件和設備。更多的程序邏輯都轉換到了軟件堆棧。運行于標準硬件的軟件定義型IT架構會帶來更多透明度，使得人們更容易信任供應鏈，因為軟件層級會更容易測試。

即便有了軟件，企業也需要確保自己使用的是正版軟件，且應用都具備可靠的數字證書。“數字認證的東西不一定可信。如果盲目相信證書，那么偷竊的或損壞的代碼簽署證書將是主要的威脅。”分析師警告稱。企業應該多使用基于社區的證書和文件聲譽服務的認證代碼。

還要注意，開源組件不會緩解供應鏈完整性的問題，因為未知的和過時的庫和架構可能帶來企業巨大威脅。企業應該確認開源產品中使用的所有架構和庫都合法且得到及時更新，而且所用的編譯器未被損壞。MacDonald總結稱，企業的IT部門必須保護自己的系統和信息，因為所有的IT系統都可疑。