2024人工智能在保护美国国防工业基础软件供应链中的应用（英）

SOAR 2024年1月最新报告（SOAR） 人工智能(AI)在防御产业基地(DIB)软件供应链(SSCS)保护中的应用 ByAbdulRahman 合同编号:FA8075-21-D-0001发布人:CSIAC CSIAC-BCO-2023-499 分销声明A 批准公开发行：无限发行。 最新报告 SOAR 2024年1月最新报告（SOAR） 人工智能(AI)在防御产业基地(DIB)软件供应链(SSCS)保护中的应用 ABDULRAHMAN 关于CSIAC 最新报告 网络安全与信息系统信息分析中心(CSIAC) 美国国防部（DoD）IAC由国防技术信息中心（DTIC ）赞助。CSIAC由SURVICEEngineeringCompany根据合同FA8075-21-D-0001运营，是转变DoDIAC计划的三个下一代IAC之一：CSIAC，国防系统信息分析中心（DSIAC）和国土国防与安全信息 分析中心（HDIAC）。 CSIAC是美国在四个技术重点领域提供全球科学和技术信息的国家信息交换所：网络安全； 知识管理和信息共享；建模和仿真；和软件数据 和分析。因此，CSIAC收集，分析，综合和传播每个重点领域的相关技术信息和数据。这些努力促进了网络安全和信息系统社区的科学家和工程师之间的合作，同时通过充分利用该社区各自的知识库来提高生产率。CSIAC还使用获得的信息来生成科学和技术产品，包括数据库，技术评估，培训材料和各种技术报告。 最先进的报告（SOAR）是CSIAC的信息产品之一，提供对当前技术的深入分析，评估和综合可用的最新技术信息，并对与CSIAC技术重点领域相关的技术进行全面评估。通过与更大的网络安全和信息系统社区的合作，建立了特定的主题领域 ，并与DTIC进行了审查，以确保为战士需求做出增值贡献。 CSIAC的邮寄地址: CSIAC 4695MillenniumDrive Belcamp,MD21017-1505 电话：（443）360-4600 报告文档页 表格批准的OMB编号:0704-0188 这种信息收集的公共报告负担估计平均为每次答复1小时，包括审查指示、搜索现有数据源、收集和维护所需数据以及完成和审查信息收集的时间。向国防部，华盛顿总部服务部，信息运营和报告局（0704-0188），杰斐逊·戴维斯高速公路1215号，套房1204，弗吉尼亚州阿灵顿，22202-4302发送有关此负担估算或此信息收集的任何其他方面的评论，包括减轻负担的建议。受访者应了解，尽管有任何其他法律规定，但如果未显示当前有效的OMB控制号码，则任何人均不得因不遵守信息收集而受到任何处罚。请不要将您的表格返回到上面的地址。 1.报告日期2024年1月 2.报告类型最新报告 3.涵盖的日期 4.标题和子标题人工智能（AI）在国防工业基地（DIB）中保护软件供应链（SSC）的应用 5a.合同编号FA8075-21-D-00015b.GRANTNUMBER5c.程序元件号 6.AUTHOR(S)阿卜杜勒·拉赫曼 5d.项目编号5e.任务号5f.工作单位编号 7.执行组织名称（S）和地址（ES）网络安全与信息系统信息分析中心(CSIAC)SURVICEEngineeringCompany4695MillenniumDriveBelcamp,MD21017-1505 8.执行组织报告编号CSIAC-BCO-2023-499 9.赞助/监控机构名称（S）和地址（ES）国防技术信息中心（DTIC）8725JohnJ.Kingman路贝尔沃堡,VA22060 10.赞助商/监控器的缩写（S）DTIC11.发起人/监控人报告编号(S) 12.分销/可用性声明发行声明A.批准公开发行：无限发行。13.补充说明14.摘要人工智能（AI）在国防工业基地（DIB）内的软件供应链（SSC）中的应用有望改善网络安全状况，确保更严格地遵守美国国家标准与技术研究所（NIST）的控制，并提高用户对部分基于外部存储库的模块和库构建的软件的信心。人工智能可以为分析师提供建议的扫描频率，补充基础设施的威胁评估，自动化威胁情报处理，并加快网络安全风险管理。此外,DIB中的SSC的安全性可以受益于AI作为用于传达妥协概率的推荐引擎的类似使用。ForU.S.国防部网络安全分析师。人工智能驱动的自动化可以深入了解部署在军事和政府网络上的软件功能与NIST合规标准的一致性。在系统安全计划中反映最新漏洞集的能力可以大大改进依赖手动内部扫描的现有做法。人工智能可以使人工在环工作流程优化已处理威胁情报的集成，并更好地识别每个软件和/或操作系统的漏洞。本报告介绍并讨论了AI如何保护专门为DIB生态系统构建的SSC。15.主题条款网络安全、网络攻击、软件供应链(SSC)、代码库、软件漏洞、网络安全框架、软件材料清单、人工智能、机器学习、自动化、渗透监控、国防工业基础、承包商软件、软件构建安全、第三方供应商安全16.安全分类：U 17.LIMITATIONOFABSTRACTUU 18.页数48 19a.责任人姓名文森特“泰德”威尔士 a.REPORT未分类 b.摘要未分类 c.此页未分类 19b.电话号码(包括区号)443-360-4600 标准表格298(Rev.8/98) 由ANSIStd.Z39.18规定 在封面上： 最新报告 (来源:Shutterstock&freepik) 最新报告 THEAUTHOR ABDULRAHMAN,博士 Dr.AbdlRahma是云分析和架构的设计和实施方面的专家，为商业和政府客户的网络运营提供态势感知工具。他拥有超过25年的信息技术经验，包括软件开发，网络工程，系统设计，系统架构，安全性和网络管理。他发表了广泛的物理 ，数学和信息技术主题。Dr.拉赫曼持有医生。数学和物理学哲学学位。 最新报告 摘要 人工智能(AI)在软件供应链(SSC)中的应用 国防工业基地（DIB）有望改善网络安全状况，确保更严格地遵守国家标准与技术研究所（NIST）的控制，并提高用户对部分基于外部存储库的模块和库构建的软件的信心 oAI可以为分析师提供建议的（重新）扫描频率，补充威胁评估 基础设施，自动化威胁情报处理，并加快网络安全风险管理 。此外,DIB中的SSC的安全性可以受益于AI作为用于传达妥协概率的推荐引擎的类似使用。ForU.S.国防部网络安全分析师表示，人工智能驱动的自动化可以深入了解部署在军事和政府网络上的软件功能如何符合NIST合规标准。在系统安全计划中反映最新漏洞集的能力可以大大改进依赖手动内部扫描的现有做法。 AI可以启用人工在环工作流程，以优化已处理的威胁情报的集成，并更好地识别每个软件和/或操作系统的漏洞。本报告介绍并讨论了AI如何保护专门为DIB生态系统构建的SSC。 最新报告 ACKNOWLEDGMENTS 作者要感谢网络安全与信息系统信息分析中心和SURVICEEngineeringCompany的工作人员对本报告的指导和审查。 执行摘要 最新报告 管理美国内部复杂多样的供应链S.政府严重依赖广泛而多样的软件组件供应商网络。这种依赖性在确保这些软件组件的安全性方面引入了一系列挑战。为了有效解决这些软件供应链（SSC）安全挑战，必须结合技术解决方案，强大的安全实践，利益相关者之间的合作以及遵守行业标准。 确定SSC安全性的优先级对于组织减轻风险和防范潜在漏洞和攻击至关重要。不幸的是， 联邦实体通常缺乏对其SSC的完整可见性，包括有关数据包和 前体组件。缺乏可见性使得识别和缓解风险和漏洞具有挑战性。此外，对第三方供应商的依赖引入了额外的相关风险提供的软件组件的安全实践和完整性。 为了确保SSC的安全，实施针对攻击的预防性策略至关重要。这可以通过建立安全基线并参与稳健和连续的行为监控实践来实现。最复杂的 这些基于行为的方法涉及利用人工智能（AI）模型来预测，推断，预测，关联和查明可能的弱点，潜在的攻击向量以及SSC嵌入式软件中的方法途径。 AI驱动的系统可以实时持续监控SSC，识别可疑活动并标记可能允许未经授权访问的行为。 AI模型特别适用于常规SSC安全审计和评估的自动化，旨在检测潜在的漏洞、风险和安全控制差距。 这种主动，实时的方法使组织能够迅速解决潜在的漏洞和漏洞，如果确实发生渗透，则可以立即收到警报，以促进对安全事件的快速反应，从而最大程度地减少损害。此外，人工智能与安全编码工作流的集成可以简化所需合规性实践的自动完成和更新，从而提高整体代码质量、减少缺陷和效率。 最新报告 本页面故意留空 人工智能（AI）在国防工业基地（DIB）中保护软件供应链（SSC）的应用 发行声明A.批准公开发行：无限发行。 CONTENTS 关于CSIACIV 作者六 摘要VII 确认VIII 执行摘要IX SECTION1 1.1 1.2 1.3 1.4 SECTION2 2.1 2.2 2.3 2.4 SECTION3 3.1 3.2 3.3 3.3.1 3.3.2 3.3.3 SECTION4 4.1 4.2 4.3 INTRODUCTION1-1 定义SSC攻击1-1SSC和国防工业基地1- 3固定SSC1- 4报告概述1-4 数据管理策略2-1 开源软件包2-1攻击面管理和威胁建模2- 2应用代码安全2- 5NIST网络安全框架2-5 特征发展3-1 安全软件更新：开发、安全和运营(DevSecOps)；用于互联网技术运营的人工智能(AIOps)；以及机器 学习操作（MLOps）3-1推压保护3- 2其他SSC框架3- 2一般框架3- 3SBOM和管道材料清单(PBOM)3- 3软件工件的供应链级别(SLSA)3- AI的应用4-1 区块链与SSC框架集成的AI模型4-1基于AI的软件漏洞分析与检测4- 3AI增强编码可靠性4-4 最新报告 内容,continued 结论5-1 参考文献6-1 图1-1 图1-2 图2-1 图2-2 图2-3 图3-1 图3-2 图4-1 Figures 企业对SSC下降的可见性，理解和控制 随着更广泛的发展社区的参与1-2 整个供应链的网络安全风险1-5专注于单链路的SSC；全系统安全性取决于上游/下游透明度、链路有效性和之间的逻辑 分离 组件和链接图 2-1示例攻击面的数据流图2-3成功的网络安全计划的六大主要支柱，反映在 NISTCSF2.0版(草稿)2-6 为出处构建平台工作流，作为对已创建工件的证明 支持SSC安全3- 4针对SSC威胁和缓解的SLSA方法3- 与AI（FL）和框架集成的区块链的名义架构；框架为要训练的分布式AI（FL）提供工件级对齐在所有位置4-2 最新报告 表2-1 TABLES NIST指导下的组织供应链风险管理 NISTCSF1.1版的“识别”功能2-7 01 SECTION INTRODUCTION 最新报告：第1节 曾经被美国军方仅在其最高科技的系统中使用过，软件现在在整个国防机构中无处不在。正如国防创新委员会在2019年指出的那样，软件驱动着美国国防部（DoD）“运营和使用”的“几乎所有东西”，从离散 武器系统到为指挥官提供指挥、控制和通信能力的总体网络[1]。同时保护国防部系统免受传统的基于网络的攻击将仍然是一个持久的挑战，威胁到 开发和生产关键产品的软件供应链(SSC)的安全性 作为渗透和损害信息系统的首选威胁载体，最近已成为突出 。据估计，在2019年至2023年之间，针对美国商业和公共实体的SSC攻击数量增加了700％以上[2]。SSC攻击已成为如此严重的威胁，以至于SSC事件的实时跟踪已成为利基 网络安全解决方案市场的小节[3]。 1.1定义SSC攻击 顾名思义，SSC既指跨多方开发基于代码的软件包的过程，也指将链接开发活动转化为可用软件产品的结果。SSC包含软件模块，库，注册表和组件，以及在整个过程中可能使用的所