医疗设备制造商如何在软件供应链中提高网络安全

白宫最近发布警告，指出许多制造商受到供应链中断的影响，重建供应链是当务之急。一些分析人士认为，这场混乱可能需要数月甚至数年的时间才能平息。

医疗设备制造商也不例外。但在供应链完全恢复之前暂停生产是不可能的。企业需要保持生产流动，这就需要寻找新的供应商。然而，新的未经过安全审查的供应商也可能带来安全风险，并有可能将漏洞和威胁引入产品或设备的生命周期当中。

最薄弱的环节

正如媒体最近报道的那样，包括飞利浦和通用电气医疗保健在内的许多大型医疗保健制造商都面临着供应链挑战。供应的延迟影响了他们在数量和时间上满足生产预期的能力。未能达到这些预期影响了他们的利润，这些组织在第四季度出现了明显的亏损。

不能及时交付的压力

为了降低不能及时交付的压力，多数情况下会进行超额订购。这种对库存或超额订购的需求，促使许多人寻找能够提供稳定供应的替代供应商。随着新供应商的出现，新的、未经测试的组件也会带来额外的风险，并可能出现新的漏洞。

这就是挑战呈指数增长的地方。当受信任和经过审查的供应商迅速被替换或补充时，进入产品或设备生命周期的网络威胁和漏洞的风险显著增加。

即使在现在，供应链问题依然是组织最薄弱的环节之一。挑战不仅在于它们如何影响生产能力，还在于它们如何影响最终产品的安全性。对于任何复杂的医疗设备，都存在提供硬件和软件的多层供应商。将这些组件组装成最终产品的制造商对各种组件或软件中的内容的控制和可见性有限，从而给最终产品及其用户带来巨大风险。更换供应商只会增加他们的风险状况。

审查新供应商

有时，避免短缺的唯一方法是找到另一个供应商来满足需求。这对于医疗设备尤其重要，因为准时生产和交付可能是生死攸关的问题。

当一个新的供应商加入时，仍然需要建立信任。由于之前没有任何关系，所以更需要谨慎，特别是在审查供应商产品质量及安全性时，此时监控软件漏洞对产品安全至关重要。

代码中的漏洞

任何时候从开源库开发或集成代码，都有可能出现未发现的缺陷或漏洞。任何包含软件的设备都可能在其本身或其使用的软件库中出现错误。在开发过程的早期评估这一点对于安全的产品开发和尽早发现漏洞至关重要，如用静态代码检测工具来辅助，从而降低风险和最小化损害。

今天，软件更多的是组装而不是编写，利用商业和开源软件来创建设备功能的核心。这些组件在加快构建时间的同时，也引入了潜在的漏洞。例如，直到最近Log4j库还被认为是行业标准和安全的开源日志功能的补充。2021年12月，这些库被认定具有远程代码执行(RCE)漏洞，该漏洞的CVSS评分最高为10.0。一旦发现该漏洞，世界各地的组织应该在攻击者利用该漏洞之前对其进行修补和控制。

商业软件也不能免于类似的高影响漏洞。Ripple20 库也被认为是一个相对安全且符合行业标准的软件组件。在发现其易受攻击的状态后，许多设备都受到攻击。

在软件组件面临安全挑战时，通过透明的软件清单有助于提高软件供应链的安全性。此外，在开发过程中使用SCA有助于发现开源组件中的安全漏洞。

信任但要验证

与新供应商合作的第一步是从安全角度验证他们的技术。跟踪这项工作的结果对于确定可靠的供应商以及可能提供有缺陷或易受攻击产品的供应商至关重要。然而，验证供应商组件和产品软件的安全状况并不容易。在许多情况下，源代码并不容易获得，因此必须通过其他途径获得可见性，例如不依赖于源代码可用的二进制分析。

与新供应商合作的第一步是从安全的角度验证他们的技术。跟踪这一问题对于确定可靠的供应商和那些可能交付有缺陷或脆弱的产品的供应商至关重要。使用验证和静态代码检测工具来评估编译后的代码，对于保证不提供直接代码可见性的产品的安全性至关重要。

文章来源：

https://www.helpnetsecurity.com/2022/02/16/manufacturers-supply-chains/