落實供應鏈資安 有效防堵資安威脅
現今供應鏈攻擊手法非常複雜,僅是單一公司做好資安防護,也難以阻擋此類針對性攻擊手法,凸顯出供應鏈資安管理的重要性。
採訪/林振輝、施鑫澤‧文/林裕洋‧刊期/2023.05
因應近幾年企業的資安意識抬頭,駭客面對日益縝密的資安防護機制,駭客在持續研發新型態攻擊手法外,也開始入侵防護力較薄弱的供應鏈體系,已達到入侵目標企業的目的。
因應此趨勢,各國政府都紛紛發表相關規範,如 2021 年 2 月拜登總統簽署「Executive Order on America’s Supply Chains」,其中一部分是要求聯邦政府對國防、公共衛生、資通訊科技、能源、運輸、農業等六大行業進行為期一年的供應鏈審查,評估可能遭遇之風險及提出強化供應鏈韌性之具體行動。與臺灣產業最密切關係的部分,莫過於美國國家標準技術研究所發布 NIST SP 800-171A,美國聯邦政府要求欲與聯邦政府簽署合約的組織企業,利用此指引來評估確認其是否符合處理聯邦政府所規範之受控制非機密資訊的要求。換句話說,臺灣高科技產業若沒有做好供應鏈管理, 恐怕將難以進入此全球最大的消費性市場。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
合勤投資控股資安長游政卿指出,供應鏈資安之所以重要,在於現今供應鏈攻擊手法非常複雜,光是公司自己做好資安防護,也難以阻擋此類針對性的攻擊手法。整體而言,目前供應鏈資安面臨的主要挑戰,大致上可分為多層次供應鏈的複雜性、供應商資安實力參差不齊、供應鏈的針對性攻擊、資訊共享和機密保護的平衡等面向。然供應鏈管理是非常複雜的工作,因為每家廠商規模不同,對資安重視程度也有很大差異,高科技產業很難採取一視同仁的標準。舉例而言,合勤控股有個合作緊密的模具廠商,但是整間公司人力非常精簡,對業績重視程度遠超過資安,由於不可取代性極高,所以合勤控股自然不可能採用與其他業者相同的資安規範,而是在該公司的能力允許下,協助逐步落實應有的資安政策。
業務以歐洲市場為主 極度重視資訊安全
創立於 1989 年的合勤集團,以合勤投控為母公司,由轄下三家子公司合勤科技、兆勤科技和盟創科技,分別於品牌、通路和代工等不同市場業務,共同在網路各技術與市場領域深耕,專注於發展完整、穩定且滿足下世代連網需求的解決方案,協助全球電信服務營運商佈建新一代固定與行動寬頻網路。該公司全球銷售區域遍及美洲、中國、東南亞、歐洲及中東等地市場,透過專業經營與市場布局,結合深厚技術能量,為網通創造更多無限可能,全球市場有亮眼成績。
由於歐盟向來非常重視個人隱私與資安,合勤控股在深耕歐洲市場過程中,也曾付出不少沈痛代價。。2016 年愛爾蘭電信、德國電信相繼遭遇 Mirai 惡意程式入侵,造成大規模路由器癱瘓,當中包括合勤產品,引發軒然大波,隨著駭客炫技得逞之後揚長而去,合勤產品安全性,受到前所未有的挑戰。合勤投入大筆資源資源進行漏洞修補,並成立產品資安事件處理小組團隊,全力投入漏洞修補與預防等工作。最終,合勤科技在 2018 年名列德國電信的四大優秀供應商,也證明該公司在資安重視程度、供應鏈管理能力等,絕對值得臺灣高科技產業參考。
游政卿表示,根據我們過往的經驗,若要做好供應鏈資安管理的工作,可從進行供應商風險分級、建立資安合規清單、實施定期資安稽核 、要求供應商提供第三方審核報告、使用資訊安全風險評量工具等面向著手。如在資安稽核部分,透過 ISMS 導入通過認證、資訊安全作業管理、資訊資產管理、實體與環境安全、存取控制、事件通報應變處理、資訊系統開發與維護、資通安全證照等,助供應商夥伴提升資安等級。另外,我們也會運用各種合適的檢測工具,如 Securityscorecard 來衡量企業與供應鏈風險,評估供應商夥伴是否存在漏洞,以及後續是否有做改善工作等,這也會作為日後是否合作的參考。
建立供應鏈聯防 強化資安防護力
在駭客攻擊手法多變下,傳統仰賴單一設備防禦的概念已經過時,必須透過資安設備之間的協同合作,才能達到阻斷惡意程式運作的目標。而面對日益盛行的供應鏈攻擊,游政卿也認為不可能僅靠單一廠商就可抵禦,供應鏈夥伴之間也必須攜手合作,才有機會避免此類事情發生,保護企業重要資安與商譽。
合勤控股認為應該從資安防禦佈局的關鍵措施 、供應鏈資安聯合防禦的作法等兩大面向著手,在資安防禦佈局的關鍵措施部分,又可分成硬體供應鏈、軟體供應鏈兩大環節。在硬體供應鏈管理部分,應該要做到建立資產清單、實施定期安全檢查、構建防禦深度策略、建立緊急應變備案、監控供應鏈狀態、供應商合約等。簡單來說,應該要透過定時盤查供應鏈夥伴的資安狀態,協助夥伴提升資安防護力等,減少供應鏈資安事件發生,乃至於在爆發資安事件當下,能夠採取相對防護措施。
「在軟體供應鏈管理部分,應該要做到軟體開發安全、第三方組件管理、軟體組建清單(SBOM)、安全更新,和修正程式管理等。」游政卿解釋:「簡單來說,從軟體設計階段開始,就要建立一套完整的軟體管理清單,當開發工具、第三方工具有爆發漏洞時,才能在第一時間進行更新、修補的動作,乃至於在後續推出更新版本時,同步修補前一版本軟體存在的漏洞風險,達到提軟體安全性的目標。」
[ 推薦閱讀:CIO大調查專網,讓 CIO 為企業三大問題開出解方 ]
事實上,自從 2020 年底駭客入侵 SolarWinds 的 Orion Platform,導致美國眾多公務機關、五百大企業等都陷入供應鏈攻擊的風險之中,迫使美國政府重視軟體供應鏈管理的工作。最後,美國白宮發出行政命令,要求所有向聯邦政府出售的軟體都必須提供「軟體物料清單」(Software Bill of Materials,簡稱 SBOM),代表軟體業若沒有做好管理,就無法與聯邦政府進行業務往來。
游政卿指出,當 SBOM 表出來之後,我們透過 OWASP Dependency Track System 進行檢查,因為這套工具是基於 CycloneDX SBOM 格式,這是符合 NTIA 規範的格式之一,有助於做好軟體套件版本與漏洞管理。最後,漏洞分析來源平台涵蓋 NVD(National Vulnerability Database)、Sonatype OSS Index、VulnDB、Synk 等。當然找出漏洞之後,後續修補工作也非常重要,我們也花很多時間與研發部門溝通與討論,找到一個合適的協同作業方法。
在落實軟、硬體供應鏈管理工作外,透過多元管道掌握最新資安資訊,也是非常重要的工作。所以在供應鏈資安聯合防禦的作法部分,合勤應該要積極參與參加跨組織資訊共享平臺(ISAC),以及推動標準化資訊交換(STIX、 TAXII)合作應對資安事件、定期舉辦資安研討會和培訓、制定共同的資安標準和政策。
資安管理加入ESG 永續發展不可少
在 ESG 浪潮下,在歐洲市場有亮眼表現的合勤,自然也會定期公布永續報告書,2021 年將焦點放在七個可持續發展目標作為發展方向,並以可持續的方式實施。在落實永續經營部分,最令人關注部分莫過於納入資訊安全管理 ,該公司為強化資訊安全管理,建立安全及可信賴之電子化作業平台,確保資料、系統、設備及網路永續運作,並在兼顧資訊安全與工作效率下, 執行資料處理、傳送及儲存之安全控管機制,建立完整的資訊安全管理架構。在該公司公布的永續報告書中,2021 年教育訓練完訓率 99.3%、沒有發生重大從業道德違規案件,以及持續取得 ISO 27001 認證。2030 年中期目標為除持續取得 ISO 27001、保持沒有發生重大從業道德違規案件外,更希望達成營業秘密保護法律規範線上課程完訓率 100%。
游政卿說,合勤控股在永續管理部分是經過永續委員會討論後,決議採用聯合國制定的 17 個可持續發展目標(SDG)。委員會討論過程中,也會評估與公司利益相關者的經濟,社 會和環境等問題,以及其對公司及其利益相關者的重要性,和對合勤投控管理層的重要性進行優先排序,以制定其 CSR 戰略,確保與合勤控股的 SDG 方向保持一致。在此狀況之下,資安自然是非常重要的一環,我們的資訊安全管理架構以治理、推動、檢視為三大管理方向,設置資安組織、設定資訊安全政策、進行意識提升,並通過 ISO 27001 資訊安全認證定期審核,確保符合規範。由資安事件的處理,執行風險鑑別與內外部稽核,定期執行營運衝擊分析與災難復原演練,從而進行改善措施,並追蹤改善成效。
高科技資安聯盟 著重技術與經驗分享
高科技產業是支撐臺灣經濟發展的重要後盾,近幾年成為駭客組織鎖定的焦點,許多高科技業者都遭受到極為嚴重的攻擊時,為此目前有 10 高科技業者組成「高科技資安聯盟」,涵蓋上游的 IC 設計、封裝測試、網路通訊、系統組裝等,透過情資、經驗分享,強化來因應資安威脅的能力。
目前高科技資安聯盟召集人的游政卿表示,臺灣是全球高科技製造、半導體產業的重鎮,所以近兩年遭受威脅非常巨大。成立高科技資安聯盟的主因,自然是想透過彼此之間的學習與合作,降低發生資安事件的機率。當初參與此聯盟的 10 家高科技廠商,都向其他聯盟會員簡報自家的部署與防護機制,所以都彼此之間都知道會員在資安方面都非常用心投入。因此,希望可以透過經驗與技術、資訊之間的分享,提升聯盟會員的資安防護力。
高科技資安聯盟的聚會活動,主要涵蓋外部資源分享、共同運作、聚焦議題等三大部分,在外部資源部分,則是分享解決方案服務商、政府機關資源等相關資訊,共同運作 部分則是由聯盟成員認領議題,分享治理經驗或研究成果。至於最後的聚焦議題部分,則是 根據關注要項規劃聚會分享主軸,強化因應未知資安威脅與挑戰的能力。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
