top of page
作家相片Ricky Chen / SOC資安工程師

小心火燒連環船,供應鏈安全成為現代資安大趨勢

在三國演義中有一段極為精彩的章節就是赤壁之戰的「火燒連環船」,曹操中計而將每艘船之間環環相扣,雖然對於大軍之間的供應上獲得通暢,但是在遭受火燒攻擊時就顯露出連環船的風險,當其中一環成為突破口的情況,也會因為彼此之間通暢的供應管道而造成大災難。在現今的環境中,供應鏈安全也正面臨相同的資安風險趨勢。


根據CIO Taiwan的報導指出:供應鏈攻擊(Supply Chain Attack)的關注度正變得越來越普遍,以至於國際研究組織Gartner 將供應鏈攻擊列為2022年的第二大安全威脅,並預測到2025年時全球有45%的組織將經歷一次或多次的供應鏈攻擊,而82%的CIO資訊長認為其企業環境很容易受到這類威脅攻擊。為何供應鏈的安全會受到大量攻擊威脅?以及如何防範供應鏈攻擊的風險?本篇將進行探討並提供一些常見的攻擊類型和攻擊目標,以及要建立一個強大的供應鏈可以做的準備。


為什麼供應鏈會遭到攻擊

在2020及2021時,因為SolarWinds及Apache Log4j 這2起的漏洞問題所引發的重大資安事件效應,令全球各界對於供應鏈安全的威脅性感到驚訝與恐懼。隨著供應鏈全球化程度提升與數位化轉型,企業之間的合作會越來越複雜,不管產品價值高低,都需要透過供應鏈來完成,在過程中會牽扯到大量的數據交換,當供應商與合作夥伴沒有做好一些防禦措施,就會導致漏洞的出現,駭客就可以透過這些漏洞進行攻擊來影響整個供應鏈的運作。


常見的供應鏈資安攻擊類型

  1. 惡意軟件注入:攻擊者可能會試圖在供應鏈中的軟件或固件中注入惡意代碼,以便在最終用戶的設備上執行惡意操作。

  2. 硬體攻擊:攻擊者可能會試圖在硬體設備的製造或分發過程中植入惡意硬件或硬件後門。

  3. 社交工程攻擊:攻擊者可能會試圖通過欺騙、冒充或社交工程手法讓供應鏈參與者提供敏感信息或執行惡意操作。

  4. 製造商或供應商被入侵:透過入侵製造商或供應商來獲取敏感訊息或惡意操作。

供應鏈攻擊目標

只要你是供應鏈中的參與者,都有可能成為被攻擊的目標,一些產業的特性會導致他們更容易被當成目標,以下是常被攻擊的產業:

  1. 高科技與IT產業:高科技與IT產業會被視為高價值的目標,通常需要使用大量的硬體與軟件組成,涉及到大量的供應鏈合作夥伴,攻擊者就能夠從中找出漏洞進行滲透。許多高科技公司依賴於雲服務和外包供應商來提供關鍵服務和基礎設施。攻擊者可能試圖入侵這些供應商,以影響高科技公司的運營。

  2. 汽車業:除了與高科技與IT產業相似以外,也可能在汽車運輸和物流過程遭到攻擊,汽車越來越依賴網路連接和自動化技術,攻擊者可能會試圖入侵車子的網路或干擾車輛,使得汽車更容易受到網路攻擊。

  3. 零售與電子商務:零售與電子商務高度依賴互聯網,通常利用電商平台來管理系統,需要處理大量的敏感資料,在同行競爭非常激烈的情況下,容易被入侵關鍵系統來獲得客戶資訊與銷售策略。

  4. 國防和政府:國防部門和軍事機構擁有關鍵的國家安全和軍事技術、情報、武器系統和軍事戰略資訊,因此國家可能試圖通過滲透其他國家的政府和軍事供應鏈來獲取軍事技術或影響軍事裝備的質量和性能。

供應鏈攻擊造成的影響

供應鏈攻擊可能會造成服務或產品供應鏈中斷,導致生產停滯無法準時交付貨件,也能透過供應鏈攻擊將惡意程式引入到產品與服務,傳播到最終用戶手中,這些影響會導致客戶對組織的信任受損,從而影響品牌聲譽,一旦聲譽受損,就可能要花很長時間才能恢復,因此能有效地實施供應鏈安全措施就能減少這些潛在的影響。

如何強化供應鏈的安全

由於供應鏈攻擊可能對企業造成負面影響,為了協助企業強化防禦措施,CISA 在「ICT SCRM Essentials」的文件當中提出了建立有效供應鏈風險管理實務的 6 個關鍵步驟:

  1. 發掘:找出須參與的人員。

  2. 管理:根據產業標準與最佳實務原則 (如NIST 發布的原則) 來制定供應鏈資安政策與程序。

  3. 評估:了解您所採購的硬體、軟體與服務。

  4. 掌握:詳細列出完整供應鏈來掌握您採購了哪些元件。

  5. 檢驗:決定您的機構該如何評估供應商的資安文化。

  6. 評量:設定時程與系統,根據指導原則來評量供應鏈的資安狀況。

除此之外,可以針對第三方或供應鏈進行一些安全措施,像是:

  • 制定強制性的供應鏈安全標準,包括數據保護、訪問控制和身份驗證。

  • 實施多層次的安全控制,包括防火牆、入侵檢測系統、漏洞管理等。

  • 定期進行供應鏈漏洞掃描和測試。

  • 制定供應鏈安全的應急計劃,以應對供應鏈中的威脅和事件。

  • 定期審查供應鏈安全策略,確保其與新威脅和技術趨勢保持同步。

強化供應鏈安全需要多層次的措施,這些措施有助於降低供應鏈風險,確保供應鏈的穩定運作並保護組織免受潛在的攻擊。


由於近年來資安的重要性越來越高,大型企業對自家公司的防禦越來越嚴密,導致駭客對大型企業的攻擊需要花更多精力且不容易成功,因此越來越多的攻擊轉向攻擊防禦措施比較薄弱的的供應鏈廠商,當供應鏈中任何一環沒有做好監督或防禦,一旦攻擊成功,就能導致整個系統資安防線癱瘓,因此強化供應鏈的安全變得非常重要。

Comments


bottom of page