供应商网络安全风险评估方法
摘要
高层管理人员迫切需要一种可靠的工具来评估风险水平并做出有充分依据的商业决策,他们对客户的安全保障负有责任。项目启动阶段的风险评估有助于制定战略决策,通过评估风险及对公司的潜在影响,可确定是内部生产产品、提供服务还是将其外包。若未履行这一职责,企业可能面临严重的财务损失,公司形象受损可能导致股票贬值甚至破产,诉讼还可能扰乱运营、影响盈利,耗费数百万美元的诉讼费用。
风险评估工具在防范国家层面的潜在影响方面也发挥着重要作用。以联网车辆为例,其产品作为系统的一部分,一旦出现问题,影响可能广泛且严重,甚至可能演变为国家性灾难。该工具还能成为企业的竞争优势,较低的风险暴露证明可吸引更多客户和合同,帮助原始设备制造商(OEM)建立可靠的供应商基地,确保及时交付和快速上市。此外,它能指出缺失的措施和预算分配的重点方向,风险缓解需要成本,预算分配决策必须以数据为依据。新的移动出行生态系统带来了巨大的复杂性,构建有效的纵深防御战略以应对网络安全威胁,需要相关工具评估漏洞并提供整个生态系统的安全状态。未来智慧城市的建设将依赖于在联网车辆生态系统中已被验证有效的风险评估方法和工具。
1、移动出行格局
汽车行业将面临翻天覆地的变化,要实现新的移动出行生态系统,必须进行重大变革。该行业已融入互联网和计算技术带来的诸多效率提升。
研究公司预测,2035年售出的75%的车辆将具备某种程度的自动驾驶功能。高级驾驶辅助系统(ADAS)已在众多车辆中投入使用,为完全自动驾驶铺平了道路。汽车正成为多功能交互平台,开启了通往互联世界的大门。例如,由东京大学、机器人车库公司(Robo Garage)和丰田公司联合研发的太空宇航员机器人“KIROBO”,未来可能在个人交通系统中同时实现自动驾驶和交互通信功能。
如今,我们已能预见移动出行管理将给企业和基础设施带来的挑战。网约车公司构建了连接服务提供者与需求者的网络,Uber、Lyft、Maven等新商业模式解决方案已占据相当大的市场份额,它们挑战了传统的车辆所有权模式,为拥堵的城市地区提供了替代方案。
随着自动驾驶车辆的普及,企业将进一步拓展其提供的综合移动出行选择和服务。它们会将自动驾驶汽车与其他交通方式相连,为客户提供更优质的无缝多式联运服务,致力于实现便捷出行、顺畅支付和丰富的娱乐体验。移动出行系统需为客户提供行程规划、路线调整、与基础设施及供应商的无缝连接等服务,社交网络将发挥更广泛的作用,通过推荐客户偏好让出行体验更加愉悦。这些功能需要复杂的电子元件和软件应用程序来实现。
技术是这场广泛变革的驱动力。科技公司必须适应创建和运营规模更大、更复杂的信息网络。人工智能和深度学习将最大限度地减少人为错误,助力海量数据的管理。这些公司将打造新的环境,构建新的数字社区格局。它们所提供软件的安全性对其生存能力至关重要,安全性必须嵌入产品开发的每个阶段,涵盖硬件设备和软件算法。供应商正面临向全数字连接的动态快速转型,车辆、基础设施和移动设备之间的数据将实现无缝流动。
联网车辆生态系统将给网络安全专家带来最大的挑战。如今,人们对网络攻击最深切的担忧主要集中在车载系统上,但在自动驾驶的未来,这可能不再是最主要的担忧。如果联网车辆遭遇恶意攻击并成功,可能会造成灾难性的经济损失和人员伤亡。计算互联世界在现代社会中无处不在,联网车辆是该生态系统的一部分。设备与可穿戴设备、物联网传感器、智能手机、平板电脑、笔记本电脑、个人机器人、智能汽车和智慧城市之间的连接已成为新的范式。互联世界研究公司GSMA估计,100% 的汽车将接入蜂窝网络。
联网汽车正凭借承载新功能的各类新技术和设备融入我们的日常生活,同时也带来了计算需求方面的挑战。车内已安装的设备和周边基础设施正成为增强安全功能、广告投放、娱乐和社交网络的平台,它们也可能成为恶意入侵者的攻击载体,因此需要加以保护。
2、移动出行管理
材料和零部件的供应商采购、定制汽车制造、与保险、监管和金融服务的整合,都需要更高级别的组件智能系统来实现连接和数据交换。随之而来的挑战是确保数据流安全、保护信息以及防止恶意干扰。
内容组件供应商、服务提供商、广告商、娱乐和社交媒体行业将利用这一新平台触达客户,提供沉浸式和交互式的定制服务。车载出行体验将带来新的挑战和机遇,汽车传感器和个人设备将传输越来越大的数据量,其数据收集将生成有关客户体验的信息,并指导定向广告和服务选择。
供应商群体将提供满足汽车行业及基础设施需求的组件,集成计算机技术系统将使多式联运成为可能。随着社会向更整合的移动出行服务体系发展,支持物理基础设施的数字基础设施将发挥关键作用。道路、航道、桥梁、停车场等将在这一互联环境中再次彰显其重要性。云计算、物联网、操作系统和网络安全的重要性日益提升,对人们的安全保障至关重要。
网络安全和电子设备供应商将面临这些系统在规模和复杂性方面的挑战。这些变化的规模要求企业具备足够的前瞻性并做好准备,以确保系统的完整性、机密性和可用性得到保护。安全风险可能涉及大型系统,且传播速度将前所未有地加快,其后果可能是毁灭性的,不仅影响个人,还可能波及国家乃至全球社会。
在汽车领域,专利贡献最多的是科技公司而非汽车制造商本身。随着自动驾驶技术的加速发展,多家汽车公司与科技公司建立了合资企业来研发自动驾驶汽车,例如通用汽车与 Cruise、福特与 Argo AI、宝马与戴姆勒合作研发自动驾驶车辆。
另一方面,供应商正在形成一个由高度专业化提供商组成的独特网络。复杂的需求和不断变化的市场需求迫使这些公司快速行动,创新功能实现方式。需求最高的供应商集中在以下领域:生物识别、高级驾驶辅助系统(ADAS)与自动驾驶、信息娱乐系统和远程信息处理。
3、物联网(IoT)
物联网将使恶意入侵的影响扩大,演变为毁灭性的大规模灾难,同时也增加了问题的复杂性。无线介质上的通信所带来的安全威胁尚未被完全了解。随着复杂认知无线电、无线设备、无人机、小型卫星、无人驾驶汽车和无线医疗设备的出现,无线移动通信系统面临的安全威胁正迅速增加。随着 5G 和其他新开发系统的部署,需要新一轮的防护方法和政策。无线系统的复杂性扩大了攻击面,存在多个潜在故障点。2018 年 9 月 13 日,由美国国家科学基金会(NSF)和国家电信与信息管理局(NTIA)联合主持的网络与信息技术研发(NITRD)计划无线频谱研发(WSRD)跨机构工作组(IWG)在华盛顿特区举办了一场题为 “无线频谱视角下的安全:技术创新与政策研究需求” 的研讨会。该研讨会旨在搭建联邦机构之间以及公共和学术专家之间的联系,探讨无线移动设备的网络安全问题,共有 35 名代表相关研究利益相关者的参与者出席。
联网生态系统遭受的破坏程度远高于单个车辆受到的局部影响。入侵该生态系统的诱惑极大,这使得针对人为弱点的攻击更为普遍。在诊断或空中下载(OTA)更新过程中,攻击者可能利用社会工程学方法轻易入侵汽车系统,其后果将蔓延至更多车辆。执行这些任务的工作人员可能成为恶意黑客的目标,黑客会研究他们并采用欺骗手段获取访问权限。
另一个重大挑战是员工和个人用户对这些新的复杂组件和技术缺乏了解且培训不足。在共享车辆中,可能发生肩窥、冒充、虚假警报等社会工程学攻击。一旦这类车辆被入侵,可能成为传播恶意软件或窃取个人信息的节点,引发整个系统的混乱和故障。
计算互联世界在现代社会中无处不在,联网车辆是该生态系统的一部分。设备与可穿戴设备、物联网传感器、智能手机、平板电脑、笔记本电脑、个人机器人、智能汽车和智慧城市之间的连接已成为新的范式。车内已安装的设备和周边基础设施正成为增强安全功能、广告投放、娱乐和社交网络的平台,它们也可能成为恶意入侵者的攻击载体,因此需要加以保护。
由于物联网系统和基础设施的互联,已形成由供应商、制造商和服务提供商组成的复杂网络。物联网是一个复杂且动态的生态系统,包含众多硬件组件和采用各种电气架构布局的系统。随着为满足客户需求而推出的功能越来越多,这些系统的复杂性已上升到前所未有的水平。
物联网供应链对安全性至关重要。信息通信技术(ICT)的供应链风险管理(SCRM)是应对物联网广泛普及所带来挑战的关键。尽管它可作为有用的指导原则,但可能不足以解决物联网网络及相关供应链更复杂的特性。
所有权分散和控制去中心化是另一个令人担忧的问题。不存在对整个设备生态系统进行管理的网络管理员,因此对网络的控制有限。管理员甚至可能无法完全了解所有联网设备及其互操作性。
物联网生态系统及其安全性与已建立的信息通信系统(ICS)存在显著差异。该系统中有多个参与方,且缺乏相关法规约束。服务之间主要相互关联,为众多特定应用打开了大门。物联网生态系统没有采用特定协议的行业标准,这给将安全性嵌入代码带来了困难。物联网的连接特性带来了安全挑战和新的攻击载体。物联网系统与已建立的信息系统之间存在一些重要差异:物联网设备通过驱动功能与物理世界交互,而传统移动和计算系统则不然;与信息通信技术(ICT)系统相比,物联网系统出现问题可能危害人身安全、导致设备无法运行或造成运营中断;物联网设备可能未内置完整的访问和管理功能。这些设备主要为低功耗设计,数据处理能力有限,其运行所需的安全和隐私规范在身份验证和访问控制安全方面可能与主流信息通信技术(ICT)系统存在显著差异。
4、问题陈述-供应商网络安全问题
随着自动驾驶移动出行和新连接范式的快速发展,汽车软件供应链以及硬件组件相关的风险不断升级。汽车制造商从数百个供应商组成的供应链中采购电子组件,其中最显著的风险是层级供应商是否在其产品中适当内置了网络安全保护。原始设备制造商(OEM)制定的规范要求较为通用,以便供应商进行创新。此外,在供应商加入时,并非所有约束条件都已明确和被理解。在进行创新和新概念开发时,需求是动态生成的,这使得企业难以始终遵循行业总体建议和流程,也难以在产品开发阶段结束后将这些需求作为经验教训加以总结。竞争压力进一步加剧了供应商之间的共享或协作难度,而且组件上市的时间框架极其紧凑,并未遵循正常的成熟产品推进流程。
评估各类供应链供应商的综合风险是汽车组件和软件提供商面临的紧迫且重要的挑战之一。供应商降低风险的最佳实践是遵循行业建议的结构化方法,从项目启动之初就将网络安全嵌入产品开发生命周期,但实际情况并非总是如此,供应商在这方面的做法也缺乏一致性。这种复杂性源于大量的层级供应商和紧凑的时间安排。
美国汽车工程师学会(SAE)和新思科技(Synopsys)联合委托开展了一项题为《汽车行业网络安全实践、供应链及第三方组件挑战》的研究。结果显示,73% 的受访者对第三方提供的汽车软件 / 技术 / 组件的网络安全状况表示高度关注(图1),68% 的受访者对整个汽车行业的网络安全状况也表示高度关注,仅有 44% 的受访者表示其所在组织对上游供应商提供的产品施加了网络安全需求。
图1、美国汽车工程师学会(SAE)《保障现代车辆安全:汽车行业网络安全实践研究》
安全编码培训尚未得到重视,仅有 33% 的参与者表示其公司对开发人员进行了安全编码培训。新技术设备的开发方式各异,这使供应商容易出现漏洞。第三方组件、软件和应用程序的集成往往会导致质量问题和网络安全攻击载体。
调查结果还揭示了供应商面临的风险:19% 的受访者表示在需求制定和设计阶段没有进行充分的安全测试,仅有 28% 的受访者表示开发和测试得到了严格执行。值得注意的是,测试和验证在流程中进行得太晚,大多数参与者表示测试在产品发布后才进行,这可能导致组织成本大幅增加。目标应是从产品开发周期开始就帮助供应商改进其安全和漏洞管理流程,如果能在供应链早期助力供应商加强网络安全测试和漏洞管理,将能取得更好的效果。
网络安全不应被视为沉重的额外负担,也不应在产品周期末期才加以处理,而应成为工程流程创建每个阶段的组成部分,并作为所有相关部门的指导原则。汽车公司可以借鉴其他行业的最佳实践和标准实施经验,采用多种解决方案。这种严格的网络安全方法对于提升安全性、确保安全性和质量以及加快上市时间至关重要。
5、供应商风险评估方法构成
所采用的基础方法是信息风险因素分析(FAIR)方法,它为风险评估和结果量化提供了坚实的基础,是一种自下而上的风险管理人员和供应商运营准备状态评估方法。该方法包括多个步骤,可在组件级、子系统级以及最终在系统或企业级映射属性。这种方法能够解决供应商相关问题,并推动制定控制风险的政策和程序。
风险评估方法对于明确供应商流程中的薄弱环节至关重要。行业内主要供应商需共同努力,在产品开发的早期阶段实施严格的通用流程,以解决和缓解所提出的问题。这包括与供应商合作,识别和分类工程设计中的薄弱环节,制定安全需求和技术需求,并制定相关政策。图 2 示意性地展示了如何根据组件的安全状况和竞争特性选择采购多个组件。
图 2、基于网络安全状况选择供应商采购组件的示意图
风险评估的核心要素包括确立供应商应对网络安全的战略和流程方法,应涵盖以下流程步骤:组建跨职能团队、识别风险及其属性、筛选风险、评估风险、确定风险优先级、分析结果以及制定可执行的缓解策略。正如 Vector 公司所提出的,V 模型目前在汽车行业中得到了广泛应用。该模型要求功能安全和网络安全之间采取协调流程,从项目定义开始,然后是两个领域的威胁和风险评估,接着是制定网络安全和安全目标、概念和要求。下一阶段从组件级验证开始,然后是系统级验证,接着是确认、渗透测试、发布批准,最后是生产、维护和报废。
网络安全评估方法应验证是否存在相关管理流程,确保网络安全成为产品开发生命周期的重要组成部分。它应确认供应商是否设有网络安全开发团队、制定了相关计划、遵循了要求、执行了测试并生成了报告。这种方法可证明供应商具备结构化的网络安全计划,并能体现供应商所达到的网络安全水平。
供应商应展示其在产品开发各个阶段持续开展的网络安全活动,包括概念阶段、产品开发阶段、网络安全验证阶段、生产和运营维护阶段,直至报废阶段,具体活动包括网络安全监控、事件评估和漏洞分析。
该方法认可供应商开展的系统性威胁和风险评估(TARA)活动,这些活动应包括资产识别、威胁场景识别、影响评级、攻击路径分析、攻击可行性评级、风险确定和缓解策略制定。这种方法是新的 ISO/SAE 21434 标准的一部分。根据该标准的建议,风险值和攻击可行性评级应作为供应商网络安全评估的基础。风险值(CAL)分为 CAL1 至 CAL4 四个等级,攻击可行性评级范围从极低到极高,影响评级分为可忽略、中等、严重和灾难性四个等级。需要制定充分的流程措施来应对这些风险,以最大限度地减少对组织的时间、财务和形象损失。
所提出的方法为供应商风险水平赋予了货币价值,有助于高管层做出适当的投资决策。货币价值可基于有形和无形因素计算,生产或交付损失时间是可量化的因素之一,可根据公司历史质量标准合规数据为该因素分配货币金额。在功能层面,可以利用蒙特卡洛分析来模拟攻击载体和这些攻击的损失函数。
风险评估方法依赖于历史数据,但安全漏洞并非 100% 可预测。恶意行为者不断改变其攻击手段,推出新的攻击方式。纵深防御、采取多种措施并遵循严格流程是成功管理网络安全的最佳方法。风险评估模型中体现的功能安全、网络安全和认证方面的内容,可证明供应商流程的成熟度,并反映在供应商网络安全评级中。
网络安全风险不应孤立看待,评估流程应体现 ISO/SAE 21434 标准最新草案以及 ISO 26262、ISO 21448 和 SAE J3061 的建议。在企业层面,需要创建高层风险图来勾勒威胁格局,该方法应包括识别和分析攻击源,并将其绘制在可接受和不可接受风险图上。风险图需要进行整体考量,理解外部事件与网络安全威胁及其相互依赖关系。近年来,网络安全威胁已从可接受风险类别转移到风险等级的高风险象限,这就要求采取强制性措施来检测和缓解风险。在组织层面,管理层需要确定其愿意承担的可容忍风险水平。所提出的方法将有助于将风险水平转换为公司可容忍的货币金额,并建立损失超额风险曲线,该曲线将反映供应商从外部给组织带来的风险。风险应估算为综合价值,根据组织的特性,该价值可能是互补的或独立的。一些无形价值也可纳入整体风险考量,公司与供应商之间建立的信任可作为信任价值纳入评估方程。在企业层面,损失超额概率将转换为高层管理人员可判断是否可容忍的货币金额。
还可以通过将网络安全服务分为四个主要领域来估算综合风险,以进一步确定最可能存在漏洞影响的领域,这些领域包括:边缘安全(如安全网关)、车辆计算机系统和连接安全、访问和通信安全(如身份验证)以及服务安全(如威胁情报和应急响应)。可以对这些领域分别进行评级并分配安全风险,这种方法有助于组织改进特定安全领域的流程和缓解策略,并向其投入更多资源。
6、结论
所提出的风险评估方法解决了供应链网络安全风险管理中的紧迫问题。汽车行业在拥抱自动驾驶、物联网、云数据和人工智能的过程中正在经历巨大变革,这些新范式需要对风险进行深入分析。多层级供应链存在复杂的问题,这些问题源于不同水平的技术发展、内部程序和流程、市场需求以及成本结构。原始设备制造商(OEM)需要就选择哪些供应商以及这些供应商能否及时交付优质产品做出明智决策。
所提出的风险评估方法具有创新性,可使原始设备制造商(OEM)计算所有层级的综合网络安全风险,并将该综合风险作为企业整体风险的一部分进行评估。其意义在于适用于行业需求,需求从产品开发流程一开始就被提炼出来,然后嵌入风险评估工具中,并在产品整个生命周期内定期跟踪。
该方法面临的挑战在于评估所用历史风险数据的质量、供应商披露信息的真实性以及未来威胁的不可预测性。这三个方面需要进一步探索、分析和结构化,以作为可靠的评估基础。
行业对网络安全状况重要性的认识正在为供应商参与奠定基础。供应商为了被原始设备制造商(OEM)纳入考虑范围,有必要展示其网络安全状况。尽管责任通常归于原始设备制造商(OEM),但在许多情况下,故障可归因于单个供应商,导致其形象受损,甚至面临破产等严重后果。使供应商达到统一的网络安全需求和披露标准,对于原始设备制造商(OEM)和供应商的产品认可度及组织 longevity 至关重要。在确保客户安全这一共同目标的指引下,原始设备制造商(OEM)和供应商可以联合起来应对网络安全问题,采用本文提出的统一风险评估方法。
该提案的价值可概括为提供了一种独特的方法来评估供应商层级树的风险,该方法对于明确供应商流程中的薄弱环节至关重要,提供了可在全球范围内应用于供应商的结构框架。原始设备制造商(OEM)在向多个供应商询价时,可以要求其遵循相同的要求和程序。了解潜在风险对组织的财务影响是做出合理商业决策的基础。