本文将介绍美国CISA在ICT供应链安全方面的国家级实践项目，以供各位参考。最后部分包括了本次疫情下，新成立的WG5研究和工作方向及实践成果。文中均为CISA官方实践案例，仅供参考，不代表本人观点。

聊聊供应链安全：政策与问题

聊聊供应链安全：建议与方法

ICT供应链风险管理组

2018年10月，网络安全和基础设施安全局(CISA)启动了ICT供应链风险管理工作组，这是一个公私合作伙伴关系，旨在就评估和管理ICT供应链相关风险的方法向CISA及其利益相关者提供建议。第二工作组(WG2，威胁评估)是为了确定基于威胁的ICT供应商、产品和服务评估的流程和标准而建立的。

工作组主要成员基本来自国土安全局（DHS）、总务管理局（GSA）、联邦通信委员会（FCC）、联邦调查局（FBI）、司法部（DOJ）、国防部（DoD）、NASA等，同时包括一些主流ICT企业，如Intel、AT&T、Sprint、HP、DELL、CenturyLink、Verizon、FireEye、Cisco、Microsoft等。

网络供应链风险管理(Cyber Supply Chain Risk Management，C-SCRM)是识别、评估、预防和缓解ICT(包括物联网)产品和服务供应链分布式和互联性相关风险的过程。C-SCRM涵盖ICT的全生命周期，包括硬件、软件和信息保障，以及传统的供应链管理和供应链安全考虑因素。

WG2侧重于威胁评估，而不是全面的考虑威胁以及组织对风险的容忍度、特定资产或业务目的关键性以及可能被外部利用的特定漏洞影响的风险评估任务，因为风险与资产相关(在特别工作组的定义中，风险与产品、服务、供应商有关)。工作组利用了NIST SP 800-161中描述的NIST风险管理实践，以帮助指导工作中确定的威胁和威胁源分析。

用于开发和分析与供应商相关的供应链管理威胁的步骤：

工作组成员要根据最初提出的范围确定有代表性的样本，这些样本针对供应商最严重的SCRM威胁。一旦确定威胁，WG就开始编写NIST SP 800-161中确定的附加信息字段，作为与WG成员一起捕获和改进的要素。

工作组随后审查了每一个确定的威胁，对组织确定的威胁拟制定一套通用分类和类别匹配。在对工作组提交威胁的介绍和分析基础上，将威胁聚合成一组更小、更易于管理的通用“威胁分组”，以此帮助评估过程。聚集的目的是减少威胁数据，并确定通用要素，以便使用场景开发流程进行进一步评估。

工作组成员共享分组和描述性标题以供审查和评论。这些威胁分组用于指导场景开发，旨在为进行供应商威胁评估的流程和标准提供深入了解。

对于每个类别，工作组将组建团队以报告格式编写一份描述/场景报告，其中包括威胁本身的背景信息、威胁的重要性以及对供应链的潜在影响。如果编写团队认为合适，可为每个类别开发多个场景。开发一种通用格式，以确保每个威胁场景都能提供与NIST SP 800-161中确定的信息字段要求一致的特定威胁的综合视图。

该过程和由此产生的描述不仅可以作为对特定SCRM威胁的基线评估，而且可以进一步作为NIST风险管理框架应用的示范指南。这个过程可以扩展到产品和服务评估，也可以复制到其他关键基础架构提供商。它还建立了一个可靠的威胁源评估，可以扩展到特定产品或服务，以推动SCRM风险的评估。

其他工作组主要职责：

WG1双向信息共享

WG3合格投标名单/合格制造商名单

WG4 供应商SCRM模板

WG5 疫情风险研究

目标

WG2——威胁评估，被特许为ICT供应、产品和服务基于威胁的评估过程和标准识别。威胁评估的目标定义为：

制定进行供应商、产品和服务威胁评估的流程和标准。

流程和标准最初将只关注全球ICT供应商的选择、历史和来源。它还将解决产品保障(硬件、软件、固件等)、数据安全和供应链风险。

该流程和标准将建立一个基于威胁的网络供应链风险评估框架，可在未来的工作产品中扩展，以应对其他关键基础设施部门。

范围

ICT C-SCRM工作组利用NIST对C-SCRM的定义，并根据《联邦采购供应链安全法》确定范围。

NIST定义：网络供应链风险管理(C-SCRM)是识别、评估和减轻ICT产品和服务供应链分配和互联性相关风险的过程。C-SCRM覆盖了ICT的整个生命周期：包括硬件、软件和信息保障，以及传统的供应链管理和供应链安全实践。

方法

关注供应商的威胁——数据收集过程

SCRM供应商产生威胁的过程，以及将这些威胁作为后续评估输入共享的过程。这些威胁只是具有代表性的，因此评估工作组可以继续执行NIST风险管理框架提出的威胁评估。

工作组考虑来自各种来源的C-SCRM威胁，包括国防部(DoD)、情报系统(IC)、国土安全部(DHS)和其他机构，以便为基于风险的标准开发提供信息。首次数据电话会议是WG成员要求提供从自己的经验或组织的角度认识到的供应链威胁。最初的目的是展开一张网，以获取大量的威胁输入样本进行分析。

每个提交的威胁都由WG成员提出，并将信息提供给一般成员。讨论使工作组能够处理每种威胁的额外细节，其目的是获得对所确定的具体威胁的一致理解。这个过程是重复的，并且对每个确定的威胁都进行记录。这组信息被编译到一个单独的数据存储库中，用于后边描述流程的数据分析阶段。

数据分析

工作组对收集的数据进行审查和分类，以便对公共和私营部门供应商威胁的现状进行了解。工作组对确定的威胁随后进行合并和分组，提供一套可管理和可共享的威胁分组，以进一步开发特定场景。这些威胁分组用于指导场景的开发，旨在为进行供应商威胁评估的流程和标准提供深入了解。

作为分析的一部分,工作组考虑现有业务尽职调查指标,如确定总务管理局(GSA)请求信息(RFI)、美国货币监理署(OCC)办公室第三方风险管理指导和业界最佳实践为库存办公产品的一部分（流程如上图所示）。

威胁场景开发

一旦工作组建立了供应链威胁类别，就会为每个类别组建团队。然后，每个小组以报告形式提供描述/场景，其中包括威胁本身的背景信息、威胁的重要性以及对供应链的潜在影响。如果团队认为有必要，为每个类别开发多个场景。每个场景还包括什么（与类别相关的威胁示例）、谁（谁可能是威胁的来源）、什么时间（袭击时间？拒绝服务还是0day？是持久的还是一次性的？）、为什么（目的是知识产权窃取还是网络破坏）、何地（特定的威胁活动在供应链的什么位置发生）？

有关威胁种类和威胁场景可以参考报告：

INFORMATION AND COMMUNICATIONS TECHNOLOGY SUPPLY CHAIN RISK MANAGEMENT TASK FORCE

CISA 信息与通信技术（ICT）供应链安全实践

美国关键基础设施依赖于美国国家标准与技术研究所（NIST）定义的(ICT)，用于获取、存储、检索、处理、显示、代表、描述、组织、管理、安全、传输和交换日常操作和功能的数据与信息。ICT供应链的设计、开发和生产、分发、获取和部署、维护和处置阶段，容易受到恶意或无意中引入的漏洞(如恶意软件和硬件)的影响、假冒组件、以及不当的产品设计、制造流程和维护程序。

利用ICT供应链漏洞可能导致：系统可靠性问题、数据盗取和操纵、恶意软件传播和网络内持续的未授权访问。为各级政府和行业的领导人提供关于如何将漏洞引入ICT供应链以及漏洞利用后果的见解。

设计阶段

在设计过程中引入的漏洞通常是无意的，可能会潜在地影响到组件的所有用户。恶意行为者可以将漏洞集成到可能安装在数百万台设备上的组件中。

设备劫持——2016年，一家外国公司设计的固件被一家美国手机制造商使用。这些手机对短信、通话记录、电话详细信息和联系信息进行加密记录，并每72小时将这些数据传输到外国服务器。

开发和生产阶段

在此阶段中引入的漏洞通常是无意的，如果在测试初始原型时没有识别出来，修复这些漏洞的成本可能会很高。设计良好的产品在制造和组装过程中可能仍会引入恶意组件，而这种方式可能难以识别。

感染交换机闪存卡——2012年，一家生产由美国公司设计的交换机的第三方工厂在生产过程中安装了受感染的紧凑型闪存卡。这家美国公司警告说，使用受感染的组件可能会危及系统，并有可能在网络中传播恶意软件。

分配阶段

在生产设施和客户之间运输的组件通常不属于负责其设计或生产人员的职权范围。在分发过程中引入的漏洞可能是恶意的，与早期阶段相比，影响的组件和客户数量有限。

终端用户设备恶意程序——2012年，美国一家大型软件公司调查盗版软件的研究人员发现，他们测试的设备中有20%预装了恶意软件。这些恶意软件被安装在新的台式机和笔记本电脑中，它们是从工厂运到经销商、运输商或转售商那里的。

获取和部署阶段

在获取或安装过程中，恶意的内部人员可能会植入漏洞或用易受攻击的组件替换设备。在此阶段引入的漏洞可能只影响有限数量的客户。

卖给美国海军的伪造品——2015年，一名美国公民进口了数千个假冒集成电路，并转售给美国客户，包括向美国海军提供用于核潜艇的国防承包商。

维护阶段

受维护的ICT组件容易受到通过物理或网络访问以及利用以前未知或未修补的漏洞而引入的漏洞影响。在维护期间引入的漏洞可能针对特定实体，但在软件更新的情况下，可能会影响许多客户。

恶意软件被嵌入软件安全工具——2017年，恶意行为者通过渗透安全软件公司的网络并向安全软件中插入代码来攻击该公司。该应用的安装和更新登陆了数百万台个人电脑。这次攻击的目标是主要的IT公司网络。

废弃阶段

处理不当的ICT组件可能包含敏感的公司或客户数据。恶意行为者还可以尝试翻新组件，并将它们当作新的重新出售。使用的部件可能不可靠，容易出现故障，或安装了恶意软件。

联邦敏感数据泄露——2010年，一次内部审计发现一个联邦机构出售含有专有信息的计算机。某些设备未通过安全验证测试，导致联邦机构敏感数据泄露。

CISA SCRM供应链风险管理实践

在数字化世界中保护组织信息需要了解第三方供应商的安全状况。应考虑哪些组织在供应链中，以及组织所接收的硬件、软件和服务是否可信。与其他风险一样，供应链风险也会存在威胁。组织应考虑以下几个方面的影响：

组织操作/获取信息的能力

组织的声誉/客户信任度

组织的红线

组织的适应力

管理供应链风险需要建立有效的供应链管理实践，并了解由供应商和服务提供商组成的扩展供应链。

建立有效的供应链风险管理实践

（1）识别——人

确定企业中哪些人需要参与。建立由公司不同角色和职能(例如，网络安全、IT、物理安全、采购/收购、法律、物流、营销和产品开发)的代表组成的团队。确保各级人员在其角色或职能的安全流程等方面受过良好培训。该团队将汇集来自全公司不同观点的课题专家。

主管应：

将组织内多个职能部门的代表（包括网络安全、信息技术、产品开发和安全、法律、物流、物理安全、收购、营销和领导等领域的专家）整合到一个更大的供应链项目中。

协调资源，创建信息共享、度量标准和项目目标，最终降低供应链风险。

对于更大的组织来说，这将涉及更多的团队；对于较小的组织，可能只是几个关键的个人。

员工应：

确定包括来自组织各级的代表，包括运营商在内。

（2）管理——安全合规

开发供应链安全策略与流程。为涉及安全性、完整性、弹性和质量的策略和程序编制文档。确保它们是基于行业标准以及如何进行供应链风险管理的最佳实践，例如来自NIST的标准和实践。促进高层鼓励的供应链准备的文化。

主管应：

指导建立全企业范围的供应链风险管理计划。

建立如何进行供应链风险管理和保持合规性的标准操作程序，包括培训。

牵头制定策略。

明确活动治理。

将供应链风险管理作为业务优先事项。

员工应：

确定并获取行业标准和最佳实践，以定义组织的策略。

（3）评估——组件

了解企业采购/获得的软硬件及服务状况。形成企业为业务采购的ICT组件(硬件，软件，服务)。了解关键信息或功能依赖于哪些内部系统，以及必须保护哪些系统具有远程访问功能以防止未授权访问。

主管应：

知道组织中的关键信息及其所在位置。

员工应：

确定ICT供应链的不同部分。

确认、评估关键资产、系统、过程和供应商，并确定优先级。

确定与企业相关度最高的硬件、软件和托管服务。

跟踪采购的关键组件。

（4）了解——供应链与供应商

绘制企业供应链以更好地了解所获取的组件。确定企业的供应商，如果可行，弄清楚供应商的货源。如今外包日益增多，了解更大供应链生态系统中的上游供应商很重要。要考虑关键组件以及那些提供支持业务的资产、系统和数据的供应商。

员工应：

明确从哪些公司购买的资产、硬件、软件和服务。

了解公司主要供应商是否具有保证计划，并询问其关于供应链风险管理实践的信息。

考虑是否能够建立、使用一个认可的供应商列表。

限制供应商，只允许访问他们开展业务所需的数据。

（5）审查——第三方保障

确定评估供应商安全理念/文化的方法。确认供应商具有完善的安全理念和供应链风险管理程序，可以恰当地处理与企业有关的风险。建立企业用于评估供应商供应链实践的协议。可以考虑框架、模型、资格标准、合同条款和监控类型，确保使用可信的供应链实践。

员工应：

根据供应商的系统、流程和供应商扩展安全要求，为其设立标准。

提出安全要求。

要求供应商遵守符合安全策略的SLA。

确定评估保证和度量方法(例如,自证明和审计)。

确定企业内信息共享方式。

（6）评价——复查/回顾

建立检查供应链实践的时间表和系统。明确审查企业SCRM计划的频率，汇总反馈，并对风险管理计划进行变更。这可能还包括根据企业建立的实践和协议来审核供应商。供应链风险管理程序将持续反复这些步骤。

主管应：

将安全作为评估供应商满足合同需求能力的主要指标(与成本、进度和性能一起)。

确定并实施缓解措施。

员工应：

实施计划，并监督供应商和企业对SCRM要求的遵守情况。

根据指导方针确定系统监控的时间表。

WG5实践

由于本次疫情影响，全球环境发生巨大变化，一种新的常态正在形成，这里特别关注一下，这一年来WG5的实践成果。

ICT SCRM工作组成立了新冠疫情供应链风险分析研究工作组(WG5)，以应对2020年疫情。WG5分析了疫情对ICT供应链的影响，特别是与供应链弹性相关的影响，以避免在未来可能发生的事件期间产生更严重影响。

WG5试图了解和分析疫情对ICT供应链的影响。目的是促进公众对ICT供应链考虑事项的认识和对话，并制定切实可行的建议，ICT利益相关方可以利用这些建议加强其供应链修复。通过对经验教训的研究，决策者和以ICT为中心的组织能够就未来制定更具弹性的风险管理决策的机会达成共识，以此提高供应链弹性。

WG5的研究分析聚焦于三个主要问题：库存管理、供应链透明度、单来源/单区域供应商。研究还对商品和服务如何通过广义ICT供应链(从原材料阶段到销售给客户)进行了高层次的可视化映射，同时识别了在整个供应链中可能发生的阻塞点示例。

疫情期间暴露出一些制造企业是没有做好准备，因为它们依赖于在正常环境中提供极大效率和成本效益的库存模式；

疫情凸显了企业在了解下级供应商及其所在位置方面所面临的困难；

本次疫情表明，有必要采取过去6年来一直采用的办法：供应链多样化，使之面向更广泛的地区，而不是单一来源/单一区域供应商。

WG5与私营部门和行业协会合作完成研究，可以从ICT供应链公司收集第一手数据。该小组创建了一套电子问题集，并向行业伙伴和行业协会分发，以获取关于疫情如何影响其供应链的信息。作为研究的一部分，WG5创建了一个供应链系统图，展示了从原材料到最终用户消费的ICT供应链路线，并识别影响供应链的阻塞点和漏洞。

WG5对这三个问题做了进一步评价，将它们与关于供应链中断、从过去供应中断情况中吸取教训以及对疫情所造成供应中断的分析中得出关键见解的研究联系起来。

库存管理

典型的供应链管理方法强调要在效率和弹性之间获取平衡。虽然这些概念相互矛盾，但有效的供应链能在两者之间找到合适的平衡点。日益激烈的竞争和被压缩的利润空间已经促使供应链经理强调降低成本、及时交付和日供应库存管理。虽然精益供应链可能在常态下正常运作，疫情表明公司需要检查当前的库存管理实践，以此不断地收集和反馈数据，持续地评估数据，对快速变化的环境迅速做出反应，并开发缓冲来缓解异常活动/不活动时期。

供应链透明度

在疫情期间，世界各地的许多公司都急于知道，那些企业不直接接触的不知名初级供应商中，哪些位于经历过停工、工作和交通中断、供应中断的受影响地区。为了创建供应链弹性，管理者需要映射一级、二级和三级供应商的位置，以便能够了解哪些供应商最容易受到中断的影响。他们还需要跟踪初级供应商的成品和原材料库存。

单来源/单区域供应商

多数情况下，企业在购买产品时，很难依赖于单一货源。虽然供应链经理认识到过度依赖单一货源的风险，但有些人可能仍然会采用这种策略来确保必要的供应或成本控制。当一家公司唯一的供应商倒闭时，这种非冗余模式可能会产生巨大影响。ICT供应链公司通常在采购某些材料上选择有限，或者可能只能从某个地区、大洲或公司采购。

下图确定了整个供应链中可能出现的阻塞点。

图：ICT供应链地图中的运输阻塞点（来源：CISA）

阻塞点类别

生产延误：供应链各个层面的制造都出现了全面放缓情况，这包括难以获得制造关键部件的供应，交货期延长；

跨域问题：其他国家对工厂工人的界定与美国不同，导致工厂关闭，即使在美国，州和直辖市也使用不同的界定；

供应商通信：在疫情爆发、工厂关闭后的数周时间里，很难与制造商取得联系，对于二级供应商和提供商而言，沟通方面的挑战尤为明显；

供应商透明度：对一级以下的这些供应商及其所在地缺乏可见性，供应商往往表现出不愿分享材料清单等采购信息，阻碍了对风险的识别；

客户订单延误：制造和运输的延误导致了客户订单交付的延误。

WG5提供的建议

考虑主动预先风险分类

绘制企业供应链

拓展供应商网络和区域

开发标准化的映射和工具

探索库存优化实践

规划物流和运输的替代方案

聊聊供应链安全系统到本节全部完结。

来源：腾讯安全天幕团队