醫療裝置製造商如何在軟體供應鏈中提高網路安全
白宮最近釋出警告,指出許多製造商受到供應鏈中斷的影響,重建供應鏈是當務之急。一些分析人士認為,這場混亂可能需要數月甚至數年的時間才能平息。
醫療裝置製造商也不例外。但在供應鏈完全恢復之前暫停生產是不可能的。企業需要保持生產流動,這就需要尋找新的供應商。然而,新的未經過安全審查的供應商也可能帶來安全風險,並有可能將漏洞和威脅引入產品或裝置的生命週期當中。
最薄弱的環節
正如媒體最近報導的那樣,包括飛利浦和通用電氣醫療保健在內的許多大型醫療保健製造商都面臨著供應鏈挑戰。供應的延遲影響了他們在數量和時間上滿足生產預期的能力。未能達到這些預期影響了他們的利潤,這些組織在第四季度出現了明顯的虧損。
不能及時交付的壓力
為了降低不能及時交付的壓力,多數情況下會進行超額訂購。這種對庫存或超額訂購的需求,促使許多人尋找能夠提供穩定供應的替代供應商。隨著新供應商的出現,新的、未經測試的元件也會帶來額外的風險,並可能出現新的漏洞。
這就是挑戰呈指數增長的地方。當受信任和經過審查的供應商迅速被替換或補充時,進入產品或裝置生命週期的網路威脅和漏洞的風險顯著增加。
即使在現在,供應鏈問題依然是組織最薄弱的環節之一。挑戰不僅在於它們如何影響生產能力,還在於它們如何影響最終產品的安全性。對於任何複雜的醫療裝置,都存在提供硬體和軟體的多層供應商。將這些元件組裝成最終產品的製造商對各種元件或軟體中的內容的控制和可見性有限,從而給最終產品及其使用者帶來巨大風險。更換供應商只會增加他們的風險狀況。
審查新供應商
有時,避免短缺的唯一方法是找到另一個供應商來滿足需求。這對於醫療裝置尤其重要,因為準時生產和交付可能是生死攸關的問題。
當一個新的供應商加入時,仍然需要建立信任。由於之前沒有任何關係,所以更需要謹慎,特別是在審查供應商產品質量及安全性時,此時監控軟體漏洞對產品安全至關重要。
程式碼中的漏洞
任何時候從開源庫開發或整合程式碼,都有可能出現未發現的缺陷或漏洞。任何包含軟體的裝置都可能在其本身或其使用的軟體庫中出現錯誤。在開發過程的早期評估這一點對於安全的產品開發和儘早發現漏洞至關重要,如用 靜態程式碼檢測工具來輔助,從而降低風險和最小化損害。
今天,軟體更多的是組裝而不是編寫,利用商業和開源軟體來建立裝置功能的核心。這些元件在加快構建時間的同時,也引入了潛在的漏洞。例如,直到最近Log4j庫還被認為是行業標準和安全的開源日誌功能的補充。2021年12月,這些庫被認定具有遠端程式碼執行(RCE)漏洞,該漏洞的CVSS評分最高為10.0。一旦發現該漏洞,世界各地的組織應該在攻擊者利用該漏洞之前對其進行修補和控制。
商業軟體也不能免於類似的高影響漏洞。Ripple20 庫也被認為是一個相對安全且符合行業標準的軟體元件。在發現其易受攻擊的狀態後,許多裝置都受到攻擊。
在軟體元件面臨安全挑戰時,透過透明的軟體清單有助於提高軟體供應鏈的安全性。此外,在開發過程中使用SCA有助於發現開源元件中的安全漏洞。
信任但要驗證
與新供應商合作的第一步是從安全形度驗證他們的技術。跟蹤這項工作的結果對於確定可靠的供應商以及可能提供有缺陷或易受攻擊產品的供應商至關重要。然而,驗證供應商元件和產品軟體的安全狀況並不容易。在許多情況下,原始碼並不容易獲得,因此必須透過其他途徑獲得可見性,例如不依賴於原始碼可用的二進位制分析。
與新供應商合作的第一步是從安全的角度驗證他們的技術。跟蹤這一問題對於確定可靠的供應商和那些可能交付有缺陷或脆弱的產品的供應商至關重要。使用驗證和靜態程式碼檢測工具來評估編譯後的程式碼,對於保證不提供直接程式碼可見性的產品的安全性至關重要。
文章來源:
https://www.helpnetsecurity.com/2022/02/16/manufacturers-supply-chains/
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2856294/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- FDA釋出聯網醫療裝置製造商安全指南草案
- 軟體供應鏈安全
- 裝置製造商供應鏈式協同運維管理系統解決方案運維
- 醫療資訊供應鏈管理平臺
- 網路安全行政命令:保護軟體供應鏈
- 商雲SRM供應商管理系統基於醫療企業供應鏈上游採購和供應商關係
- 醫療行業企業供應鏈系統解決方案:實現醫療數智化供應鏈協同可視(數商雲)行業
- 醫療行業供應商管理系統行業
- 醫療器械供應鏈協同管理系統
- 軟體供應鏈中斷時代
- 中國信通院首屆3SCON軟體供應鏈安全會議成功召開 聚焦軟體供應鏈全鏈路安全
- 醫療行業企業供應鏈系統解決方案:實現醫療數智化供應鏈協同可視行業
- 再談“開源軟體供應鏈安全”
- 解決軟體供應鏈安全問題
- 服裝產業發展趨勢|供應鏈|智慧製造產業
- 汽車製造行業SRM供應商管理系統:提升供應商績效,建立完善的供應商管理體系行業
- 數商雲供應鏈協同管理系統在醫療器械行業的應用行業
- 生物製品行業商業供應鏈管理平臺全流程自動化,提高供應鏈協作水平(數商雲)行業
- 數商雲醫療器械供應鏈協同管理系統商業數字化升級,資料驅動供應鏈高效協同
- Kubernetes 時代的安全軟體供應鏈
- 製造業SCM供應鏈管理系統
- “網際網路+”在醫療行業中的應用行業
- 安全快報 | NIST 更新網路安全供應鏈風險管理指南
- 醫療行業企業供應鏈系統解決方案行業
- 軟體供應鏈安全如何受到駭客的威脅
- 製造業供應鏈平臺解決方案
- CNNIC:網際網路醫療+商業保險,合力挖掘數字醫療健康價值CNN
- 數字生態系統安全演進:軟體供應鏈中的API安全API
- 利用供應商管理軟體,輕鬆管理新供應商
- 供應商管理軟體如何選型 好用的供應商管理軟體推薦
- 數商雲製藥醫藥供應鏈erp管理系統解決方案
- 保護醫療裝置資料安全醫院也需出把力
- 醫療裝置是安全重災區,搞不好身體會被黑客控制黑客
- 數字化醫療建設中的網路安全隱患
- EHR供應商披露安全問題 警示醫療系統軟體安全風險
- 智慧醫療如何在各大場景中得到應用?
- NSA 和 CISA分享保護軟體供應鏈安全指南
- 影響軟體供應鏈安全的10大風險因素