供應鏈安全(Supply Chain Security) 是供應鏈管理的一環,旨在解決外部供應商、廠商、經銷商、物流及交通運輸構成的威脅。這些威脅包括鎖定第三方發動的實體攻擊和網路攻擊,因為攻擊者認為第三方的防禦力比目標組織(企業)還要弱。
供應鏈安全如何運作?
風險管理是供應鏈安全很重要的一部分,它可以協助識別、分析及減輕資安事故的潛在影響力。技術和實體安全控制措施也是供應鏈安全的基礎組成要素。
供應鏈的網路安全屬於供應鏈安全的其中一環。它包含供應鏈使用到的 IT 系統、軟體和網路,以及相關管理控制措施。
供應鏈安全解決方案經過優化,可因應與供應鏈有關的一系列弱點和威脅。
如何保護供應鏈的安全?
除了實行 IT 安全解決方案和流程以外,還需採用下列供應鏈安全措施。
攻擊面監控
攻擊面監控可協助識別第三方風險,包括整個第三方與第四方網路的所有雲端解決方案中的供應鏈安全弱點。
資料加密
應採用高強度加密時時保護所有資料的安全,包括存放在任何位置的靜態資料,以及透過任何方式傳送的傳輸中資料。
身分與存取管理(IAM)
強健的存取控制應遵循最小權限原則。供應鏈安全協定應規定任何使用者均不得擁有超出履行其職責所需的最低必要存取權。
網路分段
網路應根據目的和信任級別進行邏輯分割,以隔離敏感資訊,防止網路間的橫向移動。
滲透測試
供應鏈安全系統和流程應定期接受自動化及人工施行的滲透測試。測試內容應包括應用程式、IT 基礎架構和人員(如模擬網路釣魚攻擊),以及威脅回應策略。
軟體組成分析 (SCA)
SCA(Software Composition Analysis) 工具可針對應用程式的程式碼提供可視性,以及用來監控供應鏈的弱點或潛在後門。
安全稽核
執行持續性稽核來評估供應鏈安全並識別弱點。這些安全稽核可結合自助稽核和現場稽核。
弱點掃描
弱點掃描器(Vulnerability Scanning) 可找出已知和未知的弱點。定期執行弱點掃描有助於加快偵測和回應威脅的速度,同時降低供應鏈的安全風險。
什麼是全球供應鏈安全?
全球供應鏈安全是由供應鏈推演而來,它考量到國際貿易獨特且複雜的挑戰。美國境外貿易的風險更高,容易受到自然災害、地緣政治威脅、意外及惡意數位和實體事故的影響,進而對安全構成威脅並干擾營運。
供應鏈安全的挑戰
所有規模的組織(企業)都會面臨供應鏈安全漏洞的風險。造成這些安全問題的挑戰包括如下。
潛伏後門
為了避開供應鏈安全系統的偵測,網路犯罪者常會在惡意軟體攻擊期間趁機植入後門,以留待日後使用。安全團隊被攻擊分散了注意力,並未注意到已被植入後門,成為未來某日被利用的安全破口。
應用程式的程式碼缺陷
應用程式會對供應鏈構成風險。隨著應用程式的製作越來越常使用到第三方元件,開發人員鮮少可完全了解所有程式碼。攻擊者經常利用深藏於應用程式中的弱點來危害安全,並取得未經授權的系統和網路存取權。
缺少對第三方的可視性
如果缺少適當的管控措施,組織便無法看到第三方如何管理其 IT 資源。這會產生大量風險,因為即使最好的供應鏈安全解決方案也無法保護看不到的東西。
過度佈建第三方存取權
供應鏈安全的一個常見弱點就是對第三方授予過高授權。組織頻繁的提供系統存取權給第三方,但常會過度擴大這些特權,且未能在不需要時收回存取特權。
合作夥伴的供應鏈有安全漏洞
供應鏈安全的強度等同於其最脆弱的環節。只要一個合作夥伴存在漏洞,就會導致整個供應鏈置身於風險之中。一旦出現破口,即使規模再小的合作夥伴,也可能成為網路犯罪者入侵其他合作夥伴環境的進入點。
資料保護實務不當
倘若組織無法安全的使用和儲存資料,也無法保護資料系統和流程的安全,敏感資料就有可能曝光。如果供應鏈安全並未擴及所有敏感資料,資料便有可能遭到入侵。
供應鏈安全的最佳實務
建立測試實驗室
用測試實驗室找出隱藏的硬體和軟體弱點。
擬定並維護威脅回應計畫
做好萬全準備,以備在發生供應鏈安全事故時採取迅速有效的行動。跟跨組織團隊合作,擬定一個考量供應鏈所有環節(包括所有第三方和第四方)的威脅回應計畫。該計畫需詳細闡明應採取的具體行動、採取行動的順序,以及負責履行各職能的團隊和個人。
實行 DevSecOps
將 DevSecOps(Development (開發)、Security (資料安全)與Operations (維運) , 一種將安全性整合到軟體發展週期所有階段的架構) 最佳實務整合到開發的各個層面,優化供應鏈安全。將安全列為優先要務,並在開發生命週期中及早解決潛在問題,有助於在發布至正式作業環境之前提高將應用程式的安全性,以免屆時成為攻擊目標。
參與威脅狩獵(Threat Hunting)
主動搜尋未知弱點,找出導致系統遭到未經授權存取的供應鏈攻擊。
將第三方風險管理列為優先要務
將第三方風險管理列為優先要務,集中資源解決供應鏈的安全風險。應採取的措施包括針對與廠商、供應商、承包商及其他業者等第三方提供者間的關係所可能引發的風險,進行持續性的監控和分析。
運用區塊鏈
區塊鏈系統將信任、透明度和溯源引進供應鏈中。運用區塊鏈保障供應鏈安全,並透過擔保真實性來減少詐騙。
記住供應鏈安全的細微差異
供應鏈安全可讓整體安全性更為完善,應列為企業的首要優先要務。我們不可低估供應鏈安全漏洞引發的漣漪效應,可能導致營運干擾、營收損失、聲譽受損甚至影響產品品質。
龐大且分散的供應鏈中,安全性本質上的脆弱性需要高度重視,並且需要量身打造的解決方案來應對複雜的安全需求細節。這樣的做法是有成效的。投入供應鏈安全的資源能帶來倍數成長的投資報酬,避免安全漏洞的發生,同時提升整體安全性。
