【專題探索】從國際網路軟體供應鏈安全趨勢對我國政策規劃之啟發
鄭雅心.陳怡安.劉容寧 (2022/10/07) 《台經月刊第45卷第10期》
供應鏈攻擊(Supply Chain Attacks)為當今最主要的資安威脅之一,國際網路設備供應商Cisco將其評為安全領域最棘手的問題。據該業者調查,43%的受訪者曾於2021年遭受供應鏈攻擊,並進一步面臨勒索軟體(Ransomware)等危害。圍繞供應鏈引發的資安問題,自2019年美國抵制中國網路設備產品,便日益受到重視,惟相較於硬體設備的來源明確且易於追溯,軟體和編碼(Code)等產品的供應鏈相對不透明,故潛在威脅亦愈發巨大。
因應此一資安問題,以美國為首的國家提出一系列針對軟體供應鏈安全的政策措施與指南,例如美國「改善國家資通安全行政命令」(Executive Order on Improving the Nation's Cybersecurity)、澳洲「保護性安全政策框架」(Protective Security Policy Framework, PSPF)等,以期強化國家安全與企業資安,為產業創新發展提供良好基礎。爰此,本文將初步分析供應鏈攻擊威脅現況與常見手法,並梳理各國近年相關重要政策與標準指南,以供我國政府與業者作為參考。
供應鏈攻擊威脅現況與手法分析
供應鏈意指在創建和交付終端解決方案及產品的過程中,所涉及的流程、人員、組織及分銷商所構成的生態系,其應具備四個關鍵要素:供應商、供應商資產、客戶及客戶資產。而供應鏈攻擊意謂至少兩次攻擊的組合,首次攻擊係針對供應商,目的於後續攻擊真正目標(終端客戶或其他供應商)並獲取其資產的存取權限。
歐盟網路安全局(European Union Agency for Cybersecurity, ENISA)統計指出,2021年供應鏈攻擊數量成長、複雜度提高,自2020年1月至2021年7月上旬,全球共有24件經證實的大型供應鏈攻擊事件。其中,半數的供應鏈攻擊來自高級長期威脅(Advanced Persistent Threats, APTs)行動者,其複雜度和投入資源均遠超以往常見的非針對性攻擊(Non-Targeted Attacks)。
進一步分析供應商和客戶面臨的供應鏈攻擊手法,根據ENISA調查(表1),供應商面臨的供應鏈攻擊中,未知的攻擊手法占比超過六成(66%),已知手法中則以「利用軟體漏洞」(16%)為首。此外,66%的攻擊事件目標為供應商的編碼,20%為資料,12%為流程。在客戶面臨的供應鏈攻擊中,大多數為濫用客戶對供應商的信任(62%),手法上以惡意程式(Malware)占比最高(62%)。客戶主要被攻擊的資產為客戶資料(58%),其次為關鍵人員(16%)、財務資源(8%)。基於前述分析可見,第三方編碼和軟體的安全性應為組織的首要關注重點,尤其攻擊者往往自開發階段即具備破壞軟體供應鏈的能力,故自開發、設計階段的軟體生命週期即應導入相關安全措施。
軟體供應鏈、供應鏈攻擊、SBOM、資安風險管理、5G網路安全、稅收優惠、國際標準、供應鏈透明度、安全指南、網路安全政策
分享:
