12.5 接下来会发生什么?
预测未来是非常困难甚至不可能的,但对软件透明度日益增长的推动几乎是可以感受到的。易受攻击软件对普通公民、政府和社会构成的风险再也无法忽视。
软件深入到从我们最基本的个人奢侈活动到我们最关键的基础设施、公共服务和国家安全系统的一切之中。正如我们在本书中反复强调的那样,软件具有几乎无限的创新和创造潜力,但它也对我们的现代生活方式构成了一种巨大的系统性风险。除了我们讨论的众多行业和官方的努力外,我们还预计政府、学术界和行业将进一步努力,以提高软件行业的透明度和安全性。
在2023年初的一次采访中,CISA(美国网络安全和基础设施安全局)局长Jen Easterly强调了政府和行业共同努力提高社会网络安全的必要性。Easterly指出,不仅是技术公司,医院、学区和关键基础设施也在持续遭受攻击,说明当前的网络安全方法是不持续的。
她强调公司需要采取措施,设计安全的产品和软件,甚至表示“网络安全是一种社会公益”,并且改进软件安全的努力应直接关系到社会的稳定性。与我们从研究人员如Chinmayi Sharma在其文章《数字公地的悲剧》中听到的信息一致,Easterly表示,负担不能再落在消费者和普通公民身上,而应该由那些处于最佳位置采取行动的公司和软件供应商承担。(https://finance.yahoo.com/news/us-cybersecurity-director-the-tech-ecosystem-has-become-really-unsafe-222118097.html)
2023年1月,《华盛顿邮报》提到,预期中的国家网络战略与以往任何战略不同,“这是第一次将监管纳入国家网络安全战略”(www.washingtonpost.com/politics/2023/01/06/biden-national-cyber-strategy-is-unlike-any-before-it)。
隐私和互联网政策专家、加州大学伯克利分校讲师Jim Dempsey在2023年1月的一篇题为《网络安全的一小步立法》(www.lawfareblog.com/one-small-legislative-step-cybersecurity)的优秀文章中解读了网络安全监管增加的话题。Dempsey指出,2023年拨款法案中要求连接医疗设备的条款,可以说是自2005年以来,国会首次明确授权任何机构对任何类型的私人拥有和运营系统的网络安全进行监管。
Dempsey指出,截至目前,大多数与关键基础设施相关的网络安全措施都是自愿的。许多批评者指出,网络安全可以被归类为市场失灵,将其留给市场自我监管和优先考虑网络安全已经失败并且继续失败。如果这种观点是正确的,那么令人担忧的是,美国的大多数关键基础设施是私人拥有和运营的,通常使用易受攻击的软件组件,并且是恶意行为者的主要目标。
许多人怀疑美国国家网络战略及相关努力,传统上基于自愿努力的基础,正在开始转向监管要求。随着这些新兴要求的出现,供应商和忽视其在软件、产品和数字系统方面的网络安全责任的实体将面临更高的责任和问责。正如我们之前提到的,一些人认为网络安全是市场失灵的问题,仅靠自愿努力无法解决这一挑战。这种对监管要求和后果的推动旨在平衡局面,解决当前国家安全和公共安全中的差距,而这些差距现在都以软件为基础。
在美国,有16个关键基础设施部门,涵盖通信、能源、紧急服务、交通、信息技术和国防工业基地等领域。随着国家持续注意到针对关键基础设施实体的恶意网络攻击加速,关键的安全领导人加大了对这些部门及其监管状态关注。副国家安全顾问Anne Neuberger及其相关团队就是一个例子。该团队发现,虽然许多关键基础设施部门在网络安全方面有一些监管措施,但并非所有部门都如此。在美国的几个领域中,包括食品、农业和教育在内,发现了监管空白。
联邦紧急事务管理局(FEMA)指出,私人部门拥有全国85%的关键基础设施和关键资源。报告还指出,随着结构的平均年龄增加,这些关键基础设施变得更容易发生故障(www.fema.gov/pdf/about/programs/oppa/critical_infrastructure_paper.pdf)。
为了支持报告的有效性,2023年初,美国联邦航空管理局(FAA)因其航空任务通知系统(NOTAMs)的故障被迫于1月11日停止所有美国航班。FAA在2022年的一份报告中解释了其在遗留硬件和软件方面的挑战。(www.faa.gov/sites/faa.gov/files/2022-02/FAA_FY22_Business_Planv2.pdf)
正如2022年Synopsys开源安全和风险分析报告等研究所述,美国每小时遭遇1000万次尝试攻击,这些攻击特别针对关键基础设施部门。报告发现,关键基础设施代码库中有一半包含开源软件(OSS)。同一研究指出,几乎所有代码库都包含四年以上未更新或两年内没有新开发的OSS组件。软件和我们的物理基础设施一样,随着年龄的增长变得越来越脆弱,特别是由于新漏洞的出现。
当你考虑到老化的物理基础设施,通常由过时且可能存在漏洞的软件驱动并且经常遭受恶意活动的持续轰炸,你可以意识到问题开始变得令人担忧。2023年世界经济论坛(WEF)全球风险报告支持这一观点,报告将对关键基础设施的网络攻击列为最高风险之一。当被调查时,几乎所有网络安全领导者都表示对未来两年内发生毁灭性全球网络攻击的强烈担忧。(www3.weforum.org/docs/WEF_Global_Risks_Report_2023.pdf)
除了其他新兴的监管工作领域,如网络安全数据泄露报告要求和设备标签,人们还越来越推动供应商提供软件的透明度。这包括提供软件组件、依赖项及其相关漏洞的透明度。虽然这些努力并不完美,但它们有助于解决软件供应商和消费者之间现有的信息不对称问题。
期望普通公民和业务核心并非网络安全的企业成为软件安全、开发安全软件和漏洞管理的专家是不现实的。在社会的其他领域,如汽车、飞机、药品和食品,我们不会问这个问题。作为一个社会,我们已经为这些行业制定了措施,以解决供应商和消费者之间的信息不对称问题,以确保安全、责任和问责制,同时仍然允许消费者做出风险知情的决定。我们现在看到在软件和技术方面也在努力做类似的事情。
正如我们通过引用世界各国的努力所指出的,这个问题不仅限于美国。世界各地的政府和国家正在意识到不安全的软件、缺乏透明度以及缺乏对安全产品和技术的问责所带来的系统性风险。他们也正在采取类似的措施来应对这些问题。
我们完全可以预料到,与政府和监管机构的软件透明度和安全性努力相比,将会有来自工业团体、游说者和商业实体的抵制。例如,美国商会已经表示,他们正在积极准备审查新的国家网络战略,并确定其对各自成员的影响。游说者和行业团体在推动增加软件供应商透明度和问责做出历史性努力以及最近如2023年《国防授权法案》(NDAA)和其包含的软件物料清单(SBOM)等方面取得了一些成功。
当然,这些团体提出的担忧是有道理的,比如某些所需工件和见解的成熟度,以及协调其活动所受的各种监管要求的需要。分散的法规和要求会在行业中造成混乱,导致时间和投资的浪费,并可能阻碍创新和速度。政府和公民能够使用创新技术和能力对提高生活质量、经济繁荣和国家安全至关重要。对软件的监管努力必须与这些监管措施所施加的限制和影响相对照。例如,国防部的许多人认为,破碎和陈旧的要求和法规阻碍了他们以有效速度执行任务的能力。
在最新的国防部软件现代化战略中,这一点得到了强调,该战略解释了软件现代化在国家安全中所扮演的关键角色。文件的开头写道:
国防部的适应能力越来越依赖于软件,安全且快速地提供弹性软件能力是定义未来冲突的竞争优势。将软件交付时间从几年缩短到几分钟需要对我们的流程、政策、劳动力和技术进行重大变革。(https://media.defense.gov/2022/Feb/03/2002932833/-1/-1/1/DEPARTMENTOF-DEFENSE-SOFTWARE-MODERNIZATION-STRATEGY.PDF)
因此,尽管基于对软件消费透明度历史上的缺失、开源软件(OSS)使用的指数级增加以及恶意攻击者加速攻击的现实,推动软件透明度和增加软件供应链安全严格性是必要的,但这些努力必须与它们对团队、组织和行业所带来的负担和摩擦进行比较。
我们还预见到,实现这些目标需要相关的工具更加成熟。这适用于物联网(IoT)、操作技术(OT)、传统软件,甚至云环境中的软件组件资产清单、更高保真度的漏洞数据,以及支持软件供应商、消费者和其他行业实体之间数据交换。这些工具和组件必须是可自动化和可操作的,例如,开发团队能够不过度阻碍其交付代码到生产环境的速度,并帮助组织实现软件驱动的业务和任务目标。
我们还预见到的一个趋势是,从传统的静态表单式供应商风险评估转向一个以API为中心、由云等技术促进的,并能实现自动化和近实时评估的方式。这种自动化趋势对于成功扩展并实现与软件物料清单(SBOM)相关的预期目标以及传达可利用性尤为关键,特别是在遵循敏捷和DevSecOps方法学的大型复杂开发环境中,这些方法学伴随着频繁的软件发布,从而提高相关工件(如 SBOM 及其伴随的可利用性上下文)的速度。
多年来,合规性和安全性一直落后于行业的广泛趋势(推动DevOps、增加开发速度、加快市场上市时间以及快速软件开发和发布)。我们看到像DevSecOps这样随着发展不断成熟和壮大以及云和 CI/CD 工具链等环境中改进的创新安全工具和流程,以提供所需的安全性和合规性控制,同时限制对开发人员速度的影响。随着转向代码化(如,as-code)、声明式基础设施和微服务的趋势越来越大,安全性和合规性必须继续创新以跟上步伐,发挥推动作用,并在软件供应链方面提供所需的透明度和问责水平。
正如我们在第11章《消费者的实用指南》中讨论的那样,我们还预见到软件供应商和消费者将进一步努力成熟他们的软件供应链治理和安全措施。从供应商的角度来看,这将体现在改进OSS治理、产品中软件组件的透明度以及对他们广泛使用的OSS维护者和社区的实际期望方面的重新评估。
从消费者的角度来看,我们预见到软件消费者将继续要求其上游软件供应商和供应商提供更多透明度。这包括确保遵循安全软件开发实践过程,并要求提供 SBOM 等软件工件和附加工件显示漏洞和可利用性。供应商和消费者之间需要进一步沟通,以帮助解释不仅是漏洞的存在和可利用性,还包括修复时间表以及消费者在漏洞修复之前可以采取减轻风险的措施。
各类组织还应将持续认真检查其软件供应链。这种检查不仅限于其环境中安装和运行的OSS和第三方软件供应商,而且要扩展到托管服务提供商(MSP)、云服务提供商(CSP)和软件即服务(SaaS)提供商,这些提供商被越来越多的恶意行为者作为目标,试图利用我们当前运行的复杂软件供应链生态系统。
这些努力可能会导致软件生态系统中的一些调整,因为更成熟和安全意识较强的消费者希望利用成熟和安全的软件供应商和服务提供商来减轻其组织、利益相关者和客户的风险。我们怀疑这种趋势将在包括国家安全和金融、航空航天等受监管行业的社区中最为普遍。
除了开发、供应和消费软件的团队之间的变化外,我们预计在组织最高层次上对网络安全问题的进一步参与和监督,不仅限于首席信息安全官(CISO)和董事会。这在一定程度上是由于意识到几乎每个企业都涉及技术和软件领域,即使这不是他们的核心竞争力,但它通常帮助推动他们的收入和运营。美国证券交易委员会(SEC)等机构的变化推动也推动了这一趋势,这些机构推动董事会将网络风险纳入其信托和监督活动的一部分。
例如,SEC最近提出的规则变更《网络安全风险管理、战略、治理和事件披露》包括要求组织披露其董事会的网络安全专业知识的条款。这将促使组织领导层需要更了解和参与其各自公司网络风险的监督,包括与软件供应链安全和由于软件供应链攻击或恶意活动引发的事件(www.sec.gov/rules/proposed/2022/33-11038.pdf)。
这些变化标志着监管环境的转变,即组织董事会现在将被要求确保其董事会成员具备网络安全专业知识。鉴于软件供应链攻击正在加速,并且在过去几年中一直是组织讨论和关注的常规重点,可以安全地假设这一主题将引起董事会的注意,并且在某些组织中已经引起了注意。
在本书中,我们涵盖了软件供应链安全领域的广泛主题。这些主题包括具有里程碑意义的软件供应链攻击、传统评估方法、最新指导和最佳实践、SBOM的兴起及相关主题,以及对供应商和消费者的实用指导。我们还讨论了云计算、Kubernetes 和容器等创新技术在软件供应链生态系统中所发挥的作用。尽管考虑到现代软件供应链及其相关生态系统的复杂性,不可能涵盖所有相关主题,但这些内容应能使从业者能够透明地生产安全软件,并了解他们从OSS生态系统或第三方软件供应商处获取软件的风险。
正如我们在本书中反复强调的那样,软件对于我们社会的几乎每个方面都至关重要,随着我们进入无处不在的数字化未来,确保我们生产和消费安全软件至关重要。软件提供了无与伦比的创新、能力和增长的承诺,同时也带来了系统性风险,这些风险如果处理不当,可能会对我们的社会造成毁灭性打击。
正如美国最高法院法官路易斯·布兰代斯一个多世纪前所说:“阳光是最好的消毒剂。”如今,社会正在推动围绕我们生活各个方面的数字生态系统以及与之相关的系统风险的透明度。
我们是阳光的捍卫者
No Comments