美國陸軍徵求SBOM，以及SBOM安全對軍民兩用工控系統之影響

軟體用料清單（SBOM）起源於美國總統拜登簽署之「行政命令（EO）14028號」，除聯邦政府部門需遵循以外，美國軍方也在行政命令適用範圍內，來強化軍方關鍵設施和機密的駭侵防護；另外軍民兩用的工控系統（ICS）也成為駭客下手目標，駭客也曾成功入侵軍方ICS獲取機敏資訊；有鑑於此，ICS所依存的SBOM安全性，也側面印證了「資安即國安」的重要性，需要民眾、政府、軍方共同重視並鞏固其安全性。

【案例服務說明】

美國陸軍在2022年，因應拜登簽署SBOM相關的行政命令，故依據聯邦政府之需求，公告了一篇「資訊請求書（Request for Information, RFI）」，針對軍用軟體的供應鏈議題表達關切，並藉此將民間軟體開發的SBOM作業模式，導入到軍方的使用情境中，來鞏固軍用軟體的安全性，並及時預防和修補漏洞。

美國陸軍在SBOM的RFI中表達五個重點訴求 (Polit, 2022)：

一、為安全軟體開發流程，以及SBOM的組成要素，選定最有利的合約類型。

二、促成即時、高品質和充足的SBOM組成要素。

三、確保如下種類的軟體風險評估和修補方法，如市售商用軟體（Commercial Off-the-shelf Software, COTS）、市售政府軟體（Governmental Off-the-shelf Software, GOTS）、企業客製化軟體、外包商客製化軟體。

四、針對安全開發軟體流程，應確保採購品項包含需求和責任歸屬。

五、在安全開發供應鏈上，應成功減少辨認和修補風險的時間長度。

然而，在美國陸軍提出的上述SBOM RFI請求到期之前，由民間科技業者組成的「數位創新聯盟（Alliance for Digital Innovation）」致函參眾兩院國防委員會，希望國會議員能重新審視此一提案，並希望將軍方的SBOM RFI，改比照提供給聯邦政府SBOM的版本，迄今該RFI仍暫緩實施。

【應用效益與成果】

今（2023）年一月，資安公司Cyble Research & Intelligence Labs（CRIL）發現駭客宣稱能駭進北非一處軍事基地所採用的民用監視系統，並從駭進去的監視器發掘到軍事基地內部的關鍵情資；此外，駭客也能駭進紅外線熱成像儀、以及利用工控系統的漏洞，除偵測敵方基地的弱點外，也能干擾工控系統運作使其停擺。

CRIL事後分析時指出，駭客利用開源工具和攻擊性腳本，來發掘軍民兩用工控系統的漏洞，加以突破和滲透，並表示軍方除了應做好人員制度面的安全基本功以外，還要做好SBOM清單檢視、軟體供應鏈管理，才能成為堅固的壁壘，因為SBOM發生的缺陷，很容易被駭客從內部攻破。

【FIND觀點】

隨著開源軟體在軍方系統的比重愈來愈吃重、並佔據愈來愈關鍵的地位，加上開源軟體可用於民用和軍用的軟硬體之中，駭客即使用民用等級的攻擊手法，也有機會重創軍用等級的資安防禦；近期隨著台灣國防工業打入美國國防工業的供應鏈，由美國主導的SBOM更應受到國內相關產業所重視，才能讓台灣民間業者和國防工業，在美軍和聯邦政府SBOM供應鏈上站穩根基、發揮關鍵價值、保障關鍵國防資產。

封面圖片來源: 123RF

參考來源：

參考資料

1. Krooswyk, J. (2023, April 11). The Army Wants SBOMs—and So Should the Other Services. Retrieved from Defense One: https://www.defenseone.com/ideas/2023/04/army-wants-sbomsand-so-should-other-services/385044/ 
   
   
2. Pandagle, V. (2023, January 30). Critical Security Lapse, as Hackers Tap Military ICS Infrastructure. Retrieved from The Cyber Express: https://thecyberexpress.com/security-lapse-military-ics-infrastructure/ 
   
   
3. Polit, K. (2022, November 1). Army Seeks Feedback on SBOMs to Ensure Software Security. Retrieved from MeriTalk: https://www.meritalk.com/articles/army-seeks-feedback-on-sboms-to-ensure-software-security/