CEO視角－以攻擊者視角 改變供應鏈安全策略

隨着企業從第三方採購的軟體、硬體、服務增多，攻擊者擁有更多有機可乘的目標。圖／美聯社

在全球產業鏈分工合作日益密切的時代，供應鏈安全已成爲企業須重視的議題。SecurityScorecard最新發布的《2024全球第三方網路安全漏洞報告》，揭示了供應鏈安全的嚴峻現況，高達75％的第三方資安事件針對軟體和技術供應鏈，而醫療保健和金融服務業更是分別佔據總事件的35％和16％。這些數據不僅敲響供應鏈安全的警鐘，更凸顯企業必須將其納入整體風險考量，以保障企業的穩定經營和發展。

隨着企業從第三方採購的軟體、硬體、服務增多，攻擊者擁有更多有機可乘的目標。數據顯示，從VPN、NAS、無線AP等IT部門管理的資產，到E-learning系統、ERP企業資源規劃等，皆屬於潛在高風險的入侵節點。而在真實駭客攻擊行動中，攻擊者可能借由滲透軟體供應鏈、或利用企業對開源產品的依賴性，影響開發與營運環境；在硬體供應鏈中，惡意韌體與硬體後門則可能在製造或運輸過程中被植入，影響設備安全。此外，第三方服務供應鏈，如雲端服務與API供應商，也成爲駭客入侵企業的關鍵點。而針對人員的供應鏈攻擊，恐透過社交工程與內部威脅，直接衝擊企業防線。

面對前述衆多的供應鏈安全議題，企業應如何強化安全？首先，企業應對自身資產進行全面盤點，掌握與核心資產高度關聯的第三方設備或軟體，並制定完善的應變計劃和嚴格的存取來源管制措施。其次，在供應鏈管理方面，企業應制定嚴格的廠商查覈政策，包括簽約採購系統或設備前，確認供應商是否曾經出現大量資安漏洞、平均漏洞修補時間，以及是否定期進行弱點掃描與滲透測試。

在簽約採購系統或設備後，企業應制訂並落實內部管理政策，包括修改或移除預設帳號密碼、撤換預設金鑰，並確保供應商在產品出現新漏洞時主動通報及及時修補。企業也應在系統更換版本或廠商時，落實系統下線流程，避免老舊系統殘留於內網，以確保供應商符合資安要求。最後，透過紅隊演練或兵棋推演等方式，找出現有規劃與實際執行的落差，驗證防禦機制的有效性，持續強化企業體質。

當今已不再是能獨善其身的年代，企業不僅需做好自身防護及漏洞的修補，亦須關注最新資安威脅情勢，及供應商所提供設備的最新的漏洞公告，與供應鏈共同建構安全生態，帶動資安體質的成長與進化。