軟體供應鏈
10.Sep.2024

ICT供應鏈安全管理怎麼做? 安華不藏私分享資安必備策略

分享:
2020年驚傳赫赫有名的SolarWinds事件,引起了全球對供應鏈安全的廣泛關注。SolarWinds是擅長協助企業管理網路、系統及IT基礎設施的供應商,當時財星500大企業中多達425家均採用其產品,影響力甚大。駭客有計劃地入侵SolarWinds,最終導致1萬多家企業客戶慘遭池魚之殃,故這起事件被認定為一次重大的供應鏈攻擊。
 
自SolarWinds事件以來,這種透過供應鏈信任圈的攻擊事件更是層出不窮;係因當前處於專業分工時代,企業很難單靠一已之力完成產品或服務交付,必須藉助上下游供應鏈、委外廠商,乃至開源程式庫與元件,從而給予攻擊者可乘之機,進一步引發各界對供應鏈資安的重視。

安華聯網科技研發長暨資安合規處處長劉建宗指出,持平而論供應鏈安全並非新課題,早在2000年左右便開始備受討論。惟當時關注焦點不在資安,主要源自911恐怖攻擊事件引發大眾對供應鏈斷鏈的擔憂,讓全球產業驚覺可能因某一事件造成業務衝擊,於是開始重視ISO 28000供應鏈安全管理系統標準,但尚未談及資安。

爾後隨著企業對資訊科技的依賴度增加,加上近年地緣政治風險升高,供應鏈安全的內涵也有所轉變。在美國拜登政府相繼發布EO 14017、EO 14018等行政命令後,逐漸將軟體的供應鏈安全議題導向標準化、法規化。
 

參酌CMMC規劃,檢視合作夥伴的資安成熟度

隸屬於DEKRA德凱集團的安華聯網,主要扮演合規服務提供者角色,深知在進行企業資安風險評估時,首要之務便是定義範圍、識別風險。定義資安保護範圍,主要可從3個面向來盤點,一是自家公司內的ICT,二是使用服務供應商提供的環境,三是供應鏈夥伴的安全性。

劉建宗說,供應鏈資安的起手式,便是根據機敏性、完整性與可用性等指標來檢視資料流,藉此盤點風險。探究的重點包括瞭解重要資料有哪些、它們流向何方,接著據此定義管理政策或流程。此時企業可參考先進國家組織訂定的管理制度,例如美國NIST制訂的Guideline,後續多會演變為國際標準,即是值得遵循的標的;目前,諸如NIST SP 800-171、NIST SP 800-172等與網絡安全成熟度模型認證(Cybersecurity Maturity Model Certification, CMMC)相關的美國軍工產業供應鏈資安議題規範,均是適合參考的標準。
 

供應鏈資安的核心問題在安全開發生命週期

簡言之,早年供應鏈安全講的是「貨運安全」,直至近年才慢慢演變為更強調「軟體安全」。他進一步強調,大家探討供應鏈資安,很多時候是從應用層面著手,但所有ICT的資安問題,其追根究底還是因為軟韌體的安全問題。因此,企業迫切需要強化的是軟體開發的供應鏈安全。針對這一趨勢,企業需關注的法規為NIST SP 800-218,從安全軟體開發框架 (Secure Software Development Framework, SSDF)的角度檢視企業如何執行安全開發,包含組織要有對應的資源、人員、政策作為推動依據,同時建立對應的機制來保護軟體,從而確保最終產出的是安全的軟體。

在實踐NIST SP 800-218的同時,劉建宗建議可參考CIS的軟體供應鏈安全指引( Software Supply Chain Security Guide )。其中涵括幾個重點,一是環境管控,企業必須管控開發環境,包含置放原始碼的地方、編譯的環境、打包的環境;二是自動化,因現今軟體安全開發的一大重點在於軟體物料清單(SBOM),意指企業需詳列軟體裡頭涵蓋的元件,此事無法藉由人工執行,一定需要藉助自動化工具,且納入開發流程;三是完整性,儘可能確保下載的套件(Package)或函式庫 (Library)安全無虞;四是可究責性,意指原始碼(Source Code)經過誰提交(Commit)、誰審查(Review),而誰又是負責人(Owner),這些全都要有完整記錄,並確保這些資料不會被任意竄改。
 

善用認驗證機制,輕鬆組織資安神隊友

截至目前,臺灣有兩個產業推動供應鏈資安的力道相對較強。首先為工控,係因其中涵蓋關鍵基礎設施,其安全性對大眾民生至關重要,不容許出現問題。為此,工控產業遵循IEC 62443標準,針對資產擁有者(Asset Owner)、服務提供者(Service Provider)、系統整合商(System Integrator)、元件供應商(Component Provider)等四類角色,分別提出不同的資安指引或標準。深究IEC 62443框架的重大意涵,在於其設計時就把產業中不同的角色均考慮進來,目的就是希望建構安全的產業鏈。

另一為汽車產業。儘管有業者戲稱臺灣僅有1.5家車廠,不是一個多車廠的情境,但安華在推動汽車資安合規服務時,發現臺灣ICT業者前來申請的踴躍度甚高,只因他們欲將產品推向汽車應用,即需符合汽車產業的供應鏈安全規範。歸納相關法規或標準不在少數,重點包含了EU定義的R155車輛網路安全、R156軟體更新安全等法規,及各自衍生的ISO/SAE 21434、ISO 24089標準。所有汽車上市前接受Type Approval時,均會被檢視是否符合這些規定,因此藉由要求車廠產品的安全性,車廠就會要求其供應商,藉此建立完整的安全供應鏈。
 
ICT供應鏈安全管理怎麼做?  安華不藏私分享資安必備策略
 

詢問

聯絡我們
感謝您的造訪,請留下您的聯絡方式,後續會有專人回覆您的需求。
  • 安華聯網致力於保護您的隱私。 您的資料不會與第三方共享,您將不定期收到資安相關訊息和活動。 您可以隨時退訂。 欲了解更多,請閱讀我們的隱私權政策。 左方請勾選是否同意安華聯網隱私權政策,以便提供您相關內容。

為何選擇安華聯網

深度資安檢測技術+

  • 已發現40+全球首發安全弱點(CVE)
  • 已發掘3000+物聯網安全弱點

深耕物聯網產品安全+

  • 執行200+物聯網產業相關資安專案
  • 測試超過1000+連網產品安全

全球合規與認驗證能力+

  • 協助全球20+國家與500+客戶通過認驗證
  • 具車載、消費品、工控、醫療等產業合規經驗
WeChat
本網站使用cookies以改善您的使用體驗,並提供更優質的客製化內容。若您未改變cookies設定並繼續瀏覽我們的網站(點擊隱私權政策以獲得更多資訊),或點擊繼續瀏覽按鈕,代表您同意我們的隱私權政策及cookies的使用。