保护软件供应链的三个步骤

计算机代码是每一项技术的基础，从智能手机到机器人以及连接它们的网络。在当今的数字世界中，这也使代码成为许多（如果不是大多数）企业和服务的基础的一部分。

黑客认识到这一事实并加以利用。最近一个引人注目的例子是对 FireEye 的攻击，它使用了 SolarWinds 软件的多个木马更新。通过瞄准软件供应商，黑客能够在公司中安装后门，从而使他们能够达到预期目标：从这些公司获得服务的政府机构。

这种攻击方法还利用了信任。企业、政府和其他客户认为，如果软件或固件更新来自供应商，则安装是安全的。有些人会信任但会验证；他们检查供应商的网站以获取更新的哈希值，然后将其与下载进行比较。如果它们匹配，他们就认为它没有漏洞。

这种信任为能够在开发过程中操纵源代码的恶意行为者创造了机会。因此，用户会在不知不觉中下载一个漏洞利用程序，该漏洞利用程序通常会静默数周或数月，同时在整个组织中传播，最终攻击一系列合作伙伴、供应商或客户。组织如何保护自己？

阻止坏人。 供应链风险管理 (SCRM) 计划对于减轻采用和集成第三方产品和服务所固有的威胁和漏洞至关重要。它涵盖人员、流程和技术，并跨越多个部门，包括安全、IT、人力资源 (HR)、采购和法律。将公司的 SCRM 计划扩展到软件开发生命周期 (SDLC) 中尤为重要。在此过程中，SCRM 计划创造了一种安全文化，每个人都是参与者并朝着同一目标保持一致。

在 SDLC 中，SCRM 计划侧重于需要接触代码和相关资源（例如工具集）的人员。可以理解的是，这些员工在招聘过程中应接受彻底审查，包括背景调查，以确定与犯罪活动和/或民族国家的任何潜在联系。

使用人力资源公司的公司需要确保公司了解他们的独特和具体要求。例如，公司应该知道他们的人力资源公司是谁，以及他们是否在有国家资助网络犯罪历史的国家开展业务。当公司处理专有和机密信息时，他们不希望人员配备公司的远程办公室为他们提供简历和潜在内部威胁工厂的候选人。民族国家的攻击者越来越专注于让他们的人进入目标组织。他们有财力来培训人才，他们展示出令人垂涎的编码技能和其他抢手的证书，可以将他们的简历提升到最重要的位置。这是人力资源团队和招聘经理需要意识到的事情。

即使是最仔细的筛选和招聘流程，一些不良行为者也可能会漏掉。这就是为什么通过定义明确的内部威胁程序监控员工活动以识别异常和可疑行为（例如未经授权的权限提升以及对系统、程序和应用程序的访问）的重要性。

SCRM 程序还应确定需要接触代码和相关资源（例如工具集）的人员，然后实施保护措施以防止其他人接触这些资源。一旦代码获得许可，它应该是授权开发人员的唯一来源，这意味着他们不能从外部来源引入额外的代码。从本质上讲，一旦代码已经被评估和控制，企业就不希望开发人员出去从尚未评估安全风险的新来源中获取代码。此最佳做法可缓解漏洞，例如隐藏在授权开发人员无意中使用的未授权代码中的后门或未授权用户隐藏的未记录门户。

审查和控制。 严密控制技术提供了另一层保护。例如，即使员工在组织内调动，也要考虑为他们提供一台新的笔记本电脑，上面有专门为他们的新角色和部门创建的图像。此外，禁用任何先前获得的不再需要的访问权限。这有助于确保数据和访问保持特权。

IT 部门还应在将全新计算机发布给开发人员之前对其进行重新映像。如果操作系统和任何预安装的英国媒体报道软件已经泄露了代码，则使用供应商提供的库存图像可能会创建后门。相反，为这些设备创建一个自定义的、强化的图像。

所有新类型的硬件和软件最初都应该在一段时间内进行沙盒化。这使 IT 部门有时间仔细检查他们的行为，例如主动呼叫 Internet 以尝试提取数据。它还创建了一个基线，以帮助检测几个月或几年后行为的突然变化，这可能表明它们已受到损害。

营造安全文化。 这需要考虑很多，这凸显了为什么 SCRM 必须是跨组织的工作。例如，法律部门应确保供应商和合作伙伴的合同包含有关审计的语言，以确保遵守所有要求。同时，HR 可以帮助制定和执行筛选候选人的规则。

C 级的支持和领导是实现这种团队努力和确保资源可用于实施 SCRM 计划的关键。这会产生一种跨越整个组织的安全文化，并将安全从事后的想法转变为开发过程的基本部分。

Michael Iwanoff 是 iconectiv 的首席信息安全官。