工業軟件供應鏈安全風險分析及對策建議

樊佳訊，楊佳寧

（國家工業信息安全發展研究中心，北京 100040）

0 引言

供應鏈是設計、制造和分銷產品所需的資源生態系統的組合，在網絡安全領域，供應鏈包括硬件和軟件、云或本地存儲和分發機制。軟件供應鏈安全作為供應鏈管理的一個重要組成部分，涵蓋產品在開發、交付、驗收、使用和維護整個生命周期內的安全。近年來，受復雜的國際形勢和新冠疫情等因素影響，工業軟件供應鏈安全形勢日益嚴峻，安全事件層出不窮，給企業的安全生產甚至是國家的穩定運轉造成了嚴重的威脅，工業軟件的供應鏈安全得到廣泛關注。

1 國內外工業軟件供應鏈安全現狀

安全事件頻發、上游漏洞威脅給工業軟件供應鏈安全帶來嚴峻挑戰，對此政府、研究機構和企業在政策標準和安全技術方面加大了投入以應對面臨的安全危機。

1.1 安全事件頻發

工控系統相關產品的構成日益復雜，一件產品的配件可能來自不同的國家和廠商，一套復雜軟件系統可能由不同地方的人員共同設計完成[1]，供應鏈成為工業軟件網絡安全的重要風險點。

近年來，IT、OT供應鏈安全事件頻頻發生，如2020年12月，SolarWinds 旗下的Orion基礎設施管理平臺的發布環境遭到黑客組織入侵，黑客對源碼進行篡改添加了后門代碼，該文件具有合法數字簽名會伴隨軟件更新下發，從而形成供應鏈攻擊，本次供應鏈攻擊事件，波及范圍極廣，包括政府部門，關鍵基礎設施以及多家全球500強企業，有關部門預估此次事件造成的影響尤為巨大；2021年4月，軟件審計公司Codecov的產品代碼爆出供應鏈攻擊，導致該公司數百個客戶的網絡遭遇非法訪問，涉及許多大型科技品牌，例如IBM、Google、GoDaddy和HP，以及媒體發行商《華盛頓郵報》和知名消費品公司（寶潔）；2021年7月，REvil勒索軟件利用Kaseya VSA遠程IT管理軟件的自動更新機制發起大規模供應鏈攻擊，影響多家托管服務提供商（MSP）及其客戶；2021年8月，一名黑客入侵了暖通空調（HVAC）供應商ENE Systems，并遠程訪問了包括波士頓兒童醫院在內的客戶OT系統，引發社會擔憂。

此外，2021年7月，ENISA發布報告《供應鏈攻擊的威脅態勢》，該報告分析了最近的24次攻擊，結果顯示，即使組織采取良好的防御措施，也仍容易受到供應鏈攻擊。攻擊者正將目標對準供應商，以探索滲透組織的潛在路徑，這些類型的攻擊正變得越來越普遍。

1.2 上游漏洞威脅

網絡威脅參與者利用漏洞威脅工業軟件供應鏈安全，通過運用攻擊策略和技術挖掘供應商漏洞，在上游防御者進行修復之前展開攻擊，將其惡意活動及其后果向下游傳播給眾多用戶。

2021年8月，臺灣物聯網（IoT）供應商ThroughTek開發的軟件協議中發現了漏洞，黑客可能會利用該漏洞攔截嬰兒監視器和網絡攝像頭等設備上的音頻和視頻數據，該協議已集成到設備制造商和經銷商中，其客戶包括中國電子巨頭小米，其他品牌（如相機供應商Wyze）生產的8300萬臺設備正在運行其軟件，受影響范圍難以確定。

2 0 2 1年6 月，臺灣工業網絡解決方案提供商Korenix Technology生產的固件產品存在安全漏洞，此漏洞允許對目標設備具有網絡訪問權限的攻擊者可以對其配置進行未經授權的更改，使其進入DoS狀態，并獲取敏感信息，從而利用這些漏洞來完全控制設備。多家廠商的工業交換機受到這些漏洞的影響，受影響的設備用于重工業、運輸、自動化、電力和能源、監控和其他部門。安全研究人員稱，這些交換機用于網絡中的關鍵位置，攻擊者可以利用這些漏洞切斷與附加系統的網絡連接，導致用戶網絡面臨巨大隱患。

2021年8月，美國網絡安全與基礎設施安全局（CISA）發布安全警報指出，黑莓公司（BlackBerry）設計的QNX實時操作系統存在重大網絡安全漏洞BadAlloc。成功利用該漏洞可能造成拒絕服務條件或在受影響的設備上執行任意代碼，導致黑客獲取高度機密系統的權限。受影響的黑莓QNX實時操作系統廣泛應用于近2億輛汽車以及數千臺工業控制設備、醫療工具等。其中，使用該軟件的車企包括本田、奔馳、大眾、寶馬、福特、通用等主流汽車制造商，其眾多關鍵功能均使用了這個軟件，包括高級駕駛輔助系統等。

1.3 政策標準出臺

事關國家安全與行業發展，軟件供應鏈安全如今正在隨著大國網絡空間博弈的加劇日益受到重視，各國政府、企業和學術界都對這一問題給予了高注，并出臺有關措施與倡議。

2021年3月，新加坡通信和信息部（MCI）發布高級國務部長Janil Puthucheary博士的講話，概述了關鍵信息基礎設施（CII）供應鏈計劃的發展，旨在協助利益相關者管理供應商網絡安全風險以及網絡安全措施。

2021年4月，中國《關鍵信息基礎設施安全保護條例》在國務院第133次常務會議上通過，旨在建立專門保護制度，明確各方責任，提出保障促進措施，保障關鍵信息基礎設施安全及維護網絡安全，條例第十九條明確：“運營者應當優先采購安全可信的網絡產品和服務；采購網絡產品和服務可能影響國家安全的，應當按照國家網絡安全規定通過安全審查”，為我國供應鏈安全保駕護航。

2021年4月，CISA和美國國家標準技術研究院（NIST）發布了《防御軟件供應鏈攻擊》報告，提供了有關使用NIST的網絡供應鏈風險管理（C-SCRM）框架和安全軟件開發框架（SSDF）來識別、評估和降低風險的指南，旨在當網絡威脅參與者滲透到軟件供應商的網絡并在供應商將其發送給客戶之前使用惡意代碼來破壞軟件時，幫助軟件供應商和客戶抵御這些攻擊。

2021年5月，英國政府就如何部署軟件防御供應鏈攻擊以及如何在全國范圍內增強IT托管服務提供商（MSP）提出計劃，旨在保護越來越依賴于網絡攻擊技術的企業和組織，并加強數字供應鏈的安全性。

2021年8月，拜登政府召開科技、銀行業、保險業和基礎設施的高管會議后，公布了供應鏈和關鍵礎設施領域的安全舉措，旨在建立更安全的國家技術供應鏈。圍繞供應鏈安全，NIST、科技公司和保險公司計劃加強合作，開發指導公私機構如何構建安全技術和評估技術安全性的指南，其中包括開源軟件。

1.4 安全技術發展

軟件供應鏈攻擊帶來了前所未有的高風險，由于新型攻擊方式的出現，公眾對威脅的認識不斷提高，監管機構也加強了監管力度，國家、企業和研究機構開始在安全技術上發力。

2021年3月，據Secrss網站報道，美國網絡安全、能源安全和應急響應辦公室的CyTRICS項目初步具備了運營能力。CyTRICS網絡漏洞測試支持跨多個能源部倡議的供應鏈安全需求，在確定優先級的方法、標準化的測試過程、標準化的報告和存儲庫，以及與供應商深度合作等四個方面做出創新。

2021年6月，據ZDnet網站報道，為了應對軟件供應鏈不斷增長的攻擊威脅，谷歌提出了軟件產品供應鏈級別框架（SLSA，Supply chain Levels for Software Artifacts）。SLSA旨在鎖定軟件構建鏈中的所有內容，從開發人員到源代碼、構建平臺和CI/CD系統、包存儲庫和依賴項，從而改善行業狀況，特別是開源，以抵御最緊迫的完整性威脅。

2021年7月，據ZDNet網站報道，GitHub 提高了Go模塊的供應鏈安全性，GitHub宣布了一系列基于Go編程語言的模塊的供應鏈安全升級。Go模塊于2019年推出，旨在改進依賴項管理，現在是該平臺上最流行的編程語言之一，調查顯示76%的受訪者表示Go現在以某種形式在企業中使用。GitHub稱在Go模塊四個主要的供應鏈安全領域進行了改進，包括咨詢數據庫，依賴關系圖，Dependabot警報和Dependabot安全更新。

2 國內工業軟件供應鏈威脅來源分析及對策建議

2.1 風險來源分析

縱觀近些年來發生的網絡安全事件，結合軟件供應鏈的流程特性，工業軟件供應鏈面臨的風險主要包括，一是攻擊者利用軟件供應鏈漏洞，在攻擊目標與其軟件供應商和業務合作伙伴之間的信任環節所做的攻擊，如SolarWinds、Codecov攻擊；二是利用開源生態系統設計漏洞的依賴項混淆攻擊；三是利用供應關系，從供應商處竊取客戶信息，從而入侵系統或進行勒索，如HVAC攻擊。

因此，不難看出工業軟件供應鏈的內部風險來源主要是，一是產品源代碼存在漏洞；二是開源生態設計缺陷；三是供應商信息系統漏洞，造成數據泄露。

其中開源代碼的安全問題亟需得到重視，據奇安信發布的《2021中國軟件供應鏈安全分析報告》，通過對國內自主開發的軟件項目源代碼進行檢測發現，每1000行代碼就有超過10個安全缺陷，超8成項目存在高危開源軟件漏洞。

此外，從外部風險來看，一是全球化發展進程導致系統構成復雜，拓展了攻擊面。二是攻擊者逐漸將低成本、高回報的供應連攻擊作為重點，根據歐盟信息安全機構ENISA在《供應鏈攻擊的威脅格局》報告中的分析，2021年的供應鏈攻擊將比2020年增加4倍。三是攻擊者在攻擊技術方面不斷精進，出現了如依賴關系混淆等新型攻擊手段。

2.2 對策建議

工業軟件供應鏈已經成為世界網絡安全的焦點，直接影響國家關鍵基礎設施和工業企業生產安全，國家、機構、企業和用戶亟需采取相應的措施，以提升我國在工業軟件供應鏈方面的風險發現能力、安全分析能力和應急處置能力，全面提升我國工業領域網絡安全技術保障水平，為推進制造強國和網絡強國建設保駕護航。

國家層面，建議政府相關部門與技術機構合作，一是制定針對工業軟件供應鏈安全審查的具體政策，設置安全審查的具體流程和評判指標，要求供應商產品在進入市場，特別是國家關鍵基礎設施領域前，通過安全審查；二是建立國家級風險預警、漏洞通報平臺，借助平臺力量及時將安全風險通報到具體企業，防范惡意攻擊。

研究機構方面，建議專家、學者針對供應鏈安全加大資金投入，與工業軟件開發企業、工業軟件用戶一同，從實際情況出發，發展切實可行、可靠的保障工業軟件供應鏈安全的技術，在提高工業軟件供應鏈安全方面做出創新。

工業軟件開發企業方面，首先應提高開源代碼安全意識，充分評估所用開源代碼的安全性，同時加大自主創新投入，提高代碼自主水平；其次，要充分評估開源代碼知識產權的法律風險，避免許可證糾紛和斷供問題[2]；另外，作為掌握大量客戶信息的供應商，工業軟件開發企業應該做好自身信息系統安全防護，防止數據泄露事件給用戶帶來安全威脅。

工業軟件用戶方面，企業用戶首先應該加強對供應商產品的安全審查，確保產品來源的可靠性；并且應及時關注廠商發布的更新信息，及時更新，避免更新不及時導致漏洞利用帶來風險；使用風險預警系統，監控應用場景的安全態勢，對攻擊行為及時有效的響應。

3 結語

本文闡述了供應鏈的含義，從安全事件、漏洞威脅、政策標準、安全技術四個角度分別介紹了工業軟件供應鏈的安全現狀，并針對國內工業軟件供應鏈面臨的威脅來源進行了分析，最后給出了相應的對策建議，為加強我國供應鏈安全提供了參考。