补丁质量正在下降，供应链安全应该如何保障？

CVSS是一项旨在帮助评估计算机系统安全漏洞的严重性的行业标准，评级从1-10，10是最严重的。分配给补丁的 CVSS 越高，表示需要更快地更新补丁。但是，在评估了情有可原的情况和其他风险因素之后，有些补丁可能无需立刻更新，更糟糕的是，CVSS分数往往低于漏洞本来的风险级，因为它没有考虑到组织特有的其他风险因素。

例如，微软8月份的安全更新包括CVE-2022-34715，修复了Windows网络文件系统远程代码执行漏洞。CVSS评分为 9.8，这表明需要立即关注。但仔细阅读后发现，该补丁只作用于 Server 2022，并且只有在安装了 NFS 4.0 角色服务的情况下，如果不运行该特定代码，则该补丁对用户没有任何影响。

Childs 认为，补丁在质量和减少围绕安全更新的方面变得很差，有缺陷的补丁可能会让情况变得更复杂。企业往往会为了避免因副作用导致的业务影响，而选择推迟更新补丁，攻击者则会利用这段时间不受限制地高效、快速地利用漏洞。

社交媒体和研究人员的警告可能会增加CSO和IT团队推出补丁的压力。实际上，只有5%的漏洞会受到影响。因此，企业无法准确确定风险以及补丁的必要性，甚至不清楚不更新的风险。

ZDI 指出，在整个行业中，有10-20%的漏洞需要被重新审视和修复。当CSO认为已经保护了企业免受SharePoint远程代码执行错误的影响，但实际上它并没有得到修复，同时，攻击者知道如何绕过刚刚更新过的补丁进行攻击。企业应该意识到，补丁已经不再能完全修补漏洞。

当公司和组织评估自身的攻击面时，他们知道要查看自己的系统和基础设施来防御威胁和管理漏洞。但是，关键的合作伙伴和供应链应该如何确保安全呢？现在多达 80% 的网络攻击始于供应链，即使是最小的供应商，他们的违规行为也会对企业级运营带来重大影响。

去年年底的Log4j2提醒了行业要重视供应链安全，但对企业来说，保障供应链安全将会面对很多问题。首先是职责划分，企业的很多部门都与供应链或其他关键合作伙伴合作，但没有一个人或团队能够为此负责。公司可能会与供应商签订的合同中提出安全要求，但它们是如何执行的？合同是否确保了其分包商具有足够的安全性和合规性？在面对风险时，风险管理实践和内部团队是否考虑了供应链？组织事件响应中是否包括整个供应链的威胁检测、分析、响应和补救活动？IT或信息安全是否必须承担保护可能没有安全的供应商？

另外，企业与供应链社区共享威胁情报是非常必要性，尤其是对于共享威胁、警报和建议。但如何跨组织边界实施此过程，如何指导实施并参与？这些问题时常限制着企业保障供应链安全，即便ISAC和ISAO提供的传统网络威胁共享实践适用于一些行业和部门，但受法律限制和潜在的业务影响，企业往往不会选择全盘接纳。

复杂的供应链有复杂的安全性要求，想要确保供应链的安全就要尽可能做到以下这些。

▶左右兼顾

将供应链安全视为组织内部的事情，这是一个非常局限且危险的事情。Tripwire 的产品管理与策略副总裁 Tim Erlin 表示，考虑保护供应链安全时，必须同时考虑上游与下游。提供产品的供应商和作为供应商提供产品的客户都应该在供应链安全的考虑范围内，如何了解供应链链接了哪些组织和企业，他表示，理想情况下，所有与组织打交道的、彼此之间有数据交互的企业和组织都属于供应链。

关于API安全性的讨论有很多，大多数都集中在企业内部或者供应商，企业也要注意客户所使用的API和服务，以确保供应链安全的完备性。

▶合同优先

供应链中任何环节发生问题，产生的后果和责任都会在上下游带来很大的影响。KnowBe4的安全意识倡导官 James McQuiggan 表示，如果第三方遭受数据泄露或攻击，双方之间的合同应该确定数据泄露的责任划分及应急响应程序，避免因安全事故导致双方共同面对风险和损失。

尽管合同和协议倾向于考虑已知威胁与事件，但也可以对新威胁的响应过程和程序做出安排。一些业务部门必须具有承担合同中的法规或法律责任的义务。例如，美国国防部发布的网络安全成熟度模型认证(CMMC)框架，在未来所有国防部合同中强制规定了相应条款。国防部的主承包商和分包商必须满足所有国防部合同要求的 CMMC 成熟度水平，否则会被取消竞争资格。

在一些重要行业行业中，快速响应的能力更加重要。NCC区域总监Jeff Roth认为，医疗服务的提供商大多都在进行数字化转型，快速提供病患所需数据的同时，保证数据交付服务的安全性是一项非常具有挑战的工作。

▶了解数据

在供应链上下游，保护数据十分重要，但如果不知道哪些数据是共享的，保护就无从谈起。尤其是当彼此的数据交互没有人为因素时。信息安全论坛的管理总监 Steve Durbin表示，物联网设备通常是关键，这些设备往往不是孤立存在的，物联网的互联网组件也反映了这种依赖性。

现在的自动化流程可能需要 IT、OT 甚至消费类设备的参与，而不同类型的设备都有不同的安全需求，了解不同系统之间的数据流是进行安全防护的一部分。

▶牢记流程

将安全问题限定在供应链技术和基础架构是正常情况，但是要记住操作流程也会对安全产生影响。Vectra 的Morales表示，风险不仅包括代码中的缺陷和漏洞，与操作流程也有很大关系。

▶善用审查

无论对供应链有多大的信任度，都要确保处理和交互数据时采取了必要的保护措施。McQuiggan 表示，组织需要对所有具有远程访问权限或提供电子产品的供应商进行审查和年检，包括有关产品开发的第三方网络安全政策的审查。

Positive Technologies 的信息安全分析主管 Evgeny Gnedin 认为，供应链安全中，最危险的是攻击者可能在很长一段时间内都不会被注意到。从针对华硕的Rowhammer到 NetPetya和Magecart等事件表明，通过转向供应链攻击，犯罪分子大大扩展了受害者的范围。

▶小也重要

在某些情况下，供应链中大型组织的安全虽然处理相对麻烦，但是往往能够提供资源从政策的指定到具体实施来保障安全。小公司则缺乏专业知识和相关资源。NCC的Roth提出了一些具体的建议：1.重点关注与每个特定关键供应商相关的实际风险和相应的安全管控措施。小型供应商可以掌握风险，而不会产生超出这些小型供应商承受能力的问题；2.构建安全的基础结构，减少服务提供商的攻击面；3.针对高风险和中风险的小型供应商进行重点网络安全培训；4.定期监控和反馈，进一步帮助小型供应商合规；

▶高层意识

供应链风险可以归类为业务风险、操作风险、市场风险、人员风险、法规风险。供应链给组织带来的风险既可以是战略性的，也可以是战术性的。Digital Shadows的 Guirakhoo表示，组织大量依赖第三方会增加潜在的暴露面，高层应该意识到问题的严重性，并纳入决策过程以进行响应和补救。

▶关注云端

随着企业上云的趋势加快，目前很多企业的重要数据都存储在云上，这为犯罪分子提供了机会。通过攻击云端可以破坏整个供应链的安全并摧毁关键信息基础设施。Accurica联合创始人兼首席执行官 Sachin Aggarwal表示，许多云基础架构和 SaaS 应用都由许多组件构成，通常都包含开源产品。例如，Amozon Web Services使用Linux、Java、Kubernetes、Xen和KVM，这些组件具备成本优势，但会带来安全风险，组织需要关注并减轻这些风险。

确定和审查软件供应链中每个组件的安全性以及云端的供应链安全虽然很难，但这是确保组织供应链安全必不可少的一部分。

首先，要积极与供应商联络。目前，补丁的质量正在下降，企业需要和供应商进行更好地沟通，需要主动推动供应商进行更好地测试和改进补丁，从源头上避免接收到错误的补丁。如果供应商就新产品与企业联系，请立即向他们提供有关当前使用产品的反馈。如果有机会参加供应商会议，请寻找供应商代表并从他们那里传达类似的需求。

其次，要构建足够的安全架构，以便更好地了解组织面临的风险。攻击者往往会比企业更了解漏洞，CSO若想了解自身网络中的软件、外部的操作以及攻击的暴露程度，就需要完备的安全架构。如果组织没有能力搭建，尽量寻求尽量寻求外部帮助——为企业提供安全服务的供应商。

如果公司资源有限，请寻找提供有关漏洞和风险信息的行业特定团体或政府机构。例如，在美国，Infragard为从事关键基础设施工作的组织提供建议。国际组织中的高科技犯罪调查协会，也可让企业与当地的计算机取证资源取得联系。