供應鏈短缺造成網絡安全問題的噩夢

美國政府最近警告說，許多制造商面臨供應鏈中斷的困擾，重建供應鏈是重中之重。一些分析人士認為，在新冠疫情消退之前，可能需要幾個月甚至幾年的時間才能恢復。

醫療設備制造商并未被排除在這種供應鏈中斷之外，但也不能在供應鏈恢復之前暫停生產。企業需要保持生產順暢，這就需要尋找新的供應商。然而，新的供應商或者沒有經過審查的供應商將會帶來新的風險，以及將漏洞和威脅引入產品或設備生命周期的可能性。

最薄弱的環節

正如行業媒體最近報道的那樣，包括菲利普斯和通用電氣醫療保健公司在內的許多主要醫療保健制造商都面臨著供應鏈挑戰。供應的延遲影響了他們在數量和時間上滿足生產預期的能力。未能達到這些預期影響了他們的利潤，這些企業在去年第四季度出現了明顯的虧損。

未能交付

在許多情況下，由于生產或運輸的延誤，供應線也受到了影響。即使生產了產品，也無法迅速進入生產的下一步。這導致企業必須預先訂購和存儲比以往更多的備件，以建立庫存，并確保其生產鏈的一致性。

這種對庫存或過度訂購的需求，促使許多企業尋找能夠穩定供應的替代供應商。隨著新供應商的出現，新組件、未經測試的組件和新漏洞的潛在風險也隨之增加。

這就是面臨的挑戰呈指數增長的地方。當值得信賴和經過審查的供應商被迅速更換或擴充時，網絡威脅和漏洞進入產品或設備生命周期的風險會顯著增加。

即使在最好的時期，供應鏈問題也是企業最薄弱的環節之一。其挑戰不僅在于它們如何影響生產能力，還在于它們如何影響最終產品的安全性。對于任何復雜的醫療設備，都有許多提供硬件和軟件的供應商。將這些組件組裝成最終產品的制造商對各種組件或軟件的控制和可見性有限，這給最終產品及其用戶帶來了巨大的風險。而更換供應商只會增加他們的風險狀況。

審查新供應商

有時，避免短缺的唯一方法是找到不同的供應商來滿足要求。這對于醫療設備尤其重要，因為準時生產和及時交付可能是一個生死攸關的問題。

當新的供應商加入時，仍然需要建立信任。由于以前并不了解，因此選擇需要更加謹慎，尤其是在審查供應商產品的質量時必須監控軟件漏洞，這對產品安全至關重要。這是第一步，為了滿足美國食品藥品監督管理局(FDA)對醫療設備的嚴格要求，確保組件互操作、容錯并且不存在任何固有漏洞至關重要。

代碼中的漏洞

任何時候從開源庫開發或集成代碼時，都可能存在未發現的缺陷。任何包含軟件的設備都可能在其中或其使用的軟件庫中出現錯誤。在開發過程的早期評估這一點，對于安全產品開發和盡早發現漏洞以降低風險和減少損害至關重要。

如今，開發軟件更多的是組合而不是編寫，利用商業和開源軟件來創建設備功能的核心。這些組件在加快構建時間的同時，也引入了潛在的漏洞。例如，直到最近，Log4j庫才被認為是行業標準和日志功能的安全開源補充。2021年12月，這些庫被確定為具有遠程代碼執行(RCE)漏洞，該漏洞獲得了10分的最高CVSS分數。在發現之后，世界各地的企業都爭先恐后地修補這一漏洞，以免網絡攻擊者利用。

商業軟件也不能免受安全漏洞的影響。Ripple20庫也被認為是一個相對安全且符合行業標準的軟件組件而其易受攻擊的狀態使許多設備容易受到網絡攻擊。

軟件方面的挑戰是導致總統拜登下令通過透明度幫助改善軟件供應鏈安全的部分原因。該命令規定，軟件物料清單(SBOM)應該可以供制造商、供應商和消費者使用。軟件物料清單(SBOM)應包含基于美國國家電信和信息管理局(NTIA)最低要素的標準，其中包括有關軟件組件、其版本和依賴性的深入信息。有了這些信息，企業可以在現有漏洞和新漏洞出現時對其進行跟蹤。

信任但要驗證

與新供應商合作的第一步是從安全角度驗證他們的技術。跟蹤這項工作的結果對于確定可靠的供應商以及可能提供有缺陷或易受攻擊產品的供應商至關重要。然而，驗證供應商組件和產品軟件的安全狀況并不容易。在許多情況下，源代碼并不容易獲得，因此必須通過其他途徑獲得可見性，例如不依賴于源代碼可用的二進制分析。

并非每個漏洞評估工具都能提供準確的結果，可靠的解決方案需要了解已發現漏洞的潛在范圍和可訪問性。這一信息將有助于縮小漏洞是否適用于其產品。使用驗證和測試工具來評估編譯的代碼，對于保證不提供直接代碼可見性的產品的安全性至關重要。

在醫療設備方面，信任供應商面臨更大的風險。確保使用正確的解決方案進行盡職調查至關重要。使用正確的平臺實施完整的評估流程將使企業能夠在不犧牲安全性的情況下有效應對新供應商的挑戰。