The English version is AI translated.

Continue
本期索引

2024年02月號 乐活职人

供应链安全与漏洞管理

远东新世纪 / 陈芳瑜
播放语音

  供应链已成为商业运作不可或缺的一环,然而,企业在相互高度连结下,虽然能提升效率,却也伴随着日益复杂的安全隐患,尤其近年针对供应链的攻击事件层出不穷,越来越多企业深感资安威胁迫在眉睫,如何建立完善的供应链安全管理与漏洞防护机制,是企业经营的重要课题。


4022401

  供应链安全的重要性不言而喻,一个环节的漏洞可能威胁整条供应链的安全。2021年底,Apache Log4j日志框架漏洞的曝光就是一个残酷的案例。作为Java开发应用的开源软体,Log4j被许多网站和应用程式广泛採用,却出现严重的安全漏洞,美国政府甚至将其描述为安全界的「地方流行病」,可能影响企业系统运作长达数年甚至更久。之所以造成深远影响的原因在于,每个网路应用程式都需要利用日志框架系统来进行纪录,一旦有漏洞,骇客就能趁机骇入企业内部,偷取金钱、机敏资料、存取权等。无独有偶,2023年8月,知名软体WinRAR也爆出重大漏洞。由于WinRAR在Windows被广泛使用,传播十分普遍,带来的安全风险同样不容忽视。

  无论Log4j或WinRAR漏洞,都可能直接影响使用这些软体的企业,进而对整体供应链造成连锁反应。为了有效因应突发的攻击,企业应採取全面的漏洞防范管理方案,包括--

  1.持续关注公开漏洞资料库:主动追踪如CVE、NVD等公开漏洞资料库,以获取最新的资讯。

  2.漏洞分级预警与优先修补:根据漏洞的CVSS评分,优先修补风险较高或威胁程度严重的漏洞。

  3.利用漏洞扫描工具:採用自动化漏洞扫描工具,定期检测企业网路和系统,以发现潜在的漏洞。例如,利用SecurityScorecard之类的工具可提供自动化的网路资产漏洞扫描和分析服务,并生成资安风险评估报告,协助企业了解资安弱点和风险状况。

  4.分享威胁情报:参考TWCERT/CC、国家资通安全研究院NICS…等政府平台公布的漏洞警报,同步更新内部安全漏洞,以提升企业的资安防御力。

  5.评估供应商风险:企业应定期评估供应商产品和服务潜在的漏洞风险,包含对于软体开发厂商源码、硬体设备,以及提供的第三方服务(例如云端服务和资料储存服务)的评估。另外,工研院也提供企业资安评级服务,有助于企业掌握自身资安风险,准备应对策略。

 

  综上所述,供应链上的各方企业应加强沟通与协调合作,建立联合的安全监控与漏洞防护体系,持续完善资安管理机制,以降低整体风险,达到安全与发展的最佳平衡点。

 

*图片来源:freepik

#

回上一页  回单元索引
留言(0)

你可能会喜欢的Recommend

活动分享Events