GE MARK V DS200SLCCG1ACC DS215SLCCG1AZZ01A

GE MARK V DS200SLCCG1ACC DS215SLCCG1AZZ01A

软件供应商在推销中依靠其产品的专有性质来说服客户，他们比几乎任何人都可以修改的开源软件更值得信赖。原始设备制造商通过购买安全软件公司的系统和产品来加强这种做法。平均而言，网络安全预算少得惊人，据报道净收入的0.2%至0.9%之间。更少的一部分用于集成电路。这一现实，加上全天候安全可靠运营的重要性，为选择正确的安全工具创造了一个残酷的环境。

开源程序是免费的，本质上是众包的，因此也有可能被调试而不是被操纵。与此同时，任何软件的效用仅限于人类知道如何从其产品中提取价值。为了获得充分的效用，最终用户通常会提供数据，有时是机密数据，这些数据必须是购买前风险计算的一部分。最终用户对软件中专有代码的可见性有限，这些代码依赖于对其数据的访问和交换。托管服务也是如此。安全团队可能决定使用开源工具进行网络监控，但购买第三方软件即服务解决方案(如网络安全管理软件产品)进行管理和协调。当两种选择都存在独特和不可预见的风险时，越来越难以权衡任何一方的成本和收益。

GE MARK V DS200SLCCG1ACC DS215SLCCG1AZZ01A

网络安全管理软件产品袭击之所以新奇，有两个主要原因。首先，它在几个月内没有被主要安全公司注意到，其次，它的精确目标使作者可以同时影响许多组织。这可能会成为2020年最大的网络安全事件，但供应链攻击将会持续下去。正如所证明的那样，设计恶意软件来伪装成合法流量可能会成为一种规则而不是一种例外方法涉及使用自动化工具将合法包从公共代码源发送到内部或私有公司应用程序。

集成电路供应链是通信网络的又一个压力来源，通信网络已经缺乏形成深度防御网络安全计划所需的可见性。许多静态OT数据协议和流程存在于电子表格中，运行在工业机器上的软件版本已有10到30多年的历史。单一环境中的ICS硬件和软件来自数十家不同的供应商。在交换机、防火墙、网关和端口镜像设备之间，网络流量可能被分段，但最近的事件揭示了OT设备和供应商提供的系统和子系统上的未知互联网连接。为了确保软件的完整性，需要软件材料清单在预防和诚信方面大有可为。不幸的是，对IC进行编目以追溯供应链元数据和出处是一项昂贵、耗时且艰巨的任务。