安全公司Dragos的首席执行官罗伯特·李2月在美国能源部表示,公用事业供应链中的安全漏洞不会以“硬件芯片”的形式出现。在Solarwinds Hack上简报。
“这是迄今为止最不可能的情景,”李某说,由于这种攻击的高成本和明显性质。供应链妥协,因为Solarwinds Hack被证明,更有可能通过供应商和制造商系统能够通过供应商和制造商系统获得关键基础架构的软件方面。
随着计算机应用程序被用于管理国家电网的更大部分,软件安全日益受到关注。专家们说,特别是现代软件是由许多不同的组件组成的。
The U.S. Department of Commerce's National Technology and Information Administration (NTIA) is in the process of launching a pilot program for the energy sector to develop and bring into use a Software Bill of Materials (SBOM) that could help utilities procure secure equipment and software, track existing vulnerabilities and ensure they are patched. Project officials say the effort will build on an international, cross-sector effort to establish consensus around the technical and operational considerations for software supply chains.
“概念验证”(POC)试点将集中于少数软件开发人员和电力部门的公司,可能包括制造商、资产所有者和安全公司。代表投资者所有的公用事业公司的爱迪生电力研究所(EEI)一直在与NTIA合作该项目。
“EEI正在与NTIA合作,帮助他们了解能源部门的重要元素,我们正在与我们的会员公司合作,以便在他们考虑的新工具上更新他们,因为他们在潜在的供应商上采购术语”大卫“Batz,Eei Cyber和基础设施安全高级总监,在一封电子邮件中表示。
SBOM可以帮助公用事业资助供应链风险
Batz说,EEI认为sbm是公用事业公司降低整体供应链风险的又一工具。他说:“作为购买者,你想知道你得到的是什么,而这个工具可以帮助实体识别不太明显的产品漏洞,甚至到软件组装和子集组件级别。”
由于软件变得更加复杂,因此组件漏洞的问题已经增长。
“大多数估计是平均软件产品至少包含一百个组件,有时候有些组件,进入数千个,”Tom Alrich表示,这是一位在去年8月以来的软件透明度倡议并正在帮助的安全顾问。组织能源部门POC。“问题是这些组件中的每一个都可以具有漏洞,以及提出其他风险。”
SBOM表示哪些组件在软件中,允许最终用户跟踪和修补漏洞。
一个SBOM无法阻止SolarWinds的攻击,该攻击攻击了多个政府机构和数百家公司,因为漏洞尚不清楚。但是sbm可以帮助能源公司了解他们正在收购的软件和硬件组件中存在哪些漏洞,并与供应商合作,以确定减轻每个漏洞的最佳方法。Alrich说,通常情况下,修补是最好的缓解方法。
NTIA的网络安全项目主管弗里德曼(Allan Friedman)说,SBOM也是软件制造或交付公司获得供应链所有权的第一步。
“SBOM将是管理网络安全和软件供应链风险的宝贵工具,”弗里德曼说。“我们发现新的漏洞每隔几个月,广泛影响我们生态系统中的大量软件和嵌入式组件 - 特别是在能源世界中。”
弗里德曼表示,SBOM的能源世界中有多种用例,包括安全开发过程,供应链安全,风险管理和漏洞评估。
sbm可以用于公共事业采购,Alrich说。他说:“如果你知道组件中存在公开的漏洞,你可以在合同中要求在购买完成之前修补这些漏洞或以其他方式减轻这些漏洞。”
他补充说,能源公司还需要如何解决供应商如何处理组件漏洞的条款。
ntia希望成为'这个讨论的Nexus'
Friedman自2018年以来一直致力于该项目,当时为医疗保健部门开发了第一个SBOM POC。目前的计划是将POC扩展到其他多个关键行业,从能源开始,后来包括汽车和银行。每个POC将汇集软件和安全专家,以开发如何格式化、开发和利用sbm的共同愿景。其理念是通过努力有机地开发sbm的生产和使用,而不是通过法规或标准的开发。
弗里德曼说,纳西亚“试图充当这种讨论的Nexus。”“我们一直在解决整个供应链问题。”这意味着讨论必须包括将使用该软件的资产所有者,“确保他们有一些可见性。”
弗里德曼表示,POC必须是跨部门。“我们希望避免拥有特定于部门的解决方案,”他说,因为在不同的关键基础设施领域“我们都使用相同的软件”。
随着美国越来越多的电网实现了互联和自动化,确保电网运行系统的安全将变得至关重要。但是,当谈到评估软件漏洞时,Friedman说,很少有组织能够回答这样一个简单的问题:“我是否可能受到这个问题的影响?”
“这真的很奇怪,很少有组织可以这样做,”弗里德曼说。利用SBOM将使该决定更加简单,最终通过清除软件的“成分列表”来帮助提高网格上的安全性。
“现代软件不是萨比斯斯堡的哈布斯特,”弗里德曼说1月会议信息。“现代软件采用现有组件建造。”
下一个NTIA能源信息会议定于下午12点。等于3月24日。网络研讨会对任何对软件安全有兴趣的人都开放,但Alrich表示将专注于能源行业。
SBOS的鸡蛋问题
如果SBOM是一个简单的解决方案,他们现在不使用它们?
根据弗里德曼的说法,许可和开源限制有一些担忧,但这少于几年前的问题。它主要是鸡肉和蛋问题 - 软件开发人员必须在公司可以在采购和漏洞跟踪中使用它们之前可用的SBOM,但除非客户问,否则他们将无法使用。
一个SBOM“只有在供应商能够提供的情况下才能成为一个工具,”EEI的Batz说。
最终,SBOM系统将需要非常严格的管理,以允许不同部门使用。Friedman说:“如果我们想在整个社区推广,它需要机器可读的自动化,这意味着有一个共同的愿景,并围绕一些现有的标准进行构建。”
