醫(yī)療設(shè)備制造商如何在軟件供應(yīng)鏈中提高網(wǎng)絡(luò)安全

白宮最近發(fā)布警告，指出許多制造商受到供應(yīng)鏈中斷的影響，重建供應(yīng)鏈?zhǔn)钱?dāng)務(wù)之急。一些分析人士認(rèn)為，這場混亂可能需要數(shù)月甚至數(shù)年的時間才能平息。

醫(yī)療設(shè)備制造商也不例外。但在供應(yīng)鏈完全恢復(fù)之前暫停生產(chǎn)是不可能的。企業(yè)需要保持生產(chǎn)流動，這就需要尋找新的供應(yīng)商。然而，新的未經(jīng)過安全審查的供應(yīng)商也可能帶來安全風(fēng)險，并有可能將漏洞和威脅引入產(chǎn)品或設(shè)備的生命周期當(dāng)中。

最薄弱的環(huán)節(jié)

正如媒體最近報道的那樣，包括飛利浦和通用電氣醫(yī)療保健在內(nèi)的許多大型醫(yī)療保健制造商都面臨著供應(yīng)鏈挑戰(zhàn)。供應(yīng)的延遲影響了他們在數(shù)量和時間上滿足生產(chǎn)預(yù)期的能力。未能達(dá)到這些預(yù)期影響了他們的利潤，這些組織在第四季度出現(xiàn)了明顯的虧損。

不能及時交付的壓力

為了降低不能及時交付的壓力，多數(shù)情況下會進(jìn)行超額訂購。這種對庫存或超額訂購的需求，促使許多人尋找能夠提供穩(wěn)定供應(yīng)的替代供應(yīng)商。隨著新供應(yīng)商的出現(xiàn)，新的、未經(jīng)測試的組件也會帶來額外的風(fēng)險，并可能出現(xiàn)新的漏洞。

這就是挑戰(zhàn)呈指數(shù)增長的地方。當(dāng)受信任和經(jīng)過審查的供應(yīng)商迅速被替換或補(bǔ)充時，進(jìn)入產(chǎn)品或設(shè)備生命周期的網(wǎng)絡(luò)威脅和漏洞的風(fēng)險顯著增加。

即使在現(xiàn)在，供應(yīng)鏈問題依然是組織最薄弱的環(huán)節(jié)之一。挑戰(zhàn)不僅在于它們?nèi)绾斡绊懮a(chǎn)能力，還在于它們?nèi)绾斡绊懽罱K產(chǎn)品的安全性。對于任何復(fù)雜的醫(yī)療設(shè)備，都存在提供硬件和軟件的多層供應(yīng)商。將這些組件組裝成最終產(chǎn)品的制造商對各種組件或軟件中的內(nèi)容的控制和可見性有限，從而給最終產(chǎn)品及其用戶帶來巨大風(fēng)險。更換供應(yīng)商只會增加他們的風(fēng)險狀況。

審查新供應(yīng)商

有時，避免短缺的唯一方法是找到另一個供應(yīng)商來滿足需求。這對于醫(yī)療設(shè)備尤其重要，因?yàn)闇?zhǔn)時生產(chǎn)和交付可能是生死攸關(guān)的問題。

當(dāng)一個新的供應(yīng)商加入時，仍然需要建立信任。由于之前沒有任何關(guān)系，所以更需要謹(jǐn)慎，特別是在審查供應(yīng)商產(chǎn)品質(zhì)量及安全性時，此時監(jiān)控軟件漏洞對產(chǎn)品安全至關(guān)重要。

代碼中的漏洞

任何時候從開源庫開發(fā)或集成代碼，都有可能出現(xiàn)未發(fā)現(xiàn)的缺陷或漏洞。任何包含軟件的設(shè)備都可能在其本身或其使用的軟件庫中出現(xiàn)錯誤。在開發(fā)過程的早期評估這一點(diǎn)對于安全的產(chǎn)品開發(fā)和盡早發(fā)現(xiàn)漏洞至關(guān)重要，如用靜態(tài)代碼檢測工具來輔助，從而降低風(fēng)險和最小化損害。

今天，軟件更多的是組裝而不是編寫，利用商業(yè)和開源軟件來創(chuàng)建設(shè)備功能的核心。這些組件在加快構(gòu)建時間的同時，也引入了潛在的漏洞。例如，直到最近Log4j庫還被認(rèn)為是行業(yè)標(biāo)準(zhǔn)和安全的開源日志功能的補(bǔ)充。2021年12月，這些庫被認(rèn)定具有遠(yuǎn)程代碼執(zhí)行(RCE)漏洞，該漏洞的CVSS評分最高為10.0。一旦發(fā)現(xiàn)該漏洞，世界各地的組織應(yīng)該在攻擊者利用該漏洞之前對其進(jìn)行修補(bǔ)和控制。

商業(yè)軟件也不能免于類似的高影響漏洞。Ripple20 庫也被認(rèn)為是一個相對安全且符合行業(yè)標(biāo)準(zhǔn)的軟件組件。在發(fā)現(xiàn)其易受攻擊的狀態(tài)后，許多設(shè)備都受到攻擊。

在軟件組件面臨安全挑戰(zhàn)時，通過透明的軟件清單有助于提高軟件供應(yīng)鏈的安全性。此外，在開發(fā)過程中使用SCA有助于發(fā)現(xiàn)開源組件中的安全漏洞。

信任但要驗(yàn)證

與新供應(yīng)商合作的第一步是從安全角度驗(yàn)證他們的技術(shù)。跟蹤這項(xiàng)工作的結(jié)果對于確定可靠的供應(yīng)商以及可能提供有缺陷或易受攻擊產(chǎn)品的供應(yīng)商至關(guān)重要。然而，驗(yàn)證供應(yīng)商組件和產(chǎn)品軟件的安全狀況并不容易。在許多情況下，源代碼并不容易獲得，因此必須通過其他途徑獲得可見性，例如不依賴于源代碼可用的二進(jìn)制分析。

與新供應(yīng)商合作的第一步是從安全的角度驗(yàn)證他們的技術(shù)。跟蹤這一問題對于確定可靠的供應(yīng)商和那些可能交付有缺陷或脆弱的產(chǎn)品的供應(yīng)商至關(guān)重要。使用驗(yàn)證和靜態(tài)代碼檢測工具來評估編譯后的代碼，對于保證不提供直接代碼可見性的產(chǎn)品的安全性至關(guān)重要。

文章來源：

https://www.helpnetsecurity.com/2022/02/16/manufacturers-supply-chains/