人工智能賦能軟件供應(yīng)鏈安全的案例分析及啟示建議

鞏娜鑫
軟件供應(yīng)鏈安全事件具有影響范圍廣、攻擊效率高、傳播性和隱蔽性強等特點,近年來成為網(wǎng)絡(luò)空間攻防對抗的焦點。然而,由于依賴關(guān)系復(fù)雜、溯源困難,軟件供應(yīng)鏈安全治理形式愈發(fā)嚴(yán)峻。

1.png

本文來自微信公眾號“天翼智庫”,作者/鞏娜鑫。

人工智能作為新一輪產(chǎn)業(yè)變革的核心驅(qū)動力,為推動軟件供應(yīng)鏈安全可信提供了新的路徑,Gartner多次將其列為影響供應(yīng)鏈發(fā)展的戰(zhàn)略性技術(shù)趨勢。本文通過對IBM、谷歌、MIT、Altana AI等的案例分析,提出將人工智能技術(shù)和方法納入軟件供應(yīng)鏈安全管理的頂層設(shè)計、引入現(xiàn)有開源軟件治理和供應(yīng)鏈攻擊防護工具、融入供應(yīng)商管理的全生命周期等建議。

軟件供應(yīng)鏈安全的風(fēng)險分析

軟件供應(yīng)鏈安全事件具有影響范圍廣、攻擊效率高、傳播性和隱蔽性強等特點,近年來成為網(wǎng)絡(luò)空間攻防對抗的焦點。然而,由于依賴關(guān)系復(fù)雜、溯源困難,軟件供應(yīng)鏈安全治理形式愈發(fā)嚴(yán)峻。

1.開源軟件廣泛使用加劇軟件供應(yīng)鏈的脆弱性

開源軟件總體缺陷密度和高危缺陷密度逐年上升。根據(jù)奇安信《2023中國軟件供應(yīng)鏈安全分析報告》對2098個開源軟件項目源代碼的檢測結(jié)果,2022年項目整體缺陷密度為21.06個/千行,高危缺陷密度為1.29個/千行,與2021年相比分別增長了40.8%和35.8%。

開源軟件維護者和使用者對安全問題重視不足。同樣根據(jù)奇安信的檢測結(jié)果,近三年來,不活躍開源軟件項目占比從61.6%上升至72.1%,從未公開披露過漏洞的關(guān)鍵基礎(chǔ)開源軟件占比增長了8.4%,開源漏洞修復(fù)率僅有36.9%且平均修復(fù)時間超過一年。此外,從使用者角度,被檢測的項目中約1/6使用了含超?;蚋呶TS可協(xié)議的開源軟件,個別組織甚至存在20多年前的開源軟件漏洞仍未被修復(fù)的情況。

2.外部不確定性導(dǎo)致供應(yīng)鏈攻擊和斷供風(fēng)險增加

根據(jù)軟件管理工具提供商Sonatype的數(shù)據(jù),近三年來,軟件供應(yīng)鏈攻擊的年均增長率達到742%。Gartner分析指出,到2025年,全球45%的組織都將遭受供應(yīng)鏈攻擊。自微軟2017年提出針對軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊這一概念以來,軟件供應(yīng)鏈攻擊因門檻低、成本低等特點被廣泛使用,又因強隱蔽性和高傳播性的特點產(chǎn)生了極大的危害性,例如始于2019年9月的SolarWinds攻擊,直至2020年12月才被披露;基于開源組件引入的Log4j2遠程命令執(zhí)行漏洞,影響了超過6萬個流行開源軟件以及70%以上的企業(yè)線上業(yè)務(wù)系統(tǒng)。

與此同時,隨著國際政治局勢的日趨復(fù)雜,斷供成為影響軟件供應(yīng)鏈安全的重要因素。俄烏沖突中,西方國家及機構(gòu)對俄發(fā)起嚴(yán)厲的供應(yīng)鏈制裁措施,全面斷供斷服操作系統(tǒng)、數(shù)據(jù)庫和云服務(wù)等商業(yè)軟件及開源項目,嚴(yán)重威脅電信、能源、金融等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域安全。

人工智能賦能軟件供應(yīng)鏈安全的案例分析

1.IBM:基于AI的供應(yīng)鏈整體解決方案

IBM堅持利用人工智能和自動化應(yīng)對不確定性、強化供應(yīng)鏈彈性的發(fā)展思路,推出基于AI的供應(yīng)鏈優(yōu)化和自動化解決方案,有效提升了供應(yīng)鏈彈性和運營效率,在實踐中具備以下三個顯著優(yōu)勢:第一,通過嵌入式AI實現(xiàn)端到端的可見性,提供全球性的供應(yīng)鏈網(wǎng)絡(luò)統(tǒng)一視圖,幫助用戶確定問題優(yōu)先級并快速決策;第二,通過智能化提升多方合作效率,在事件發(fā)生時及時響應(yīng),將處理關(guān)鍵供應(yīng)鏈中斷事件所需時間從18-21天縮短到幾個小時;第三,實施“透明供應(yīng)鏈計劃”,引入基于IBM區(qū)塊鏈構(gòu)建的智能套件,持續(xù)提升供應(yīng)鏈透明度和可追溯性。

2.谷歌:基于生成式AI的開源軟件漏洞查找

谷歌將LLM大語言模型融入到模糊測試工具OSS-Fuzz中,通過自動集成項目代碼信息,成功實現(xiàn)模糊測試的全流程智能化及代碼檢測效率和覆蓋率的有效提升。OSS-Fuzz是谷歌在2016年推出的一個開源項目,在提升軟件安全性和穩(wěn)定性方面作用明顯。然而,該工具的使用需要開發(fā)者預(yù)先建立自身的模糊測試目標(biāo),工作難度較大且耗時較長。在項目中添加生成式人工智能技術(shù)后,實現(xiàn)了通過自然語言輸入自動生成模糊測試目標(biāo),在沒有任何人工干預(yù)的情況下,將代碼覆蓋率從38%提高到了69%。

3.MIT:基于AI的供應(yīng)鏈攻擊風(fēng)險檢測和防御

MIT人工智能團隊利用自研大型圖形模型(LGM)構(gòu)建起用于供應(yīng)鏈優(yōu)化的人工智能應(yīng)用平臺AI Apps,以人工智能驅(qū)動情報分析,有效提升了檢測和抵御攻擊風(fēng)險的能力。該平臺主要具有以下三個特點:第一、利用智能化模型整合組織內(nèi)部信息,提供統(tǒng)一的威脅情報視圖,并通過模擬攻擊場景強化學(xué)習(xí),持續(xù)增強威脅檢測的精確度和響應(yīng)效率;第二、基于對以往攻擊行為的學(xué)習(xí)建立身份管理系統(tǒng),對訪問者強制進行入侵和違規(guī)風(fēng)險分析;第三、引入由專家主導(dǎo)的迭代系統(tǒng)充當(dāng)校準(zhǔn)機制,通過實時的專家意見輸入,不斷進行自我修正和完善。

4.Altana AI:基于AI的供應(yīng)商信任度審查

Altana AI通過對聯(lián)邦學(xué)習(xí)技術(shù)的應(yīng)用,將機器學(xué)習(xí)引入隱私數(shù)據(jù)計算分析中,構(gòu)建起獨特的全球供應(yīng)鏈系統(tǒng)供應(yīng)商分析智能模型,打破傳統(tǒng)供應(yīng)鏈管理范式中的次級供應(yīng)鏈網(wǎng)絡(luò)不透明現(xiàn)象,支持全層級供應(yīng)來源隱患查詢,已在實踐中得到廣泛應(yīng)用。以美國航天行業(yè)為例,Altana AI對該行業(yè)的信任度審查中,定位了幾家信任度存疑的關(guān)鍵供應(yīng)商,包括與臺灣企業(yè)關(guān)系密切的衛(wèi)星通信公司Viasat和在墨西哥建廠的跨國制造商GNK。此外,審查還發(fā)現(xiàn)了幾家受到美國制裁的或與俄羅斯軍工聯(lián)合體有關(guān)的原材料供應(yīng)商,如隸屬于俄羅斯國家航天集團公司的NPK精密儀器公司。

對電信運營商的啟示建議

1.將人工智能納入軟件供應(yīng)鏈安全管理的頂層設(shè)計

將人工智能理念納入軟件供應(yīng)鏈管理的頂層指導(dǎo)意見,制定具有普遍共識的治理框架和指南。首先,建立企業(yè)層面軟件供應(yīng)鏈安全管理的基本原則和規(guī)范標(biāo)準(zhǔn),以制度化形式將人工智能的思路和方法納入其中,為全面提升軟件供應(yīng)鏈安全提供全方位的行動指引。新形勢下的軟件供應(yīng)鏈安全要求必須實現(xiàn)全鏈路全環(huán)節(jié)的動態(tài)監(jiān)控,薄弱環(huán)節(jié)成為安全防護的重中之重。其次,強化軟件供應(yīng)鏈安全管理的組織保障,相關(guān)工作的推進涉及人工智能、網(wǎng)絡(luò)安全以及采購管理等多個主要部門,必須建立健全組織體系,理清各部門間的責(zé)任關(guān)系,暢通溝通渠道,統(tǒng)籌推進機制,壓實責(zé)任鏈條,以智能化戰(zhàn)略引領(lǐng)軟件供應(yīng)鏈安全治理體系和治理能力的全面升級。

2.將人工智能引入現(xiàn)有開源軟件治理和供應(yīng)鏈攻擊防護工具

將人工智能技術(shù)引入現(xiàn)有軟件代碼分析、漏洞檢測及修復(fù)、風(fēng)險分析和預(yù)測等工具中,借助智能化工具重塑現(xiàn)有解決方案,提升軟件供應(yīng)鏈安全保護的效率和效果。首先,加快相關(guān)智能化工具的自研或引進,建立自動化的響應(yīng)和處理機制,通過生產(chǎn)工具的優(yōu)化升級最大限度提升治理能力。例如,在軟件開發(fā)階段,通過智能化的代碼分析迅速識別潛在威脅,防止惡意代碼注入,降低遭受供應(yīng)鏈攻擊的風(fēng)險。在軟件運營階段,基于神經(jīng)網(wǎng)絡(luò)模型等的應(yīng)用提升安全事件響應(yīng)速度,迅速阻斷威脅傳播;基于對以往異常行為的學(xué)習(xí)預(yù)測威脅者的下一步行動并制定針對性抵御策略。其次,利用人工智能工具的數(shù)據(jù)搜集和整合能力優(yōu)勢,理清軟件所采用的所有組件、許可協(xié)議、依賴關(guān)系及層次關(guān)系,構(gòu)建標(biāo)準(zhǔn)化的軟件構(gòu)成圖譜,實現(xiàn)軟件供應(yīng)鏈透明度的有效提升,為軟件供應(yīng)鏈安全提供底層保障。

3.將人工智能融入供應(yīng)商管理的全生命周期

將人工智能思路融入供應(yīng)商資格審查、風(fēng)險識別、防范及處置的各個環(huán)節(jié),持續(xù)提升軟件供應(yīng)鏈安全保障能力。首先,在供應(yīng)商引入階段,強化新增供應(yīng)商的資格審查中智能化技術(shù)的應(yīng)用,確保供應(yīng)鏈生態(tài)系統(tǒng)中的新增合作方經(jīng)過徹底的安全評估,確保供應(yīng)方信息的真實、準(zhǔn)確、完整,防止篡改和泄露。其次,構(gòu)建契合企業(yè)個性化需求的供應(yīng)商信任度分析智能模型,實現(xiàn)供應(yīng)商風(fēng)險的實時監(jiān)控,識別和防范由于供應(yīng)關(guān)系或供應(yīng)活動變化導(dǎo)致的安全風(fēng)險,提升軟件供應(yīng)鏈的可追溯性。最后,做好關(guān)鍵領(lǐng)域供應(yīng)鏈中斷的應(yīng)急備案,在替代方案的選擇中充分發(fā)揮智能化技術(shù)的分析預(yù)測、輔助決策、實時優(yōu)化功能,增強軟件供應(yīng)鏈的韌性和抗風(fēng)險能力。

本文作者

鞏娜鑫

二級分析師

中級經(jīng)濟師,獲得網(wǎng)絡(luò)與信息安全行業(yè)CISP認(rèn)證,主要研究方向為網(wǎng)信安全行業(yè)情報分析。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論