能源部深度评估：网络安全与数字零部件供应链

点击下方小卡片关注情报分析师

2022年2月24日美国能源部发布《网络安全与数字零部件供应链深度评估》。完整评估高达3万多字。

2021年美国拜登总统发布了关于美国供应链的第14017号行政命令，指示能源部长提交能源部门工业基地的供应链战略概述报告（由能源部长确定）。美国能源部（DOE）将能源部门工业基地（ESIB）定义为能源部门和相关供应链，包括直接或间接参与能源部门的所有行业/公司和利益相关者。

能源部门工业基础涉及一个复杂的行业和利益相关者网络，包括采掘业，制造业，能源转换和交付行业，报废和废物管理行业以及服务行业，包括数字商品和服务的提供者。

随着能源行业变得更加全球化，越来越复杂，数字化甚至虚拟化，其能源系统中数字组件（软件，虚拟平台和服务以及数据）的供应链风险已经发展和扩大。美国能源部门系统中的所有数字组件都容易受到攻击，并可能受到各种威胁，漏洞和影响引起的网络供应链风险的影响。

这包括ESIB内所有系统中的数字组件，即由不同能源子行业（例如，电力，石油和天然气以及可再生能源）的资产所有者运营的系统，以及由全球工业综合体运营的系统，该系统具有进行研发和设计，生产，运营和维护能源部门系统，子系统，组件的能力。或满足美国能源要求的部件。

近年来，随着日益复杂的网络对手瞄准利用这些数字资产中的漏洞，包括软件、虚拟平台和服务以及数据在内的数字组件的供应链风险不断增加。能源部门系统中数字组件的供应链风险将继续发展，并且随着这些系统日益互联、数字化和远程操作而增加。

美国所有类型的能源部门系统中的所有数字组件都容易受到攻击，并可能受到各种威胁，漏洞和影响引起的网络供应链风险的影响。这包括美国能源部门工业基地（ESIB）内的所有系统，即由不同能源子部门（例如电力，石油和天然气以及可再生能源）的资产所有者运营的系统，以及由全球工业综合体运营的系统，这些系统具有进行研发和设计，生产，运营和维护能源部门系统的能力， 满足美国能源要求的子系统、组件或部件。

能源部门系统中的网络组件来自全球日益分散和动态的数字供应链。IT和OT系统软件在国外越来越发达，那里有熟练的劳动力资源，有互联网连接，工资较低是很常见的。网络供应链风险源于与依赖低成本外国软件供应商相关的几个条件，这些软件可能由外国对手拥有或控制或受其管辖或指示的人设计，开发，制造，维护或提供。

在这些情况下，软件和固件可以由不受信任的个人开发，他们可能会插入由于这些系统的大小和复杂性而难以检测的恶意代码。此外，软件，固件和数据集可以在敌对国家/地区进行开发，这些国家/地区在其领土上无处不在地收集所有数字信息，这为插入恶意代码或以其他方式干扰在其境内开发的软件或损害数据集的完整性创造了机会。

同样，托管在某些敌对国家/地区的数据中心的虚拟平台和服务也会受到相同类型的收集和干扰。SolarWinds Orion平台的妥协是最近最严重的例子，它表明任何软件维护供应链都容易受到战略性，资源充足的民族国家运营的操纵。

一个相对较新的研究领域，对抗性人工智能，专注于如何通过干扰他们的学习过程或决策来破坏，混淆和操纵人工智能模型。有许多类型的攻击利用AI的学习和功能，但与数据供应链特别相关的攻击被称为数据中毒。

数据中毒或模型中毒涉及破坏训练中使用的数据集的完整性，以影响AI模型正确执行的能力（即做出正确的预测）。通过插入巧妙操纵的数据，研究人员已经证明了产生不正确和不准确结果的能力。

这些操纵的结果很难检测，并且在模型训练的早期阶段引入时具有意想不到的持久性，即使使用未更改的数据集进行后续几轮训练也是如此。为了使数据中毒成功，攻击者旨在访问模型的训练数据，并在该训练数据供应链的某个位置插入专门设计用于影响结果的恶意内容。

完整《能源部网络安全与数字零部件供应链深度评估》中英已上传至情报学院知识星球，长按识别下方二维码加入知识星球APP下载