第十二章 软件透明度预测
到现在为止,应该很清楚的是,软件透明度和加强更广泛的软件供应链安全态势的努力绝不是转瞬即逝的。我们看到全球公共和私营部门在法规、工具、技术和框架方面做出了无数努力
12.1 新兴的努力、法规和要求
在新兴法规和要求方面,现在应该清楚的是,世界各国政府都意识到了软件对其机构、组织和整个社会的重要性。软件已与现代社会的几乎每个方面密不可分,从简单的日常休闲活动到最关键的基础设施和国家安全,无所不包。在本书中,我们引用了民选官员、国防领导人和技术巨头的证词,强调软件对现代社会每个关键行业和部门的重要性。
政府终于开始承认社会对软件的依赖,并开始进行投资,将开源软件 (OSS) 视为公共产品,因为它遍布现代社会的各个方面。德国最近努力推出主权技术基金来支持 OSS (https://sciencebusiness.net/news/germany-launch sovereign-tech-fund-secure-digital-infrastructure)。他们的领导层评论了 OSS 在现代数字基础设施中的重要性,尽管它作为一个生态系统很脆弱。
在英国,一个名为 OpenUK 的组织于 2022 年发起了“开源软件安全之夏”活动。参与该计划的领导人强调了现代国家关键基础设施正在 OSS 上构建的现实。由于国家关键基础设施对 OSS 的依赖,这项工作的重点是保护和维护 OSS 的必要性 (https://openuk.uk/launching-the-openuk-summer-of-open-source-software-security)。
另一项值得一提的立法是“2022 年保护开源软件法案”,该法案于 2022 年 9 月提交给美国参议院。该法案规定了网络安全信息安全局 (CISA) 在 OSS 安全方面的职责。CISA 的职责包括进行行业推广和参与、支持联邦保护 OSS 的努力以及与非联邦实体协调以确保 OSS 的长期安全。 CISA 的任务是发布一个框架,该框架将包括政府、行业和 OSS 社区本身,重点是保护 OSS 以及与此相关的最佳实践。该法案还包括关键基础设施评估研究和试点的语言,以确定 OSS 在美国关键基础设施中的作用 (www.congress.gov/bill/117th-congress/senate-bill/4913)。
虽然其中一些参考资料以及我们之前讨论过的国防部 (DoD) OSS 备忘录等项目可能让人觉得对使用和管理 OSS 的推动和兴趣正在加速,但来自战略与国际研究中心 (CSIS) 等来源的研究于 2023 年初发布,指出美国政府几十年来一直在发布与 OSS 相关的政策。该报告引用了 1999 年至 2022 年期间世界各国政府的 669 项 OSS 政策举措(见图 12.1)。
尽管如此,OSS 的使用加速(在我们讨论的 97% 的代码库中都有出现)加上对软件供应链的攻击加速,正在激发政府和行业对保护软件供应链的兴趣,并且这种兴趣将继续下去。
在美国,我们看到政府在保护软件供应链方面采取了巨大的行动。虽然各种努力正在进行中,但行政命令 (EO) 14028“改善国家网络安全”的发布无疑加速了这一现实。行政命令第 4 节“加强软件供应链安全”专门针对这一挑战,并要求美国各地的各政府实体制定指导、要求等,以应对整个软件供应链的风险。
Figure 12.1
Source: www.csis.org/analysis/governments-role-promotingopen-source-software, Center for Strategic & International Studie
该行政令的要求之一是,美国国家标准与技术研究所 (NIST) 需要制定“指导方针,确定增强软件供应链安全性的实践”。NIST 继续更新其安全软件开发框架 (SSDF) (https://csrc.nist.gov/Projects/ssdf),并根据行政令提供专门的软件供应链指导 (www.nist.gov/system/files/documents/2022/02/04/ software-supply-chain-security-guidance-under-EO-14028-section-4e.pdf)。
基于该指导方针,管理和预算办公室 (OMB) 编写了一份备忘录,题为“通过安全软件开发实践增强软件供应链的安全性”(M-22-18)。这份备忘录提到了美国政府对技术和数字产品的依赖,以及他们面临的持续威胁,这些威胁可能会阻碍政府提供公众所依赖的服务的能力。
备忘录要求美国联邦机构在机构信息系统上使用第三方软件或影响机构数据的软件时,遵守前面提到的 NIST 指导原则。该指导原则适用于备忘录发布之日起机构使用的所有软件,不仅包括新采购,还包括对现有第三方软件使用的任何重大版本更改。
值得注意的是,该备忘录特别排除了机构开发的软件,这当然引起了人们对所述软件安全性的担忧,并要求机构内部采取措施确保进行适当的安全软件开发活动。联邦机构远不能免受安全事件的影响,例如2015年发生的违反人事和管理办公室(OPM)的事件,暴露了2100多万美国人的数据。
备忘录指出,各机构只能使用能够自我证明符合上述NIST指南的软件生产商提供的软件。它呼吁各机构的首席信息官和首席采购官确保满足这些要求。软件生产商必须能够以合规声明的形式提供自我证明,并且这些自我证明必须由机构根据备忘录的要求为所有第三方软件获得。
备忘录还强调了将其证明纳入其产品组合的必要性,以使所有采购机构能够重复使用证明,这可以提高美国联邦生态系统的效率和数据共享。由于软件生产商可能无法完全满足SSDF和NIST软件供应链指南的要求(无论是最初还是可能永远),备忘录还允许使用所谓的行动计划和里程碑(POAM)。
POAM允许软件供应商记录其合规证明中的差距,解释缓解控制/措施、计划关闭日期等。这是一种存在于其他合规计划中的机制,如联邦风险和授权管理计划(Fed RAMP)和NIST风险管理框架(RMF)下的内部机构系统授权。
供应商需要提供有关认证所涵盖的组织和产品的详细信息,然后记录其与安全开发指南的一致性,并将其记录在标准化的自我认证表格中。如果服务或软件被认为是关键的,并且风险有保证,则机构可以选择请求第三方评估。这些第三方评价可能包括美联储RAMP第三方评定组织(3PAO)等团体。
在自我评估和更有可能的3PAO的情况下,值得指出的是,有可能减少联邦政府可以合作的可用软件供应商的数量。如前所述,在讨论联邦RAMP时,联邦RAMP市场(https://marketplace.fedramp.gov/#!/products?sort=productName)是美联储RAMP授权云服务的上市地,在撰写本文时,联邦政府可以使用大约300项授权云服务,尽管该市场已经存在了十年,在更广泛的商业消费市场上有数以万计的云提供商。
因此,尽管这些第三方采购订单的努力是出于善意的,可能会确定更安全的供应商和产品,但由于法规遵从性带来的高昂成本和要求,它们也限制了可用供应商和产品的数量。
许多人认为,在更广泛的风险讨论中,应该考虑失去创新供应商和解决方案的风险,而不是孤立于严格的网络安全。这意味着无法创新和现代化的业务/任务风险也被纳入等式。也就是说,正如我们所提到的,一些领导人,如Joshua Corman,也主张“减少更好的供应商”,试图拥有一个由可靠和安全的产品和组件组成的更安全的供应链。当然,这两种论点都有其优点,并且会因个人和组织的风险承受能力而异。
除了自我证明或由第三方评估是否符合NIST软件供应链和安全开发指南外,各机构还可能在其招标要求中要求软件材料清单(SBOM),特别是如果它被视为NIST定义的“关键软件”,我们之前已经讨论过,并在另一份名为“通过增强的安全措施保护关键软件”的OMB备忘录(www.whitehouse.gov/wp-content/uploads/2021/08/M-21-30.pdf)中记录了这一点。供应商提供的SBOM必须符合美国国家电信和信息协会(NTIA)定义的SBOM格式,并包括第4章“软件材料清单的兴起”中讨论的美国国家电信与信息协会定义的最低要素。
与自我证明非常相似,OMB备忘录强调了跨机构互惠/重复使用SBOM的必要性,以避免机构和供应商的重复工作。基于使用SBOM的潜力,机构可能需要其他工件,如与代码相关的漏洞和完整性输出以及参与漏洞披露计划的证明。联邦能源管理委员会(FERC)的领导人也开始表示希望更新与保护电力公司和其他能源部门实体相关的关键基础设施保护标准。这些愿望包括呼吁提高软件透明度,并指出对自我证明的担忧,而不是像SBOM这样的人工制品,SBOM提供了易受攻击的软件组件的机器可读证据,或者缺乏这些证据 (www.nextgov.com/cybersecurity/2022/12/ferc-chairman-wants-update-cybersecurity-requirements/380666).。
根据爱迪生电气研究所等组织的文件,这似乎是联邦能源管理委员会和北美电力可靠性公司(NERC)等组织的方向,该研究所于2022年10月发布了《解决网络安全供应链风险的模块采购合同语言3.0》。本文件列出了R.1.2.5“建议的EEI合同语言”的要求,该要求侧重于硬件、固件、软件和补丁的完整性和真实性。第(e)节特别规定,“承包商应为生产的(包括许可的)产品提供软件材料清单,其中包括组成组件的组件和相关元数据列表”(www.eei.org/-/media/Project/eei/Documents/Issues-and-Policy/Model--Procurement Contract.pdf)。
软件供应链安全和SBOM出现的另一个地方是美国《2023年国防授权法案》的初始版本和语言。在题为“国土安全部软件供应链风险管理”的第6722节中,该文本要求在提交投标书时包括一份材料清单,并证明提交的材料清单上列出的每个项目“没有影响最终产品或服务安全的所有已知漏洞或缺陷”。它要求使用NIST的国家漏洞数据库(NVD)等来源,我们已经与其他跟踪OSS和第三方软件安全漏洞和缺陷的数据库一起讨论过该数据库。
许多业内人士立即用这种语言指出,拥有无漏洞软件是不切实际的;然而,值得一提的是,该语言还允许通知计划,以缓解、修复和解决BOM中确实存在的每个安全漏洞或缺陷。行业抵制的一个显著例子来自数字创新联盟发布的一封信,该组织代表AWS、谷歌云和VMware等行业科技巨头。这封信请求国会“将SBOM语言从NDAA中删除,并给行业和机构更多的时间来开发更好地保护国家网络安全供应链的解决方案。”对这封信感兴趣的人可以在这里找到:https://alliance4digitalinnovation.org/wp-content/uploads/2022/10/NDAA-FY23-letter-Final.pdf。虽然《2023年国防授权法案》(NDAA)的早期版本确实包括SBOM的语言和进一步的软件供应链透明度,但行业游说和担忧似乎占了上风,2023年NDAA的最终文本中删除了SBOM和漏洞语言。(见www.congress.gov/117/bills/hr7776/bills-117hr7776enr.pdf)。
SBOM和软件供应链语言是否能重新进入未来一年的美国NDAA版本,还有待观察。也就是说,正如我们在其他地方所讨论的那样,国防界的各个实体,如美国陆军,正在围绕SBOM做出努力,通过信息请求(RFI)和其他合同途径向行业发出信号,表明他们致力于追求软件透明度
除了美国联邦范围内的新要求外,国防部的特定部门也表示打算大规模采用SBOM,不仅用于漏洞管理,还用于采办。2022年末,美国陆军发布了一份RFI,旨在寻求行业对“软件材料清单(SBOM)的获取、验证、摄入和使用以及密切相关的事项”的反馈。RFI承认,美国陆军使用数十万个软件组件来实现任务结果。这与我们在中提到的早期观点相呼应,这些观点是由联邦、军事和行业高级领导人提出的,他们强调了软件在未来军事冲突中的作用。美国国务院还表示,打算将SBOM作为其可交付成果合同活动和服务的核心组成部分。
2022年7月,国务院发布了一份征求建议书草案,作为其收购计划的一部分。该合同车辆名为“Evolve”,预计价值高达80亿至100亿美元。在第H.14.7节中,对“材料清单”有一项具体要求,要求承包商以行业标准格式(如软件包数据交换(SPDX)或Cyclone DX)提供SBOM,以捕获软件中包含的各种组件。交付的SBOM必须符合美国国家电信和信息管理局定义的最低要素,并且要求规定这些要素适用于合同中的所有任务订单。
所需频率被定义为与软件及其组件构成的任何更新相关(https://sam.gov/opp/bee1b04eda40442bbdfbca21774d55ce/view). 围绕软件透明度和SBOM的势头不仅限于美国。在欧盟(EU),2022年提出了一项名为《欧盟网络弹性法案》的法案,作为对具有数字元素的产品的网络安全要求的监管。它旨在确保在整个欧盟范围内使用更安全的硬件和软件产品(https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act)。
《网络复原法案》指出,2021年全球网络犯罪的年度成本估计为5.5万亿欧元。该法案指出,充斥漏洞和用户无法充分获取信息的产品网络安全性差的主要问题是了解哪些产品是安全的或它们的安全程度。该法案的主要目标是通过降低漏洞能力,为具有数字元素的安全产品创造发展心理条件,并让制造商在产品的整个生命周期中解决安全问题,让用户能够对具有数字元素产品的安全性做出明智的选择。
在《网络弹性法案》的文本中,特定的语言要求供应商使用SBOM来识别和记录产品中包含的组件。该法案规定,“为了便于漏洞分析,制造商应识别和记录具有数字元素的产品中所包含的组件,包括起草软件材料清单。”该法案特别要求供应商识别产品中易受攻击的第三方组件。
12.2 美国政府供应链影响市场的力量
虽然数字因来源而异,但不可否认,美国政府的IT和软件支出市场意义重大。来源估计,美国联邦政府在2023财年的预算超过650亿美元(www.whitehouse.gov/wp-cont/uploads/202/203/ap_16_it_fy2023.pdf)。这比上一个2022年580亿美元的预算有所增加,表明联邦IT支出在民事分支机构中持续增长(见图12.2)。
在国防方面,2023财年国防预算要求为7730亿美元。虽然这一预算的很大一部分不是特定于技术和软件的,但其中一部分是,正如所讨论的,越来越多的现代战争系统和平台也由技术和软件提供动力。当然,这项支出与美国联邦政府的DoD无关,不包括其他美国政府市场,如州和地方政府实体,他们有自己的IT支出预算和消费。这并不是说所有的IT支出都与软件有关,但正如我们在本书中所讨论的,几乎所有的现代技术都是由某种形式的软件提供动力的。这意味着,当美国政府领域出现新的政策、监管或合同要求时,这些变化最终会影响到整个技术和软件行业的很大一部分。许多人认为,由于美国政府从许多与更广泛的社会相同的供应商那里购买软件,他们新出现的要求将对整个行业产生影响,甚至在政府部门之外。
我们讨论过的要求,如要求使用安全的软件开发实践,深入了解软件中的组件,以及建立漏洞披露程序等机制,不仅会影响成百上千与美国政府合作的软件供应商,还会影响那些与数千商业软件消费者合作的供应商,不可避免地还会影响全球数百万人 。
其他人也提出,政府采用的NIST标准,如安全软件开发框架(SSDF)和其他软件供应链指南,也可能被商业部门实体自愿采用。一个流行的例子是NIST于2014年发布的网络安全框架(CSF),这是时任总统奥巴马之前发布的题为“加强联邦和关键基础设施的网络安全”的行政命令(EO)的结果。该行政命令规定美国联邦政府机构必须使用CSF,但正如NIST在其CSF常见问题解答中指出的那样,与美国联邦政府不同,许多私营部门组织现在使用CSF,尽管它们是自愿的(www.nist.gov/cyberframework/frequently-asked-questions/framework-basics)。
其他例子包括指导和框架,如Fed RAMP,它只适用于与联邦政府合作的云服务提供商,但它已成为商业部门云安全的领先例子,在云安全联盟(CSA)的云控制矩阵(CCM)等商业框架和指导中被引用。我们还讨论了Do D新兴的网络安全成熟度模型认证(CMMC),它影响了与DoD合作的30多万国防工业基地(DIB)供应商,并促进了围绕供应链风险管理的更广泛讨论,涉及到组织供应链中的供应商,而不仅仅是软件。
这里值得指出的一点是,2022年末发布的一项调查发现,大多数DIB供应商没有做好满足这些新要求的准备,87%的承包商在《国防联邦采购条例补充》(DFARS)要求中得分不合格,即承包商在所谓的供应商绩效风险系统(SPRS)中自我报告得分。
也有报告称,一旦由第三方评估,自我认证的分数与现实不符,当我们看到新兴的软件供应链要求(如OMB M-22-18)也要求第三方软件供应商就其安全开发实践的使用进行自我认证时,这应该引起关注。当涉及到合同和收入时,自我认证面临着诸如客观性和透明度等挑战(https://cybersheath.com/more-than-87-of-vangle-supply-chain-fails-basic cybersecurity minimums)。
许多人认为,政府的规模和范围往往会导致商业行业在要求和方法方面处于领先地位。这意味着,虽然SBOM和与安全软件开发相关的证明可能只是联邦部门的硬性监管要求,但它们也很可能进入商业实践,尤其是在金融和医疗等其他受监管和安全意识强的行业
12.3 供应链攻击加速
虽然我们在第1章“软件供应链威胁的背景”中讨论过一些指标,但在本文结束之际,我们认为再次强调软件供应链攻击的趋势只会继续加速是有必要的。这是由于多种因素造成的,例如现代数字环境和生态系统的复杂性增加,开源软件(OSS)和第三方软件的广泛使用,以及恶意行为者意识到软件供应链攻击的高效性和有效性。
我们引用的最令人震惊的指标之一是2022年Sonatype软件供应链状况报告。该报告发现在过去的三年中软件供应链攻击年均增长率为742%。报告还指出七分之六的漏洞是由于传递依赖关系造成的。这也得到了其他来源的证实,例如在讨论透明度和开源软件(OSS)的挑战时,我们在第4章所引用的来自Endor Labs的依赖管理状况报告。
单个易受攻击的组件或代码片段也可能被其他项目重用,从而导致其在生态系统中的存在呈指数级分布同时增加风险。例如,根据Sonatype(www.sonatype.com/resources/log4j-vulnerability-resource-center)的数据,Log4j中易受攻击的代码被数百个项目重用,并通过这种方式传播到其他成千上万个组件(总下载量超过1.5亿次),并且在截至本文撰写时,每天仍有数万次下载量。研究人员现在发现成千上万的恶意软件包正在跨生态系统传播,表现了恶意行为者越来越关注软件供应链并促成了我们现在行业中不断看到的软件供应链攻击指数增长。
同一份Sonatype报告显示一个相关原因是开源软件(OSS)供应和消费的巨大增长。如摘自Sonatype报告的图12.3所示,在调查的主要生态系统中现有超过300万个项目,4700万个版本,并且每年的请求量超过3万亿次,这些都导致了所调查的生态系统同比增长超过30%。
虽然开源软件(OSS)的增长和消费通过代码重用加速了几乎所有行业的速度、效率和创新,但也由于第三方代码中的漏洞在各处被重用而产生了重大的系统性风险。这些广泛被使用的项目和依赖关系也是最易受攻击的。从某种意义上说,由于广泛使用开源软件(OSS)增加了行业的攻击面,开源软件(OSS)项目的广泛成功和采用也会增加行业风险。
由于传递依赖关系的存在问题进一步加剧,平均每个库有5.7个传递依赖关系并且62%库的第三方依赖中存在漏洞。因此,确保依赖项经过谨慎考虑选择是很重要的,因其可能伴随的漏洞和潜在风险。一些供应商已经开始整合功能,帮助开发人员在软件开发过程中进行组件选择时做出基于风险的决策。
继续依赖管理的话题,Sonatype报告提出了普通开发人员必须面对的几个问题。这其中包括跟踪和管理150个初始依赖项,每个应用程序每年多达1500次依赖变更,还需要有足够的安全和法律专业知识来选择最安全的版本。现实环境下,许多开发人员是通过交付速度对其进行评估或激励的,这种分析和细微差别往往不是关键考虑因素,更不用说实际和现实了。
虽然Sonatype报告是最有名的报告之一,但它绝不是证实软件供应链攻击呈指数增长的唯一来源。开源软件(OSS)的加速使用,伴随着恶意行为者对供应链这一攻击媒介的日益关注以及许多有能力做出更安全决策的实体(如软件开发人员)的认知过载,创造了一个完美的风暴。
遗憾的是我们并未看到这一趋势有所下降,因为恶意行为者已经意识到这种方式的高效性和成果。事实上,我们预计攻击者的创新性和创造性将持续发展,不仅针对开源软件(OSS)组件,还会针对服务和软件提供商,正如我们在一些标志性案例中展示的那样。
为了进一步证明趋势有效性,2022年欧洲网络安全局(ENISA)将软件依赖关系供应链妥协列为到2030年出现的头号威胁(见图12.4)。这一威胁排在其他关键领域之前,如虚假信息传播、技能短缺和人工智能滥用的潜在风险。这表明软件供应链威胁不仅在当前显得至关重要,正如我们讨论的趋势以及历史背景和软件供应链攻击目录中可以看出,而且在未来一段时间内它仍将是各个组织和国家面临的相关威胁。
12.4 数字世界日益密切联系
社会上最明显的趋势之一是数字连接设备的快速持续增长。正如我们整本书多次说到的,我们社会几乎每一个方面都与数字连接设备和软件相关联,从无害的生活用品(例如:家庭设备、智能手表和医疗设备等)到关键基础设施和军事系统。
大部分传统连接是由服务器、终端和移动设备等计算设备驱动的,随着物联网的惊人增长,这一趋势也呈指数级加速。物联网(IoT)设备通常被定义为连接到互联网并且有能力传输数据的物体,物联网设备包含无线传感器、家用物品、工业工具和制造设备等。
在现代社会中,几乎无限数量和种类的设备是可以连接。促进连接设备增长因素很多,包括低成本传感技术、云计算和创新的网络协议。我们还看到所谓工业物联网(IIoT)的巨大增长。IIoT利用云、分析和机器学习为各种使用环境助力,如智能制造、城市、电网和数字供应链。
这种连接为分析、效率、创新带来了巨大潜力,这在以前我们未连接的世界中是不可能实现的。这种广泛的连接也带来了新的商业模式和收入来源,提高了效率和运营,甚至在个人环境中提供了更高的生活质量。然而,也带来了我们前所未见的指数级和系统性风险。
与物联网设备相关的常见安全挑战包括硬编码和弱凭证、缺乏定期和及时的固件更新,以及组织使用的物联网设备在覆盖范围上是有限总体可见的。
正如我们从Verizon的数据泄露报告等来源看到的,泄露凭证是恶意行为者常用的攻击媒介。这对于许多物联网(IoT)和操作技术(OT)设备来说并不乐观,因为这些设备通常使用制造商提供的默认凭证,这使得它更容易成为恶意行为者的目标。物联网设备的另一个常见挑战是缺乏定期的固件更新,甚至恶意行为者会破坏传递到物联网设备的补丁和软件更新包。考虑到物联网覆盖范围及规模的日益增长,很容易看到其增长将会加剧与软件供应链相关的挑战,以及一个被破坏的补丁如何能产生巨大影响。
一些消息预计,到2022年底,将会有超过130亿个连接设备,这一数字预计在2025年将增长到多达750亿个。随着连接设备数量的激增,政府和监管机构难以跟上步伐。尽管如此,也正在进行一些努力——试图改进对物联网设备的监管,重点关注隐私和网络安全,但主要集中在前者。
一个名为“Which?”的英国消费者权益组织在2023年发布了他们的调查结果,指出许多领先的智能设备制造商可能在短短几年后就放弃对设备的软件支持。该组织指出,这不仅对“智能“设备的操作支持和使用寿命构成担忧,还会由于这些设备在社会中的广泛使用并且在生命周期内缺乏数字支持而带来安全风险。
观察欧盟和美国,可以看到一些与隐私和网络安全相关的监管努力正在进行中,其中一些是针对物联网(IoT)的,另一些虽然范围较广但仍适用于物联网。在欧盟的消费者隐私方面,最显著的是《通用数据保护条例》(GDPR),该条例于2018年在欧盟和英国生效。GDPR侧重于个人数据如何被管理,并围绕公平、合法和透明的关键原则提供框架。
虽然GDPR是基于欧盟的,但如果一些组织掌控了欧盟公民的数据,GDPR也适用于欧盟以外的组织。我们之前讨论过欧盟正在出台的《网络韧性法案》。该法案要求制造商在设计和生产过程中实施安全措施,并提供对涉及设备(包括物联网设备)的软件组件的可见性。
在美国,最近的努力集中在为物联网(IoT)设备创建网络安全标签计划(www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity/cybersecurity-labeling-consumers-0)。该计划针对美国消费者,旨在像欧盟的《网络韧性法案》一样,提高透明度并为消费者提供更好的信息以便他们在购买和使用产品时能做出更好的安全选择。这也旨在激励物联网设备制造商在产品开发过程中考虑安全性。白宫建立推动本书中讨论的《网络安全行政命令》(EO),与一些行业最大的互联网设备制造商进行了讨论和合作,以推动这一努力。截至本文撰写时,网络安全标签计划计划于2023年春季发布。(www.whitehouse.gov/briefing-room/statements-releases/2022/10/20/statement-by-nsc-spokesperson-adrienne-watson-on-the-biden-harris-administrations-effort-to-secure-household-internet-enabled-devices)
除了网络安全标签计划,NIST还拥有一个强大的物联网网络安全计划,提供标准、指导和相关工具。这包括物联网设备制造商的信息,以及寻求使用物联网设备的联邦机构和消费者的信息。2022年秋,美国商务部任命了一个物联网咨询委员会,以帮助推动物联网领域的安全工作,并根据专业知识和行业经验提供关键见解和建议。(www.nist.gov/itl/applied-cybersecurity/nist-cybersecurity-iot-program)
另一个显著的例子来自2023年由拜登签署的拨款法案,特别是第3305节,其中包括要求互联网连接医疗设备制造商合理确保设备及其相关系统网络安全的条款。具体要求包括监控、识别和解决设备中的网络安全漏洞,并提供上市后的更新和补丁解决漏洞。对需要满足这些要求的设备将由食品和药物管理局(FDA)监督。(www.congress.gov/117/bills/hr2617/BILLS-117hr2617enr.pdf)
很容易看出物联网在社会中的增长,几乎应用于每个行业以及专业和个人环境中,为攻击面的大规模增长打开了大门,并为希望通软件供应链攻击和破坏的恶意行为者提供了机会。这些物联网设备由软件驱动,广泛存在于社会中,预计将有巨大的增长,无论是作为供应商还是消费者,从网络安全角度对其关注较少。我们预计 2023 年拨款法案中的规定以及与物联网设备使用安全和软件相关的规定将继续发展。
12.5 接下来会发生什么?
预测未来是非常困难甚至不可能的,但对软件透明度日益增长的推动几乎是可以感受到的。易受攻击软件对普通公民、政府和社会构成的风险再也无法忽视。
软件深入到从我们最基本的个人奢侈活动到我们最关键的基础设施、公共服务和国家安全系统的一切之中。正如我们在本书中反复强调的那样,软件具有几乎无限的创新和创造潜力,但它也对我们的现代生活方式构成了一种巨大的系统性风险。除了我们讨论的众多行业和官方的努力外,我们还预计政府、学术界和行业将进一步努力,以提高软件行业的透明度和安全性。
在2023年初的一次采访中,CISA(美国网络安全和基础设施安全局)局长Jen Easterly强调了政府和行业共同努力提高社会网络安全的必要性。Easterly指出,不仅是技术公司,医院、学区和关键基础设施也在持续遭受攻击,说明当前的网络安全方法是不持续的。
她强调公司需要采取措施,设计安全的产品和软件,甚至表示“网络安全是一种社会公益”,并且改进软件安全的努力应直接关系到社会的稳定性。与我们从研究人员如Chinmayi Sharma在其文章《数字公地的悲剧》中听到的信息一致,Easterly表示,负担不能再落在消费者和普通公民身上,而应该由那些处于最佳位置采取行动的公司和软件供应商承担。(https://finance.yahoo.com/news/us-cybersecurity-director-the-tech-ecosystem-has-become-really-unsafe-222118097.html)
2023年1月,《华盛顿邮报》提到,预期中的国家网络战略与以往任何战略不同,“这是第一次将监管纳入国家网络安全战略”(www.washingtonpost.com/politics/2023/01/06/biden-national-cyber-strategy-is-unlike-any-before-it)。
隐私和互联网政策专家、加州大学伯克利分校讲师Jim Dempsey在2023年1月的一篇题为《网络安全的一小步立法》(www.lawfareblog.com/one-small-legislative-step-cybersecurity)的优秀文章中解读了网络安全监管增加的话题。Dempsey指出,2023年拨款法案中要求连接医疗设备的条款,可以说是自2005年以来,国会首次明确授权任何机构对任何类型的私人拥有和运营系统的网络安全进行监管。
Dempsey指出,截至目前,大多数与关键基础设施相关的网络安全措施都是自愿的。许多批评者指出,网络安全可以被归类为市场失灵,将其留给市场自我监管和优先考虑网络安全已经失败并且继续失败。如果这种观点是正确的,那么令人担忧的是,美国的大多数关键基础设施是私人拥有和运营的,通常使用易受攻击的软件组件,并且是恶意行为者的主要目标。
许多人怀疑美国国家网络战略及相关努力,传统上基于自愿努力的基础,正在开始转向监管要求。随着这些新兴要求的出现,供应商和忽视其在软件、产品和数字系统方面的网络安全责任的实体将面临更高的责任和问责。正如我们之前提到的,一些人认为网络安全是市场失灵的问题,仅靠自愿努力无法解决这一挑战。这种对监管要求和后果的推动旨在平衡局面,解决当前国家安全和公共安全中的差距,而这些差距现在都以软件为基础。
在美国,有16个关键基础设施部门,涵盖通信、能源、紧急服务、交通、信息技术和国防工业基地等领域。随着国家持续注意到针对关键基础设施实体的恶意网络攻击加速,关键的安全领导人加大了对这些部门及其监管状态关注。副国家安全顾问Anne Neuberger及其相关团队就是一个例子。该团队发现,虽然许多关键基础设施部门在网络安全方面有一些监管措施,但并非所有部门都如此。在美国的几个领域中,包括食品、农业和教育在内,发现了监管空白。
联邦紧急事务管理局(FEMA)指出,私人部门拥有全国85%的关键基础设施和关键资源。报告还指出,随着结构的平均年龄增加,这些关键基础设施变得更容易发生故障(www.fema.gov/pdf/about/programs/oppa/critical_infrastructure_paper.pdf)。
为了支持报告的有效性,2023年初,美国联邦航空管理局(FAA)因其航空任务通知系统(NOTAMs)的故障被迫于1月11日停止所有美国航班。FAA在2022年的一份报告中解释了其在遗留硬件和软件方面的挑战。(www.faa.gov/sites/faa.gov/files/2022-02/FAA_FY22_Business_Planv2.pdf)
正如2022年Synopsys开源安全和风险分析报告等研究所述,美国每小时遭遇1000万次尝试攻击,这些攻击特别针对关键基础设施部门。报告发现,关键基础设施代码库中有一半包含开源软件(OSS)。同一研究指出,几乎所有代码库都包含四年以上未更新或两年内没有新开发的OSS组件。软件和我们的物理基础设施一样,随着年龄的增长变得越来越脆弱,特别是由于新漏洞的出现。
当你考虑到老化的物理基础设施,通常由过时且可能存在漏洞的软件驱动并且经常遭受恶意活动的持续轰炸,你可以意识到问题开始变得令人担忧。2023年世界经济论坛(WEF)全球风险报告支持这一观点,报告将对关键基础设施的网络攻击列为最高风险之一。当被调查时,几乎所有网络安全领导者都表示对未来两年内发生毁灭性全球网络攻击的强烈担忧。(www3.weforum.org/docs/WEF_Global_Risks_Report_2023.pdf)
除了其他新兴的监管工作领域,如网络安全数据泄露报告要求和设备标签,人们还越来越推动供应商提供软件的透明度。这包括提供软件组件、依赖项及其相关漏洞的透明度。虽然这些努力并不完美,但它们有助于解决软件供应商和消费者之间现有的信息不对称问题。
期望普通公民和业务核心并非网络安全的企业成为软件安全、开发安全软件和漏洞管理的专家是不现实的。在社会的其他领域,如汽车、飞机、药品和食品,我们不会问这个问题。作为一个社会,我们已经为这些行业制定了措施,以解决供应商和消费者之间的信息不对称问题,以确保安全、责任和问责制,同时仍然允许消费者做出风险知情的决定。我们现在看到在软件和技术方面也在努力做类似的事情。
正如我们通过引用世界各国的努力所指出的,这个问题不仅限于美国。世界各地的政府和国家正在意识到不安全的软件、缺乏透明度以及缺乏对安全产品和技术的问责所带来的系统性风险。他们也正在采取类似的措施来应对这些问题。
我们完全可以预料到,与政府和监管机构的软件透明度和安全性努力相比,将会有来自工业团体、游说者和商业实体的抵制。例如,美国商会已经表示,他们正在积极准备审查新的国家网络战略,并确定其对各自成员的影响。游说者和行业团体在推动增加软件供应商透明度和问责做出历史性努力以及最近如2023年《国防授权法案》(NDAA)和其包含的软件物料清单(SBOM)等方面取得了一些成功。
当然,这些团体提出的担忧是有道理的,比如某些所需工件和见解的成熟度,以及协调其活动所受的各种监管要求的需要。分散的法规和要求会在行业中造成混乱,导致时间和投资的浪费,并可能阻碍创新和速度。政府和公民能够使用创新技术和能力对提高生活质量、经济繁荣和国家安全至关重要。对软件的监管努力必须与这些监管措施所施加的限制和影响相对照。例如,国防部的许多人认为,破碎和陈旧的要求和法规阻碍了他们以有效速度执行任务的能力。
在最新的国防部软件现代化战略中,这一点得到了强调,该战略解释了软件现代化在国家安全中所扮演的关键角色。文件的开头写道:
国防部的适应能力越来越依赖于软件,安全且快速地提供弹性软件能力是定义未来冲突的竞争优势。将软件交付时间从几年缩短到几分钟需要对我们的流程、政策、劳动力和技术进行重大变革。(https://media.defense.gov/2022/Feb/03/2002932833/-1/-1/1/DEPARTMENTOF-DEFENSE-SOFTWARE-MODERNIZATION-STRATEGY.PDF)
因此,尽管基于对软件消费透明度历史上的缺失、开源软件(OSS)使用的指数级增加以及恶意攻击者加速攻击的现实,推动软件透明度和增加软件供应链安全严格性是必要的,但这些努力必须与它们对团队、组织和行业所带来的负担和摩擦进行比较。
我们还预见到,实现这些目标需要相关的工具更加成熟。这适用于物联网(IoT)、操作技术(OT)、传统软件,甚至云环境中的软件组件资产清单、更高保真度的漏洞数据,以及支持软件供应商、消费者和其他行业实体之间数据交换。这些工具和组件必须是可自动化和可操作的,例如,开发团队能够不过度阻碍其交付代码到生产环境的速度,并帮助组织实现软件驱动的业务和任务目标。
我们还预见到的一个趋势是,从传统的静态表单式供应商风险评估转向一个以API为中心、由云等技术促进的,并能实现自动化和近实时评估的方式。这种自动化趋势对于成功扩展并实现与软件物料清单(SBOM)相关的预期目标以及传达可利用性尤为关键,特别是在遵循敏捷和DevSecOps方法学的大型复杂开发环境中,这些方法学伴随着频繁的软件发布,从而提高相关工件(如 SBOM 及其伴随的可利用性上下文)的速度。
多年来,合规性和安全性一直落后于行业的广泛趋势(推动DevOps、增加开发速度、加快市场上市时间以及快速软件开发和发布)。我们看到像DevSecOps这样随着发展不断成熟和壮大以及云和 CI/CD 工具链等环境中改进的创新安全工具和流程,以提供所需的安全性和合规性控制,同时限制对开发人员速度的影响。随着转向代码化(如,as-code)、声明式基础设施和微服务的趋势越来越大,安全性和合规性必须继续创新以跟上步伐,发挥推动作用,并在软件供应链方面提供所需的透明度和问责水平。
正如我们在第11章《消费者的实用指南》中讨论的那样,我们还预见到软件供应商和消费者将进一步努力成熟他们的软件供应链治理和安全措施。从供应商的角度来看,这将体现在改进OSS治理、产品中软件组件的透明度以及对他们广泛使用的OSS维护者和社区的实际期望方面的重新评估。
从消费者的角度来看,我们预见到软件消费者将继续要求其上游软件供应商和供应商提供更多透明度。这包括确保遵循安全软件开发实践过程,并要求提供 SBOM 等软件工件和附加工件显示漏洞和可利用性。供应商和消费者之间需要进一步沟通,以帮助解释不仅是漏洞的存在和可利用性,还包括修复时间表以及消费者在漏洞修复之前可以采取减轻风险的措施。
各类组织还应将持续认真检查其软件供应链。这种检查不仅限于其环境中安装和运行的OSS和第三方软件供应商,而且要扩展到托管服务提供商(MSP)、云服务提供商(CSP)和软件即服务(SaaS)提供商,这些提供商被越来越多的恶意行为者作为目标,试图利用我们当前运行的复杂软件供应链生态系统。
这些努力可能会导致软件生态系统中的一些调整,因为更成熟和安全意识较强的消费者希望利用成熟和安全的软件供应商和服务提供商来减轻其组织、利益相关者和客户的风险。我们怀疑这种趋势将在包括国家安全和金融、航空航天等受监管行业的社区中最为普遍。
除了开发、供应和消费软件的团队之间的变化外,我们预计在组织最高层次上对网络安全问题的进一步参与和监督,不仅限于首席信息安全官(CISO)和董事会。这在一定程度上是由于意识到几乎每个企业都涉及技术和软件领域,即使这不是他们的核心竞争力,但它通常帮助推动他们的收入和运营。美国证券交易委员会(SEC)等机构的变化推动也推动了这一趋势,这些机构推动董事会将网络风险纳入其信托和监督活动的一部分。
例如,SEC最近提出的规则变更《网络安全风险管理、战略、治理和事件披露》包括要求组织披露其董事会的网络安全专业知识的条款。这将促使组织领导层需要更了解和参与其各自公司网络风险的监督,包括与软件供应链安全和由于软件供应链攻击或恶意活动引发的事件(www.sec.gov/rules/proposed/2022/33-11038.pdf)。
这些变化标志着监管环境的转变,即组织董事会现在将被要求确保其董事会成员具备网络安全专业知识。鉴于软件供应链攻击正在加速,并且在过去几年中一直是组织讨论和关注的常规重点,可以安全地假设这一主题将引起董事会的注意,并且在某些组织中已经引起了注意。
在本书中,我们涵盖了软件供应链安全领域的广泛主题。这些主题包括具有里程碑意义的软件供应链攻击、传统评估方法、最新指导和最佳实践、SBOM的兴起及相关主题,以及对供应商和消费者的实用指导。我们还讨论了云计算、Kubernetes 和容器等创新技术在软件供应链生态系统中所发挥的作用。尽管考虑到现代软件供应链及其相关生态系统的复杂性,不可能涵盖所有相关主题,但这些内容应能使从业者能够透明地生产安全软件,并了解他们从OSS生态系统或第三方软件供应商处获取软件的风险。
正如我们在本书中反复强调的那样,软件对于我们社会的几乎每个方面都至关重要,随着我们进入无处不在的数字化未来,确保我们生产和消费安全软件至关重要。软件提供了无与伦比的创新、能力和增长的承诺,同时也带来了系统性风险,这些风险如果处理不当,可能会对我们的社会造成毁灭性打击。
正如美国最高法院法官路易斯·布兰代斯一个多世纪前所说:“阳光是最好的消毒剂。”如今,社会正在推动围绕我们生活各个方面的数字生态系统以及与之相关的系统风险的透明度。
我们是阳光的捍卫者