資安已成為產品競爭力一環 落實乾淨供應鏈是關鍵

6月下旬REvil勒索軟體襲擊了IT 軟體管理商 Kaseya，凸顯供應鏈攻擊的手法強大。Kaseya公司在全球有3.7萬家企業用戶，涵蓋金融、旅遊、零售、休閒及各國政府單位。REvil把Kaseya官網提供的軟體全部換成了勒索病毒。一下子，所有使用 Kaseya 軟體的公司都暴露在風險之中。2020年底SolarWinds遭駭客入侵，導致國家級駭客透過「供應鏈」攻擊美國財政部與商務部; 以及資安FireEye紅隊演練工具外洩，並影響其他1萬8,000家公司。但上述供應鏈資安事件並非單一個案，根據Sonatype所釋出的2020年軟體供應鏈狀況報告中統計，從2019年7月到2020年5月卻額外增加929件（2015～2020年累計達1,145件），自2015發布報告以來軟體供應鏈攻擊事件成長430％。

供應鏈攻擊是一種間接入侵單位的攻擊方式，網路犯罪分子會透過找尋與單位合作的第三方服務供應商，從中找到可以橫向至單位的攻擊路徑，這類攻擊存在於各種產業、生產製造、系統、軟體、或委外服務架構中。目前常見的供應鏈資安攻擊類型有：版本更新感染、派送脅持嫁接、程式庫感染、第三方元件感染、軟體漏洞及臭蟲等。

台灣為ICT及IoT等智慧產品製造重鎮，為協助高科技製造業更加了解供應鏈資安攻擊以及防範之道，資安人於7月29日舉辦線上論壇，邀請趨勢科技、安華聯網、IoT Inspector 分享觀點。共有超過118位製造業之研發、IT、風險管理人員上線參與。
 

 

趨勢科技資深技術顧問黃源慶於演講中比喻供應鏈破口就如同Covid-19防疫破口，發生事故時會影響社會大眾，造成營運生產以及服務中斷。他說，「供應鏈資安有三大破口：發生在軟硬體供應鏈、產業垂直合作水平連結、外包維護廠商。其實不只製造業，金融公司、電子商務公司都很容易發生連結平台駭侵，像是物流、金流、供貨系統等，出現資料外洩，或BEC變臉詐騙。」

黃源慶進一步解釋，「台灣半導體或高科技發展的早，其實比較有規模的企業都會針對供應商管理系統或外部合作系統，建立綠色信任通道，連結上下游內部網段及外部系統。如果沒有採用零信任架構，當某一段供應鏈發生破口，就很容易透過這個綠色信任通道發動攻擊，整個收割。」

尤其集團成長期，常有整併或併購，時常發生資水位往低處靠攏，案例中經常發現併購來的子公司或新創公司由於資安先天不良以及防禦量能不足，合併後會造成資安破口，被滲透攻擊集團的母體。此外，外包廠商或維護駐點也容易成為資安破口，用「鄉村包圍城市」的攻擊概念，輕取外圍脆弱單位，合法掩飾非法，滲透控制。

因此資安維運策略應該佈署於四大部分：隔離管制、威脅可視、關鍵保護、應變韌性。他說，「在企業治理目標中，很重要一塊是營運持續，所以核心資產可能要做到分級分類，再搭配隔離管制，搭配零信任架構，才能作到關鍵的保護。至於企業如何做到『超前佈署』？就是必須要威脅可視，看的到－可以看到核心資產、網路維運狀況如何。端點、端末是否有威脅存在？應變韌性就牽扯到RNR組織當責、相對應的組織授權，搭配應變流程、外部專家等。」
  如果真的發生攻擊，整個營運服務都被癱瘓了，他建議找外部專家進行緊急資安救援服務，目標是要取回資訊維運控制權，重點協助:

安華聯網科技產品經理白尚永以美國醫療器材網路安全管理法規提及之「CBOM」概念，要求供應廠商需要能夠分析並管理產品中之軟體元件相關弱點。「CBOM指的是Cyber Security(網路安全清單) +Software BOM(軟體物料清單)」。無論是美國、歐盟，近年來針對資安相關法規要求的趨勢都是要求供應商必須要有主動追蹤管理產品弱點的機制及能力，且要有風險評估、持續管理及追蹤。
軟體供應鏈世界上尚無公認定義，但可以參考傳統供應鏈，從成品回推，往上可能會有團隊自行開發組件、直接使用之元件、間接使用之元件…..可以用「軟體元件組成最終成品的樹狀結構」了解為軟體供應鏈。這中間要特別注意的是開源軟體的應用，NVD的弱點資料庫源自開源軟體的風險2018年比2017年成長128%，近年來更是不斷上升。因此開源軟體是軟體供應鏈風險管理中的重點。
 
軟體組成清單(SBOM)是軟體組成元件和關聯表，包含這些元件的名稱、版本、來源、層次與相依性等關係。軟體組成清單(SBOM)可包括開源或專有(Proprietary )軟體，產出軟體組成清單(SBOM)的最有效方式，是在開發過程一併的記錄與建立。軟體組成清單(Software Bill of Materials, SBOM)加上風險組成清單就成為CBOM (Cybersecurity Bill of Materials, CBOM)
軟體供應鏈安全管理的實施要從內部、外部分開評估開源軟體的風險。內部風險包含開源軟體弱點以及是否有過於複雜的開源授權分類，是否可能有智財損失；外部則需要有OSS清單管理，尤其是第三方軟體以及外包廠商，如果他們無法提供充足的資料，便無法掌握風險。
 
要做好開源軟體管理有三個步驟：

管理開源軟體風險需要大量的人力資源。因此更好的解決方法應該是採用自動化工具減少人力成本，並自動分析軟體組成，但採取這些自動化工具時，必須注意要滿足國際相關法規標準，如軟體中的各項基本資料，包含軟體的相依性、授權資訊以及弱點資訊等。
 

IoT Inspector是一家德國的物聯網設備檢測公司。該公司與會代表Sarah Daniel 以新加坡為例，近期推出的Cyber Security Labelling Scheme使用了4個層級來規範物聯網設備的安全層級，幫助使用者作為採購物聯網設備的參考。Daniel說：「目前2/3以上的公司都經歷的應為管理不善而造成的物聯網設備安全事件。複雜且不透明的供應鏈增加嚴重弱點的風險，如勒索軟體對物聯網設備的攻擊以及OT和IoT網路的資訊風險。此外，關鍵基礎建設也越來越多採用IoT架構或聯網設備，他們的安全問題日益嚴重。」
  平均而言，單個物聯網設備就整合了10多個元件、不同的代碼資料庫、多樣的組態，因此在韌體發布的過程中很難做到完善的安全評估。IoT Inspector提醒，物聯網設備的測試和認證反覆又耗時，製造商採用的檢測工具注意:

 

媒體報導