醫療裝置製造商如何在軟體供應鏈中提高網路安全

白宮最近釋出警告，指出許多製造商受到供應鏈中斷的影響，重建供應鏈是當務之急。一些分析人士認為，這場混亂可能需要數月甚至數年的時間才能平息。

醫療裝置製造商也不例外。但在供應鏈完全恢復之前暫停生產是不可能的。企業需要保持生產流動，這就需要尋找新的供應商。然而，新的未經過安全審查的供應商也可能帶來安全風險，並有可能將漏洞和威脅引入產品或裝置的生命週期當中。

最薄弱的環節

正如媒體最近報導的那樣，包括飛利浦和通用電氣醫療保健在內的許多大型醫療保健製造商都面臨著供應鏈挑戰。供應的延遲影響了他們在數量和時間上滿足生產預期的能力。未能達到這些預期影響了他們的利潤，這些組織在第四季度出現了明顯的虧損。

不能及時交付的壓力

為了降低不能及時交付的壓力，多數情況下會進行超額訂購。這種對庫存或超額訂購的需求，促使許多人尋找能夠提供穩定供應的替代供應商。隨著新供應商的出現，新的、未經測試的元件也會帶來額外的風險，並可能出現新的漏洞。

這就是挑戰呈指數增長的地方。當受信任和經過審查的供應商迅速被替換或補充時，進入產品或裝置生命週期的網路威脅和漏洞的風險顯著增加。

即使在現在，供應鏈問題依然是組織最薄弱的環節之一。挑戰不僅在於它們如何影響生產能力，還在於它們如何影響最終產品的安全性。對於任何複雜的醫療裝置，都存在提供硬體和軟體的多層供應商。將這些元件組裝成最終產品的製造商對各種元件或軟體中的內容的控制和可見性有限，從而給最終產品及其使用者帶來巨大風險。更換供應商只會增加他們的風險狀況。

審查新供應商

有時，避免短缺的唯一方法是找到另一個供應商來滿足需求。這對於醫療裝置尤其重要，因為準時生產和交付可能是生死攸關的問題。

當一個新的供應商加入時，仍然需要建立信任。由於之前沒有任何關係，所以更需要謹慎，特別是在審查供應商產品質量及安全性時，此時監控軟體漏洞對產品安全至關重要。

程式碼中的漏洞

任何時候從開源庫開發或整合程式碼，都有可能出現未發現的缺陷或漏洞。任何包含軟體的裝置都可能在其本身或其使用的軟體庫中出現錯誤。在開發過程的早期評估這一點對於安全的產品開發和儘早發現漏洞至關重要，如用 靜態程式碼檢測工具來輔助，從而降低風險和最小化損害。

今天，軟體更多的是組裝而不是編寫，利用商業和開源軟體來建立裝置功能的核心。這些元件在加快構建時間的同時，也引入了潛在的漏洞。例如，直到最近Log4j庫還被認為是行業標準和安全的開源日誌功能的補充。2021年12月，這些庫被認定具有遠端程式碼執行(RCE)漏洞，該漏洞的CVSS評分最高為10.0。一旦發現該漏洞，世界各地的組織應該在攻擊者利用該漏洞之前對其進行修補和控制。

商業軟體也不能免於類似的高影響漏洞。Ripple20 庫也被認為是一個相對安全且符合行業標準的軟體元件。在發現其易受攻擊的狀態後，許多裝置都受到攻擊。

在軟體元件面臨安全挑戰時，透過透明的軟體清單有助於提高軟體供應鏈的安全性。此外，在開發過程中使用SCA有助於發現開源元件中的安全漏洞。

信任但要驗證

與新供應商合作的第一步是從安全形度驗證他們的技術。跟蹤這項工作的結果對於確定可靠的供應商以及可能提供有缺陷或易受攻擊產品的供應商至關重要。然而，驗證供應商元件和產品軟體的安全狀況並不容易。在許多情況下，原始碼並不容易獲得，因此必須透過其他途徑獲得可見性，例如不依賴於原始碼可用的二進位制分析。

與新供應商合作的第一步是從安全的角度驗證他們的技術。跟蹤這一問題對於確定可靠的供應商和那些可能交付有缺陷或脆弱的產品的供應商至關重要。使用驗證和靜態程式碼檢測工具來評估編譯後的程式碼，對於保證不提供直接程式碼可見性的產品的安全性至關重要。

文章來源：

https://www.helpnetsecurity.com/2022/02/16/manufacturers-supply-chains/