物盾安全汤晓冬：工业互联网企业如何应对高发的供应链安全风险？

编者按：

物盾安全是一家专注于物联网安全的产品厂商，其核心产品“物安盾”在能源、制造、交通等多个领域落地，为这些行业企业提供覆盖物联网云、管、边、端的安全整体解决方案。“物安盾”集成了腾讯安全制品扫描（BSCA）产品，进一步丰富了其在软件成分分析SCA层面的技术能力，物盾作为物联网行业的“行家”，腾讯安全作为制品扫描的“专家”，“专家”+“行家”一起为工业物联网企业的软件供应链安全提供更完善的解决方案。

供应链攻击持续高发，作为关键基础设施的物联网、工业互联网行业，由于拥有海量设备、复杂的产业链条，容易成为供应链攻击的对象，尤其需要重点防护。本期产业安全专家谈，我们邀请到了物盾安全CEO汤晓冬（以下简称汤晓冬），解答物联网软件供应链安全应对之道。

腾讯安全：工业物联网的安全产品和服务有哪些门槛？

汤晓冬：物联网现在在整个数字化转型当中发挥了一个非常关键的作用。在例如能源互联网、大交通、先进制造这些领域当中，工业物联网承载了非常关键的一个角色。

工业物联网的安全和传统的安全有一个比较大的差异，工业物联网最大的变化是促进了OT和IT的融合，那在这个当中做安全的话，对业务的门槛是非常高的。能源电力、新能源汽车、智慧工厂、智慧水利等，那这些“关基”领域，它拥有海量异构的物联终端，同时有一个比较复杂的云边、边边、边端的交互，并且这些行业对新科技的应用也比较快，而且会连接着带动它的上下游跟着向数字化转型。这些特征其实对整个安全建设是非常具有挑战的，从而也衍生出来比较大的安全刚需，这是物盾的一个商机，同时也是物盾的一个责任之所在。

腾讯安全：是否可以从物盾典型的客户来进行举例说明，一家物联网企业如果想要建设好自身的安全存在哪些实际困难？

汤晓冬：以电力行业为例，因为电力物联网无论是从规模、智能化程度，还是所承载的业务的关键性上都非常具有代表性。它的安全建设主要的困难有这么几点：

第一是这个海量异构的设备管理起来比较难，企业在生产过程当接入了大量的物联终端，终端、网络、人员三者之间的安全管理的职责、归属等等都比较复杂，这个当中的可视化的要求是比较高的，这也是产生了物联网安全管理上的需求；

第二，设备终端本体的安全，其实情况现在是不乐观的。随着业务的发展，大量的终端接入到网络当中来，但是他们的设备供应商在设计终端时出于成本控制和市场竞争力等原因（没有考虑安全的问题），很多设备的内生安全是缺失的，系统上线以后安全漏洞、风险不断涌现；

第三点是缺乏维系的安全支持。从供应链安全的角度来说，我们发现大部分的设备只是上线前做了（安全检测），但是在整个生命周期里面呢，对于供应链的比如说软件风险、固件的持续监控、成分分析等，这个是缺失的。那么客户和设备厂家的这种缺失导致了这个可持续的安全性支持方面的一个困难。

腾讯安全：近年来供应链攻击事件频发，主要是哪些原因造成的？

汤晓冬：首先，在全球化的生产和供应链的大环境驱动下，现代供应链通常会涉及多个国家和地区的组织不同的开源组件，这就使得供应链变得非常复杂而且脆弱，攻击者可以利用其中的一个弱点或者漏洞，达到渗透到系统内部获得机密或者植入恶意代码的一个目的。

第二是基于软件供应链的依赖性，通过依赖于各种第三方的这个库、框架啊，攻击者可以通过攻击软件供应链当中的一个组件来渗透到整个系统。

第三个是员工的安全意识不足，这个包括使用单位，也包括供应链上的供应商，攻击者可以利用社会工程学的一些手段去欺骗员工，从而渗透到供应链当中或者直接渗透到这个物联网的网络当中来。

腾讯安全：对于物联网企业来说，供应链安全这个挑战是否更加严峻？

汤晓冬：物联网设备在设计之初的时候，通常无法直接升级或者更新组件，至少大部分工业物联网目前是处于这个状态，这意味着任何已知的漏洞可能会一直存在，并得不到修复，很容易成为攻击的目标，这一点和云、办公场景其实是一个比较大的差别，因为这个升级的成本非常的高。

其次，这些设备又没有用户交互界面，所以很难进行现场的设置配置来避规一些安全风险，并且多个供应商提供的组件共同组成的一个复杂的系统，每个供应商都可能在供应链当中存在漏洞或者问题，使得攻击的概率放大。

我们认为物联网企业应该加强的是供应链安全问题重视程度，并且实实在在采取相应的措施来保证供应链安全。

腾讯安全：物联网企业应该如何应对越来越高发的供应链安全问题？

汤晓冬：主要是基于以下的五点：

第一点要建立安全的规范制度，对供应链当中的所有供应商、合作伙伴进行安全性的审计，包括评估它的安全性能、安全开发流程、安全意识、培训等等，以确保它提供的物联网产品和服务可以达到企业的安全要求；

第二是加强监测体系。物联网企业应该有自己的一套有效的安全监测体系，包括实时监测系统中的安全的事件、数据的流、访问控制以及应用程序安全等各个方面，以及供应商合作伙伴和第三方服务供应商的安全状况；

第三点是加强数据安全的技术，物联网企业首先应该采用的是安全的数据存储和传输技术，包括加密、身份验证、权限控制、审计等等各方面，确保数据的机密性、完整性和可用性，并采取备份恢复等措施来应对数据丢失和恢复方面的风险。

第四点是提高上下游之间的安全意识。物联网企业可能对员工也好，对供应商也好，都要有安全培训去提高他们的安全意识，加强对供应链安全这个问题的重视和认知程度，帮助他们更好地识别和应对安全威胁。

最后一点就是构建风险管理体系。物联网企业应该建立一个有效的风险管理体系，包括制定风险管理计划、应急响应计划等等，以及与供应商和合作伙伴一起进行风险的共担和风险的分散。

腾讯安全：有哪些技术手段可以更好地解决软件供应链安全问题？

汤晓冬：这个问题我们是从几个方面来理解，首先是物联网的基础设施和应用程序的安全性的管理，这个要先做到位，这就意味着我们要建立和实施一个严格的包括访问控制、加密通讯、安全认证和授权、漏洞管理等等基础性工作，我们要先把它做扎实，确保供应链当中的基础设施和应用程序的安全性，这是第一点。

那第二点就是做好检测和分析的工作，这个可以综合利用包括威胁情报、漏洞数据库、恶意代码库等等多种数据源对软件供应链中的风险来进行一个监测和分析，并且这个监测和分析不是一次性的，而是持续的、在线的、实时的，去确保整个物联网生命周期当中一直有这样一个安全的检测和分析。

第三点就是供应链的可信度验证，这个包括通过建立可信的供应链管理体系，对供应商的安全及性能进行评估，建立一个安全风险评估和管理机制，确保供应链当中的所有环节都符合安全的标准和要求。

第四点就是自主研发，我们应该鼓励或者说有意识的去促进物联网企业通过自主研发一些关键的技术和软件降低对第三方软件的依赖，从而减少供应链安全的风险。

腾讯安全：物盾选择是哪一种路线，为什么要选择这种路线，你们是如何和腾讯安全展开合作的？

汤晓冬：物盾的核心产品“物安盾”是一个物联网的平台级的安全产品。我们最核心的能力是利用我们在端点上的超级探针构建了一个安全的基础设施层，利用这个基础设施，我们有两个能力：第一个是对端点的检测和分析能力；第二我们通过云边互动的网络编排能力，在这个基础设施之上我们可以去应用前面讲到的一些比如说物联网安全性管理、对终端的检测和分析以及对物联网整个供应链当中不同组件的可信度验证，这就是说我们把基础设施搭好，那么上面就可以嫁接不同的安全能力了。比如说我们和腾讯安全在物联网这一块展开合作，充分发挥我们在基础设施这个层面上的能力，和腾讯的安全产品结合在一起的话，最终为物联网安全提供了一个落地可行的方案，解决供应链安全的一些根本性问题。

客户要的不是一个单点也不是一个工具，而是一个体系化的解决方案。那么我们通过对物联网安全基础设施的改善，在上面我们再嫁接上比如说成分分析、漏洞检测等等在内的一些综合性的方案，帮客户解决安全问题。

物盾和腾讯安全，我们都具备在各自领域内的技术和安全的优势，大家通过优势互补，实现了“三赢”：客户赢、物盾赢、腾讯安全赢，最终其实是帮助我们在工业场景下有效地降低安全风险，促进数字化转型。