供应链安全与漏洞管理

　　供应链已成为商业运作不可或缺的一环，然而，企业在相互高度连结下，虽然能提升效率，却也伴随着日益复杂的安全隐患，尤其近年针对供应链的攻击事件层出不穷，越来越多企业深感资安威胁迫在眉睫，如何建立完善的供应链安全管理与漏洞防护机制，是企业经营的重要课题。

---

　　供应链安全的重要性不言而喻，一个环节的漏洞可能威胁整条供应链的安全。2021年底，Apache Log4j日志框架漏洞的曝光就是一个残酷的案例。作为Java开发应用的开源软体，Log4j被许多网站和应用程式广泛採用，却出现严重的安全漏洞，美国政府甚至将其描述为安全界的「地方流行病」，可能影响企业系统运作长达数年甚至更久。之所以造成深远影响的原因在于，每个网路应用程式都需要利用日志框架系统来进行纪录，一旦有漏洞，骇客就能趁机骇入企业内部，偷取金钱、机敏资料、存取权等。无独有偶，2023年8月，知名软体WinRAR也爆出重大漏洞。由于WinRAR在Windows被广泛使用，传播十分普遍，带来的安全风险同样不容忽视。

　　无论Log4j或WinRAR漏洞，都可能直接影响使用这些软体的企业，进而对整体供应链造成连锁反应。为了有效因应突发的攻击，企业应採取全面的漏洞防范管理方案，包括--

　　1.持续关注公开漏洞资料库：主动追踪如CVE、NVD等公开漏洞资料库，以获取最新的资讯。

　　2.漏洞分级预警与优先修补：根据漏洞的CVSS评分，优先修补风险较高或威胁程度严重的漏洞。

　　3.利用漏洞扫描工具：採用自动化漏洞扫描工具，定期检测企业网路和系统，以发现潜在的漏洞。例如，利用SecurityScorecard之类的工具可提供自动化的网路资产漏洞扫描和分析服务，并生成资安风险评估报告，协助企业了解资安弱点和风险状况。

　　4.分享威胁情报：参考TWCERT/CC、国家资通安全研究院NICS…等政府平台公布的漏洞警报，同步更新内部安全漏洞，以提升企业的资安防御力。

　　5.评估供应商风险：企业应定期评估供应商产品和服务潜在的漏洞风险，包含对于软体开发厂商源码、硬体设备，以及提供的第三方服务（例如云端服务和资料储存服务）的评估。另外，工研院也提供企业资安评级服务，有助于企业掌握自身资安风险，准备应对策略。

 

　　综上所述，供应链上的各方企业应加强沟通与协调合作，建立联合的安全监控与漏洞防护体系，持续完善资安管理机制，以降低整体风险，达到安全与发展的最佳平衡点。

 

*图片来源：freepik

#