MITRE的“信任系統”(System of Trust,SoT)框架可定義和量化供應鏈風險和網絡安全問題。近日,MITRE悄悄為此框架發布了基于云的原型平臺。

該平臺名為“風險模型管理器”(RMM),可供企業和機構評估供應鏈風險及安全,查看、編輯和定制SoT框架內容,或者將之導出作為子集框架使用。MITRE在2022年RSA大會(RSAC)上提出了SoT框架概念,并將于下月在舊金山舉行的2023年RSAC上官宣RMM原型平臺。

SolarWinds和Log4j等重大攻擊讓人深切感受到了惡意黑客入侵供應商軟件并進而染指客戶軟件的危險,大聲敲響了供應鏈風險和安全的警鐘。截至目前,業界還沒有公認的通用方法來定義或衡量此類風險。而MITRE的SoT框架提供了評估供應商、服務提供商和供應品的標準方法,網絡安全團隊和整個企業都可以用這個框架來評估供應商或軟件產品。

SoT框架是托管在AWS上的云原生應用,圍繞與供應商、服務提供商和供應品相關的14個頂級風險領域展開,例如供應商的財務穩定狀況和網絡安全實踐,以及假冒偽劣產品的風險。可以在采購過程中使用這些風險類別來評估供應商或產品,深入研究細節問題,比如供應商如何跟蹤并確保其產品所用第三方軟件組建的安全等問題。

MITRE實驗室高級軟件與供應鏈保證首席工程師Robert Martin解釋道:“這個信任系統極具吸引力,因為它提供了更全面、更合理的結構,可以詳細闡明你供應鏈中存在的風險”。傳統風險衡量和評估工具可沒那么厲害。

目前約有40個組織參與了SoT平臺的塑造,平臺現在包含大約660個特定供應鏈類別和風險因素。為了充實這款工具,MITRE采集意見的對象包括了供應鏈企業、供應鏈安全供應商和涉及供應鏈運營某些要素的標準組織。微軟、黑莓、美國網絡安全與基礎設施安全局(CISA)、思科、戴爾、英特爾、萬事達、美國國家航空航天局(NASA)、雷神公司、施耐德電氣、西門子和The Open Group都是SoT社區的知名成員。

SoT不過是MITRE為網絡安全行業打造的又一個參考框架。MITRE此前推出的ATT&CK框架可以映射威脅團伙滲透網絡和入侵系統的常用步驟,而其較新的D3FEND模型則詳細說明了定義防御能力和技術的通用方式。但SoT的風險視野不僅僅包括網絡安全,還考慮了財務、質量和誠信風險等等。

Omdia企業安全管理首席分析師Curt Franklin表示:“最重要的是,這東西用起來跟用ATT&CK和D3FEND類似:提供一種通用語言供我們不僅討論鏈上的位置,還探討特定的漏洞或攻擊方法和防御措施。”

Franklin表示,MITRE與其其他網絡安全項目之間的淵源應能助推SoT,但廣泛采用可能需要時間。“我可以想象得到,一些第三方風險評估供應商會將SoT構建到他們的產品中,就像他們將FAIR(信息風險因素分析)或ATT&CK構建到自家產品中一樣。”Franklin稱,“我認為SoT推廣開來的可能性很高,需要一定時間的可能性也很高。”

這是因為,現在仍然有多種方法可以用來定義和衡量網絡安全風險,但是這些方法都沒辦法協同。Franklin表示:“很難說清楚我們的風險狀況與業內同行相比如何。這種東西所做的就是提供一個特定框架,可以用來進行一些通用風險量化。”

SoT的運作機制

RMM中的每個風險項目都會得到一個評分,這個評分是評分算法根據測量數據得出的。這些得分可以表明供應商在特定風險類別上的優劣。企業就能用得分量化評估某家軟件供應商或其產品的安全風險。

施耐德電氣是SoT項目的密切合作伙伴之一,其供應鏈安全副總裁Cassie Crossley將與MITRE實驗室高級軟件與供應鏈保證首席工程師Robert Martin一起參加2023年RSAC SoT會議,會議議題是“創建供應鏈風險標準——MITRE System of Trust”。Crossley表示,施耐德電氣的各個不同部門目前都設置有多個全面的供應鏈風險評估流程,而且公司還計劃根據自己的要求和標準向SoT提供輸入和反饋。”

Crossley表示:“我們希望與施耐德的這些團隊合作,從而確定我們可以為哪些領域提供建議,看看我們怎么才能更好地協同或者多加利用SoT框架。我不知道我們是否能實現100%的SoT。但我們會制定自己的流程,確定要納入更多供應鏈風險評估結構的領域。”

對施耐德電氣而言,自身產品和購入供內部使用的產品,包括公司合作的第三方和第四方,都適用供應鏈風險和安全問題。Crossley認為,SoT或許有助于了解與“上游”供應商相關的風險,而上游供應商通常并未納入供應商評估流程。

她表示:“如果SoT能夠成為廣為使用的通用模型,只要企業能要求供應商將之映射到其上游供應商,我們就可以更為快速地搞清這些上游供應商的情況。”

MITRE的開源計劃

Martin表示,SoT成為供應鏈評估首選標準的主要挑戰是要有足夠的帶寬來擴展項目,同時還要加以宣傳,避免重復勞動。“我擔心有人沒注意到這個項目,還在試圖解決一些有交集的問題。我們會確保大家都注意到SoT并為之貢獻。”

MITRE計劃在RMM完全成熟時將之作為開源工具提供。至于目前,Martin表示,企業和機構可以使用這款工具,幫助MITRE充實工具本身;也可以自己內部使用。“他們可以離線使用,對照SoT做評估。”

網絡安全 供應鏈系統
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接