如果你是《星際大戰》的粉絲,你可能聽過66號指令。克隆人的腦中被植入了一顆晶片,用來控制他們的行為並植入指令。這枚晶片中包含了66號指令,即消滅絕地武士的指令。雖然絕地武士確實僱用了卡米諾人來建造克隆人軍隊,但帕爾帕廷皇帝利用其權力地位篡改了晶片中的指令,以謀取未來的利益。這是一個例子,說明為什麼你需要在硬體安裝到你的設施或其他設備之前就對其進行保護。
根據 Gartner 的數據,2019 年,65% 的智慧產品都存在「可攻擊性」。例如,2015 年一家玩具製造商推出了一款互動式娃娃,結果發現這款娃娃有安全漏洞。正如我們在網路安全部落格系列中所討論的那樣,近期發生的重大攻擊主要集中在軟體和網路層面,因為獲取數位存取權限比獲取實體存取權限更容易。然而,我們也證實,硬體攻擊並非罕見,而且其後果可能對企業造成毀滅性打擊。
此外,我們在部落格中一直在探討您可以利用哪些策略、技術和最佳實踐來保護您的公司,首先從硬體層面入手。然而,我們尚未討論如何在供應鏈中保護硬體。
如上所述,獲得實體存取權雖然困難,但並非不可能,有時這意味著在硬體製造過程中對其進行篡改,並在之後利用其漏洞,就像帕爾帕廷皇帝對克隆軍隊所做的那樣。
乍聽之下,這或許像是同人小說裡才會出現的瘋狂陰謀論。然而,請記住,硬體攻擊會擾亂企業運營,導致巨大的經濟損失、財產損失、公司聲譽受損,以及其他許多毀滅性後果。
供應鏈安全面臨哪些挑戰?
隨著企業實施自動化和數位化策略,其攻擊面和漏洞風險也隨之增加。因此,資料和IT基礎設施保護(包括應用程式、伺服器、網路、客戶資料、供應商資料、物料清單和運輸管理系統)多年來一直是供應鏈資訊保護的重中之重。然而,儘管能夠連接網路或被視為「智慧」的產品數量持續成長,產品保護卻並未得到應有的重視。
這些「智慧型」產品通常包含嵌入式程式碼、邏輯元件或微控制器。過去,只有高科技公司才會關注供應鏈中產品的安全保障問題。然而,如今交通運輸、醫療保健和消費品等領域的產品也變得越來越智能,因此,保護這些產品的需求也日益增長。
供應鏈安全面臨的另一項挑戰是營運技術。隨著邊緣運算和物聯網讓我們能夠更方便地進行運算,新的安全漏洞也隨之出現。如今,用於製造和物流的設備通常至少會連接到內部網絡,以便監控其效能並預測問題。因此,請務必分析將這些設備連接到網路可能帶來的威脅,以及安裝監控軟體和硬體所帶來的生產力提升。
由於需要保護IT、營運技術和產品,治理成為一項挑戰。在許多公司,各部門各自為政,缺乏一個能夠從整體和企業層面關注安全的跨職能團隊。這意味著IT、工程、研發、設施和營運部門只關注各自職責範圍內的漏洞,而忽略了產品保護。事實上,通常情況下,IT部門只負責資料、IT基礎設施和運作維護。有些公司設有IT團隊和獨立的維運團隊,後者負責OT/IoT/實體技術安全。而有些公司則設有安全小組,該小組可能隸屬於IT團隊。
鑑於網路攻擊日益增多且傳播速度加快,以及企業需要不斷努力平衡創新措施與日常運營,這無疑是一個極具挑戰性的問題。供應鏈企業比以往任何時候都更需要認識到,安全是其自身責任之一。此外,整個企業需要通力合作,在應對突發威脅或攻擊的同時,全面保護產品安全。
保護智慧產品的硬體
以「66號指令」為例,此類攻擊的動機可能是透過篡改硬體來破壞您的運營,導致經濟損失、聲譽受損、業務中斷等。此外,攻擊也可能旨在偽造產品或竊取設計訊息,從而搶佔市場先機,導致您破產或損失巨額銷售額。
硬體安全風險貫穿整個生命週期:從最初的設計和製造,到回收和處置。最先進的積體電路非常複雜,這意味著任何一家公司都無法獨立完成晶片的設計、製造和測試。因此,晶片製造如今已成為由多家跨國公司參與的價值鏈。
早在疫情爆發之前,企業就面臨著尋找更先進、更便宜的電子產品的壓力。這導致了前所未有的硬體外包規模。如今,我們仍在承受旅行限制和業務中斷的負面影響,這些影響造成了零件短缺。因此,開發電子系統的公司不再直接與原供應商合作,而是與中間商和第三方供應商合作,以滿足需求、縮短交貨時間或降低價格。這種做法的風險在於,企業可能會採購到不符合規格、回收或複製的假晶片(真是諷刺!)。這些假冒晶片隨後可能會被安裝在敏感或關鍵系統中,從而造成安全漏洞,招致攻擊(就像《星際大戰》裡)。
降低硬體供應鏈漏洞的建議
最重要的建議是將產品安全視為整個組織的首要任務。消除障礙,讓包括營運、IT、研發、行銷、公關和人力資源在內的跨職能團隊協同合作,在產品整個生命週期中識別並解決漏洞。
您還需要確保擴展供應鏈能夠滿足您所有產品(尤其是「智慧」產品)的效率、成本、服務、品質和安全要求,從設計階段到退役和處置。
制定並實施災難復原計畫和業務連續性評估。請記住,外部因素或不可抗力事件(例如疫情)可能會迅速改變您的業務策略和需求。至少要收集一些信息,了解如何快速適應不斷變化的物流或供應鏈狀況,以及潛在的威脅和漏洞。供應商風險評估和管理應納入業務連續性計畫。這樣,如果您無法等待常規供應商的交貨時間,您就有了預先批准的可靠替代方案。最後,確保所有這些計劃和評估都符合業界認可的標準,因為這些標準通常能為工作範圍和時間安排提供有用的指導。
如果您想了解更多關於硬體 OEM 如何幫助您從硬體層面提升安全性的信息,您可以… 閱讀這篇博客。您也可以繼續閱讀我們的 網路安全部落格系列。
