供應鏈攻擊

供應鏈攻擊是一種間接的網路攻擊模式，攻擊者不直接攻擊最終目標，而是鎖定其供應鏈中資安防護較弱的環節，例如軟體開發商、硬體製造商或託管服務供應商（MSP）。攻擊者透過入侵這些供應商，在其產品、軟體更新或服務中植入惡意程式碼，然後利用供應商與目標企業之間的信任關係，將惡意程式碼傳播給下游的大量客戶。此概念在NIST SP 800-161 Rev. 1《網路安全供應鏈風險管理實踐》中有詳細定義，強調管理來自外部供應商的風險。在風險管理體系中，它屬於第三方風險管理（TPRM）的關鍵範疇，與傳統針對企業自身邊界的防禦不同，它將防禦範圍擴展至整個生態系統。例如，震驚全球的SolarWinds事件，攻擊者就是透過污染其Orion平台的軟體更新，感染了全球數千個政府機構與頂尖企業。

企業可透過以下三步驟將供應鏈攻擊防禦融入風險管理實務：第一步是「供應商風險評估與盤點」，全面識別所有軟硬體及服務供應商，並根據其對核心業務的影響程度進行風險分級。要求關鍵供應商提供軟體物料清單（SBOM），並依據ISO/IEC 27036標準評估其資安成熟度。第二步是「建立安全合約與要求」，在採購合約中明確納入資安條款，要求供應商遵循安全軟體開發生命週期（Secure SDLC），並規定發生資安事件時的通報時限與責任歸屬。例如，台灣某金融機構已要求所有系統開發商必須通過源碼檢測並提交報告，方能上線。第三步是「持續監控與應變」，導入工具持續監控供應商軟體的已知漏洞，並定期對整合系統進行滲透測試。透過這些措施，企業可將第三方引發的風險事件減少20%以上，並確保供應商合規率達到95%以上。

台灣企業在防禦供應鏈攻擊時面臨三大挑戰。首先，「資源與專業知識有限」，許多中小企業缺乏專職資安人員進行深入的供應商稽核。對此，應採用風險分級方法，將有限資源集中在高風險的關鍵供應商，並可委由如積穗科研等專業顧問公司協助評估。其次，「供應鏈透明度不足」，難以掌握供應商的下游廠商（次級供應商）的資安狀況，且要求提供軟體物料清單（SBOM）時常遭遇阻力。解決方案是在採購合約中將提供SBOM列為必要條件，並優先選擇願意合作的供應商。最後，「合約談判與法律框架」，供應商可能抗拒新增的資安責任條款。企業應與法務團隊合作，制定標準化的資安附加條款，並將其作為新供應商的准入標準。優先行動項目應為盤點關鍵供應商並更新其合約，預期時程約需6至12個月。

積穗科研股份有限公司專注台灣企業Supply Chain Attack相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact