DigSecurity Blog

MITRE System of Trust 供应链安全模型

  • Harry
  • 2023年 05月22日

摘要:ICT/软件供应链安全是一个目前被高度关注的问题,MITRE推出了一个供应链安全信任体系(SoT)项目,提供方法从供应商、供应品、服务三个方面展开640多项供应链风险项,期望能象CVE、CWE、ATT&CK那样成为供应链安全风险评估的通用方法和基础知识库来支撑供应链安全风险管理。从这个风险项里,可以侧面部分了解一下他们是怎么看供应链安全风险的。

在当今的供应链全球化环境以及地缘政治等问题越来越复杂的环境中,供应链安全已成为各国、各行各业关注的重要议题,评估供应链安全、确保供应链的可靠性和安全性变得越来越重要。MITRE推出了一个名为System of Trust(SoT)的供应链安全项目,用于对供应商、供应品(产品)和服务进行风险评估,管理供应链安全风险。

MITRE的供应链安全信任体系(System of Trust) 的目标是提供一种全面、一致和可重复的方法来评估供应商、供应品和服务,量身定制以满足行业和公司解决供应链安全问题的需求,从而提高供应链的可追溯性、可靠性和安全性。

不管是否了解MITRE,但做网络安全的应该对CVE、CWE、ATTA&K这些不陌生,是的,这些都是MITRE推出的,可以看出,MITRE非常善于做基础性的模型和知识库,个人认为SoT也是奔着这个方向发展的,虽然现在还处于早期。

MITRE表示目前SoT收集、关联和映射 了295 项(美国的)与供应链安全相关的政策、法律和监管文件,其风险模型汇集了约640多项和供应链安全的风险项,其信息来源很广,可以看做是一个集大成的供应链安全风险知识库。

目前参与SoT的成员包括微软、思科、英特尔、戴尔、英国BSI、黑莓、西门子、施耐德、万事达、Sysnopsys、TIA、Open Group等公司和机构。

SoT概况

SoT是为了定义、调整和解决阻碍组织信任供应商、供应和服务提供商的具体问题和风险。它提供了一种全面、一致、可重复的供应链安全风险评估方法,该方法的特点: - 可定制:可以根据组织的具体需求进行调整。 - 基于证据:意味着所有的评估和决策都是基于实际的数据和信息。 - 可扩展:可以适应各种规模和复杂性的供应链。

  • SoT供应链信任基础模型:SoT提出了一个供应链信任基础三维模型,将信任基础从三个方面进行了分解,包括:供应商、供应品(产品)和服务。

然后对这三个方面,给出了对应的风险项。风险项是一系列树状架构分层清单,顶层风险类别有14类,分别是供应商风险7类,供应品风险3类,服务风险4类。如下图:

  • 知识体系 (BoK): SoT知识体系基于三维信任模型,提供了一个树状展开的风险清单,从顶层的供应商、供应品(产品)、服务三个分支,再逐层展开至叶子节点,目前汇集的叶子节点对应的供应链安全相关风险项有640+项。

  • 评估: 在评估中并不是需要全面的对所有风险项进行评估,可以根据预定义的配置文件或者其它界定的范围来选择子集进行评估。SoT将为每个风险提供已知信息源,以帮助用户确定是否存在风险。

  • 评分:SoT使用一组场景驱动、可定制、加权的度量指标对风险进行评分,这些度量指标用作评分算法的输入。然后,评分结果用于根据适用的风险类别确定供应商的优势和劣势,使采购方能够分析和评估一个或多个供应商在供应品或服务方面的相对“可信度”。

MITRE通过与政府,行业和学术界的广泛利益相关方的调查和讨论,得出几个达成SoT目标的关键要素,包括:

  1. 对供应商、供应品(产品)和服务进行供应链风险的一致分类
  2. 创建一致的供应链安全评估和风险讨论。
  3. 为有关供应链风险的数据驱动决策提供信息。
  4. 提供对供应链风险评估信息可用来源的广泛理解。
  5. 支持和促进自动化的使用。
  6. 提供具有成本效益的评估。
  7. 建立在不同社区广泛采用和培训供应链安全实践的途径。

SoT知识体系(BoK)

下面介绍一下SoT BoK汇集的600+项供应链安全风险的情况。 图:SoT BoK(三方面、14大类、61小类,640+风险项)

供应商风险(7类):与提供产品或服务的供应商(包括其供应链)相关的风险

  • 供应商财务稳定风险:与供应品(产品)或服务供应商的特征(包括其供应链)相关的风险,这些风险可能会影响这些供应(产品)或服务的消费者。
  • 供应商组织安全风险:与供应商的人员、设施、运输和网络安全能力、政策和实践的特征相关的风险,这些特征会影响抵抗和抵御恶意行为的潜力以及对客户的影响。
  • 供应商敏感性:与供应商特征相关的风险,这些风险会影响其成为恶意行为者的目标、损害或以其他方式受到不利影响的可能性。
  • 供应商质量文化风险:与供应商可靠地提供适当质量的供应(产品)和/或服务的能力特征相关的风险。
  • 供应商组织有效性风险:与供应商的地理、地缘政治、结构或运营特征相关的风险,这些风险会影响其以有效和有弹性的方式运营的潜力。
  • 供应商道德风险:与供应商特征相关的风险,这些风险可能通过明确的意图(无论是内部还是外部驱动)对其客户、客户、合作伙伴或市场产生负面影响,以违反法律/业务规范或造成伤害。
  • 供应商外部影响:与供应商特征相关的风险,使其容易受到外部动机或忠诚的负面影响。在民族国家背景下,这通常是外国影响的问题,而在商业背景下,这通常是竞争对手对供应商的影响。

供应品风险(3类):与供应品(产品)特征相关的风险,包括其供应链来源和血统

  • 提供恶意污点:与供应(产品)的完整性相关的风险,通过明确的意图引入,无论是内部还是外部驱动,违反法律/商业规范造成伤害。
  • 供应假冒产品:与通过明确意图引入的供应(产品)的真实性相关的风险,无论是内部还是外部驱动,违反法律/商业规范。
  • 供应卫生风险:影响供应(产品)按预期执行能力的风险。这涉及与建立和维护供应(产品)的质量、安全性、弹性等相关的特征。

服务风险类别(4类):与服务特征相关的风险,包括其供应链来源和血统

  • 服务质量风险:与所提供服务质量相关的风险。
  • 服务可靠性风险:与所提供服务的可靠性相关的风险。
  • 服务安全风险:与所提供服务的安全性相关的风险。
  • 服务完整性风险:与所提供服务的完整性相关的风险。

我把完整的600+项 (截止到2023年5月)整理了一下,这里可以查看。

SoT部分风险项分析

纵览所有SoT风险项,其中有技术因素方面的,也有很多非技术因素的。可以推测很多风险关注点应该是来源于政府或一些关键领域的应用,并不一定适用于通常的商业领域。

技术性的风险大致都差不多,比较有意思的是一些非技术方面的,下面重点看一下这部分。但我们不得不承认,老美在认知、方法论等方面都是走在前面的,我们常常还没意识到的很多问题,他们已经根据自身的经验认识到并总结了出来。比如,他们指责中国公司如何如何影响了他们的国家安全,刚看到时还觉得莫名其妙,这咋就影响到了国家安全,慢慢地有点明白了,哦,他们非常清楚如何利用某些机会干坏事,他们担心的或许就是… ,所以,看看他们整理出的风险项,对了解他们的思维应该是有些帮助的。

和关注国(Country of concern)相关的风险项

在SoT的供应链风险清单里,有很多风险都和Country of concern有关。这里解释一下“Country of concern” (关注国)的概念,这个关注国是指被美国政府认定为对美国国家安全或外交政策构成威胁的国家。包括美国政府认定的被称为“Covered Nation”的国家,以及 任何被国务卿在与国防部长、国务卿和国家情报总监协商后确定为从事损害美国国家安全或外交政策的行为的国家。目前包括中国、伊朗等国在内都是被美国列为“关注国”范围的。这个概念也出现在美国的《2022年芯片法案》中,其中的“中国护栏”条款就是受资助的芯片企业承诺自接受资助之日起十年内不得在中国或其他任何受关注国(foreign country of concern)进行涉及先进制程半导体生产产能实质性扩张。

SoT中和关注国相关的风险项包括供应商所有权和控制风险、业务关系风险等,我们可以根据风险项的描述推测其有什么样的担心:

  • 担心在关注国研发、制造、运营,从而使得供应链安全受制于关注国,如
    • (RF-2) 制造/研发发生在关注国/地区
    • (RF-27) 供应品(产品)在关注国制造
    • (RF-226) 供应商在关注国/地区的运营地点
    • (RF-563) 供应商使用的运营技术的开发发生在关注国/地区
    • (RF-549) 供应商的子供应商位于关注国/地区
    • (RF-1050) 供应的制造取决于来自关注国/地区的子组件
  • 担心数据被关注国控制或流入关注国
    • (RF-915) 服务要求所有数据通过与关注国/地区相关的枢纽提供服务流
    • (RF-882) 服务提供商收集有关其客户的数据,这些数据超出了这些客户的控制范围,可能会被利用或出售给关注国
    • (RF-944) 在需要向当地政府或合作国家披露用户信息的地点或司法管辖区提供服务
  • 下面这几项比较有意思,业务关系风险,看样子这是担心供应商被他的其他大客户特别是关注国政府客户影响
    • (RF-42) 供应商的经济利益受制于对关注国的合同义务
    • (RF-44) 供应商与关注国/地区有外事关系
    • (RF-49) 供应商客户群位于关注国/地区
    • (RF-400) 供应商直接与关注国/地区的政府开展业务
    • (RF-402) 供应商与关注国/地区的政府有间接业务往来
  • 担心关键管理人员的影响
    • (RF-17) 关键管理人员 (KMP) 和员工在关注国/地区有公民身份
    • (RF-22) 供应商和/或关键管理人员 (KMP) 与公司/国家有合作关系,根据可靠和确凿的信息,这些公司/国家违反了出口管制法律或向关注国/地区出售了重要技术。
    • (RF-211) 来自关注国/地区的主要利益相关者公民身份的程度

除了这些,还有供应商或其关键管理人员与军事情报机构的联系,这也是其担心构成供应链安全风险。

  • (RF-551) 供应商客户与军事实体的隶属关系
  • (RC-15) 与外国情报机构 (FIS) 或外国军事实体的联系
  • (RF-36) 任何已知或推测的关键管理人员 (KMP) 家庭成员或其已知同伙与外国情报机构的关联
  • (RC-285) 供应商和/或关键管理人员 (KMP) 与外国军事实体有关联
  • (RF-389) 任何已知或推测的关键管理人员 (KMP) 家庭成员或其已知同伙与外国军事实体的关联
  • (RF-388) 任何已知或推测的关键管理人员 (KMP) 与外国军事实体的关联
  • (RF-390) 任何已知或推测的供应商和/或关键管理人员 (KMP) 与外国军事实体在情报收集方面的合作
  • (RF-391) 任何已知的与外国军事实体的直接协调

看这些风险项,如果其他国家用这些来评估美国公司的风险,则基本上大量IT软硬件都不可用了,但是一方面他们很多东西没有可替代的,另外他们会用like-minded(志同道合的)划个圈,就算被监控了,抗议一下甚至自己就否认(前段时间新闻),装着没事儿就好了。

但是,如果MITRE的SoT被接受认可为评估供应链安全的事实标准并被其他国家引用,对于开拓国际市场的中国企业来说,就有可能是一个非常严重的的问题,看看他们是如何打压中国公司海外业务的。,不难想象,以后只会变本加厉。

另外,还有一项风险项是:

(RF-209) 供应商制裁名单状态

BIS官网的数据显示,截止到目前,已经有600多家中国实体被列入实体清单。

供应链安全的斗争会越来越激烈。

Definition: foreign country of concern from 15 USC § 4651(7)
(7) The term “foreign country of concern” means— (A) a country that is a covered nation (as defined in section 4872(d) of title 10 ); and (B) any country that the Secretary, in consultation with the Secretary of Defense, the Secretary of State, and the Director of National Intelligence, determines to be engaged in conduct that is detrimental to the national security or foreign policy of the United States. LII / Legal Information Institute (cornell.edu)

链接:MITRE SoT风险项清单:600+项 (截止到2023年5月)

文章(略有修改)同步发布在微信公众号:DigitalSecurity 从MITRE的SoT模型看美国人如何看供应链安全风险

搜索