软件供应链安全应敲响警钟：从CrowdStrike搞蓝了Windows所思

昨天刚刚写完对 GB/T 43698-2024 《网络安全技术 软件供应链安全要求》[1] 的解读，然后就是铺天盖地的 Windows 蓝屏导致外国大量关键基础设施停摆的新闻，国内也有企业被波及。

罪魁祸首居然是这些 Windows 上安装的 CrowdStrike 安全软件。

在笔者观点，这妥妥的就是一次软件供应链安全事件。

CrowdStrike 发了个有缺陷的补丁，把 Windows 给干蓝屏了。表面上，CrowdStrike 是主要责任。

但是按软件供应链安全管理的要求，这些蓝屏的 Windows 所属企业（软件需方）的责任实际是比作为软件供方的 CrowdStrike 要大。

在 GB/T 43698-2024 标准的 6.3 软件供应链安全风险评估，即软件供应链安全风险评估对组织的要求，第a)项指出：

注：GB/T 36637-2018 [2]

就这一项就已经明确了，软件需方也即软件的用户，不能盲目直接采信软件供应商提供的软件，必须先进行风险评估的原则性要求。

又如在 GB/T 43698-2024 标准的 7.2.4 软件运维，即软件运维对需方要求，第d)项指出：

很显然，这次蓝屏的企业组织都没有对 CrowdStrike 的补丁进行 CIA 三性检测分析，更没有制定切实的业务连续性和灾难恢复计划，及时恢复运行。

虽然外国的企业不需要遵循中国的标准要求，但国际标准 ISO/IEC 27001:2022 [3] 里面，也有明确的 Patch Management Policy，对补丁要 identify, prioritise, test, deploy and monitor 的。

更不用说业务连续性计划（BCP）和灾难恢复计划（DRP）这两个是属于IT治理的基本要求。

所以，如果这些企业组织还声称自己严格对标执行 ISO 27001，COBIT[4]，ITIL[5] 什么的，可信性真是要打个大折扣。

在更为读者所熟知的等级保护标准 GB/T 20269-2006 《信息安全技术 信息系统安全管理要求》[6] 里面就已经明确地有补丁检测的要求，位于第5章，5.5.6.3 条，安全机制整合要求：

最后提醒各位读者，可以看看自己所在企业组织的网络安全管理制度里面有没有明确补丁管理的要求：

1、需要先进行验证通过然后才能分发部署到生产环境？

2、操作规程有没有定义补丁验证的规范过程？

3、以及有没有对补丁的验证和分发部署保留操作记录？

4、应用补丁前有无先进行备份？

5、是否只考虑了操作系统补丁，没有同时兼顾其它类别软件的补丁？

6、网络安全审计管理员有无定期审计操作记录？

最后：是否没有这些制度规程和记录，都照样能通过等保测评？

参考引用：

[1] GB/T 43698-2024 《网络安全技术 软件供应链安全要求》

https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=94FEB278E715BD48566C48804F1A56EC

[2] GB/T 36637-2018 《信息安全技术 ICT供应链安全风险管理指南》

https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=8C81D84FB9FF253645FEE8AE17EC0F53

[3] ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements

https://www.iso.org/standard/27001

[4] COBIT® 2019 Framework (Control Objectives For Information and Related Technology)

https://www.isaca.org/resources/cobit

[5] ITIL 4 (IT Infrastructure Library)

https://www.axelos.com/certifications/itil-service-management/what-is-itil/

[6] GB/T 20269-2006 《信息安全技术 信息系统安全管理要求》

https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=797127310413D5E64517E951AA2CFCDF

本站微信订阅号：

本页网址二维码：