SolarWinds 事件揭示了供應鏈攻擊的毀滅性威力。台灣身處全球供應鏈核心,更需深入了解並防範此類威脅。
供應鏈攻擊(Supply Chain Attack)是一種攻擊者不直接針對目標組織,而是透過目標所信任的供應商、軟體廠商或服務提供商發動攻擊的手法。攻擊者入侵那個「被信任的第三方」,再利用這種信任關係滲透進最終目標。
主要供應鏈攻擊類型:
攻擊者入侵軟體廠商的建置環境(Build Pipeline),在合法的軟體更新中植入惡意程式碼。因為更新具有廠商的數位簽章,安全工具往往不會阻擋。
攻擊者向 npm、PyPI、RubyGems 等套件倉庫上傳惡意套件,或透過「依賴混淆(Dependency Confusion)」攻擊讓企業自動下載惡意版本。
入侵 IT 外包商、系統整合商或雲端服務提供商,透過這些廠商的合法存取權限滲透其所有客戶。台灣 MSP(受管服務提供商)是重要攻擊目標。
俄羅斯 APT29(Cozy Bear)入侵 SolarWinds 的軟體建置環境,在 Orion 平台的更新檔(DLL 檔)中植入後門程式 SUNBURST。由於更新具有合法數位簽章,超過 18,000 個組織安裝了受污染的更新,受害者包括美國財政部、商務部、NASA 及多家財星 500 大企業。攻擊者在長達 9 個月的時間內潛伏並竊取資料,完全未被發現。
北韓 Lazarus Group 先入侵一家金融軟體公司(Trading Technologies),透過其受感染的套件進一步入侵 3CX 的建置環境,再污染 3CX 的桌面通訊軟體更新。這是史上首個被公開確認的「供應鏈中的供應鏈」攻擊,影響全球超過 60 萬個企業用戶。
攻擊者「JiaT75」化身為 xz/liblzma 壓縮工具庫的積極貢獻者,歷時兩年建立信任並獲得維護者權限,最終在正式版本中植入 SSH 後門。若非微軟工程師的意外發現,此後門可能已被廣泛部署至全球 Linux 伺服器。此案件深刻揭示了開源軟體供應鏈的脆弱性。
台灣在全球供應鏈中佔有獨一無二的地位——半導體製造、PCB 生產、電子零組件製造均是全球關鍵供應商。這使台灣企業成為高度誘人的供應鏈攻擊跳板:入侵台灣一家半導體廠,可能為攻擊者打開通往全球頂尖科技公司的大門。
台灣特有的供應鏈風險因素:
SBOM(Software Bill of Materials,軟體物料清單)是一份詳細列出軟體中所有元件、依賴項目及其版本的清單,類似於食品標示中的「成分表」。在 SolarWinds 事件後,SBOM 已成為全球供應鏈資安管理的核心工具。
SBOM 的實際用途:
主流 SBOM 格式包括 SPDX(Linux Foundation)與 CycloneDX(OWASP)。台灣企業可使用 Syft、Grype 等開源工具生成自家軟體的 SBOM,並要求供應商提供其產品的 SBOM。
企業應建立系統化的第三方風險評估(Third-Party Risk Assessment,TPRA)流程,而非僅依賴一次性的問卷調查。Hexion 建議的評估框架分為三個維度:
評估供應商存取的資料敏感度、系統存取深度、替換難度。高風險供應商需要更嚴格的評估。
驗證供應商實際實施的安全控制,包括 ISO 27001、SOC 2 等認證,以及實際的滲透測試報告。
評估剩餘風險是否可接受,決定是否需要額外的合約安全要求或技術補償控制措施。
除了風險評估,企業還需要部署具體的技術控制來限制供應鏈攻擊的損害範圍: