2020 年的 SolarWinds 攻擊事件震驚全球,超過 18,000 個組織在毫不知情的情況下安裝了植有後門的軟體更新。這一事件揭示了現代企業面臨的最難以防禦的威脅之一:供應鏈攻擊。攻擊者不再直接攻擊目標,而是入侵目標信任的供應商,以合法更新的形式植入惡意程式。
供應鏈攻擊的類型
- 軟體供應鏈攻擊:入侵軟體廠商的構建系統或更新機制,在官方更新中植入惡意程式(SolarWinds 模式)
- 開源套件攻擊:攻擊廣泛使用的開源套件(如 npm、PyPI 套件),藉由依賴關係感染大量下游應用
- 硬體供應鏈攻擊:在製造或運輸過程中篡改硬體設備,植入硬體後門
- IT 供應商滲透:入侵提供 IT 管理服務的供應商(MSP),透過其具備的高權限帳號橫向滲透至客戶環境
台灣觀察:台灣半導體供應鏈的高度整合性使其特別容易受到供應鏈攻擊。攻擊者往往選擇攻擊防護較弱的中小型設備供應商,再藉由合法維護連線滲透至晶圓廠的 OT 網路。
軟體物料清單(SBOM)的重要性
SBOM(Software Bill of Materials)是軟體供應鏈安全的基礎工具,完整記錄軟體中使用的所有第三方元件、版本與授權資訊。當新的高危漏洞被揭露時(如 Log4Shell),擁有 SBOM 的企業能夠立即判斷是否受到影響,大幅縮短應變時間。
第三方風險管理(TPRM)框架
供應商風險評估應成為採購流程的標準步驟。評估維度包括:供應商的資安認證(ISO 27001、SOC 2)、歷史資安事件紀錄、資安政策與應變計畫、以及合約中的資安義務條款。對於具有高權限存取的供應商,應實施持續性監控而非僅在採購時進行一次性評估。
網路防護措施
在技術層面,以下措施能有效降低供應鏈攻擊的衝擊:嚴格管控供應商的遠端存取權限(最小權限、時間限制)、對供應商連線流量實施 DPI 深度檢測、軟體更新的完整性驗證(程式碼簽章)、以及網路微分段防止橫向擴散。